Adatkezelési tájékoztató

Adatkezelési tájékoztató

A DorinaDobor Korlátolt Felelősségű Társaság (székhely: 1143 Budapest, Hungária körút 83.; cégjegyzékszám: 01-09-389178; adószám: 27415201-2-42; továbbiakban: „Adatkezelő”) az Európai Parlament és a Tanács (EU) 2016/679 Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) alapján az alábbiakban tájékoztatja az Adatkezelő webshopján keresztül vásárlók („Érintett”) személyes adataik kezelésével kapcsolatban.

  1. Adatkezelő cégneve és elérhetőségei:

DorinaDobor Korlátolt Felelősségű Társaság (székhely: 1143 Budapest, Hungária körút 83.; cégjegyzékszám: 01-09-389178; adószám: 27415201-2-42)

E-mail: dorinadobor@dorinadobor.com

Weboldal: www.dorinadobor.com

  1. Az Adatkezelő szolgáltatásával és az adatkezeléssel kapcsolatos fogalmak és meghatározásaik

„személyes adat”: azonosított vagy azonosítható természetes személyre (Érintett) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

adatkezelő”: a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajttatja;

„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

„adatfeldolgozó”: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

„adattovábbítás”: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

nyilvánosságra hozatal”: az adat bárki számára történő hozzáférhetővé tétele;

adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges

profilalkotás”: személyes adat bármely olyan – automatizált módon történő – kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;

címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

  1. Alapelvek és alapvető rendelkezések
    • Jogszerűség, tisztességes eljárás és átláthatóság

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az Érintett számára átlátható módon kell végezni. (GDPR 5. cikk (1) bekezdés a) pont)

  • Célhoz kötöttség

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. (GDPR 5. cikk (1) bekezdés b) pont)

  • Adattakarékosság

A személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsaknak kell lenniük, és a szükségesre kell korlátozódniuk. (GDPR 5. cikk (1) bekezdés c) pont)

  • Pontosság

A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. (GDPR 5. cikk (1) bekezdés d) pont)

  • Korlátozott tárolhatóság

A személyes adatok tárolásának olyan formában kell történnie, amely az Érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a vonatkozó jogszabályoknak megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az Érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel. (GDPR 5. cikk (1) bekezdés e) pont)

  • Integritás és bizalmas jelleg

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. (GDPR 5. cikk (1) bekezdés f) pont)

  • Elszámoltathatóság

Az Adatkezelő felelős az adatkezelési elveknek való megfelelésért, továbbá képesnek is kell lennie e megfelelés igazolására (GDPR 5. cikk (2) bekezdés)

  1. A kezelt személyes adatok köre, az adatkezelés jogalapja, az adatkezelés célja és időtartama:
Kezelt személyes adatok köreAdatkezelés jogalapjaAdatkezelés céljaAdatkezelés időtartama
Természetes személy esetén: ·       Felhasználónév;·       Teljes név;·       Elektronikus értesítési címe (emailcím);·       Jelszó.Jogi személy esetén:·       Felhasználónév;·       Kapcsolattartó teljes név;·       Elektronikus értesítési címe (emailcím);·       Jelszó.GDPR 6. cikk (1) bekezdés a) pontja alapján.  Adatkezelő webshopján felhasználói fióklétrehozása, kezelése.A hozzájárulás visszavonásáig.
Természetes személy esetén: ·       Teljes név;·       Elektronikus értesítési címe (emailcím),·       Telefonszám.Jogi személy esetén:·       Jogi személy neve;·       Székhely;·       Nyilvántartási szám;·       Adószám;·       Kapcsolattartó neve;·       Emailcím;·       Telefonszám.GDPR 6. cikk (1) bekezdés b) pontja alapján. Elker tv. 13/A. § (3) bekezdése.Adatkezelő webshopjában megvásárolható termék megrendelése.A teljesítést követő általános elévülési idő 5 (öt) év (Ptk. 6:22. § (1) bekezdés).
Természetes személy esetén: ·       Teljes név;·       Email cím;·       Telefonszám;·       Szállítási név;·       Szállítási cím.Jogi személy esetén:·       Jogi személy neve;·       Székhely;·       Nyilvántartási szám;·       Adószám;·       Kapcsolattartó neve;·       Telefonszám.·       Szállítási név;·       Szállítási cím.GDPR 6. cikk (1) bekezdés b) és c) pontja alapján. Elker tv. 13/A. § (3) bekezdése.Adatkezelő webshopjában megvásárolt termék kiszállítása, teljesítése és számla kiállítása.A teljesítést követő elévülési határidőig, amely 5 (öt) év. A Számviteli tv. alapján a bizonylat kiállítása és megőrzése céljából kezelt adatok tekintetében az adatkezelés időtartama az szerződés megszűnését követő 8 (nyolc) év (Számviteli tv. 169. § (2) bekezdés).Számviteli bizonylatok kezelése és megőrzése az adó megállapításához való jog elévüléséig, tehát az adott bizonylaton alapuló bevallás évének végétől számított 5 (öt) évig (Art. 47. § (1) bekezdés, 164. § (1) bekezdés)
Természetes személy esetén: ·       Teljes név;·       Elektronikus értesítési címe (emailcím),·       Telefonszám.Jogi személy esetén:·       Jogi személy neve;·       Székhely;·       Nyilvántartási szám;·       Adószám;·       Kapcsolattartó neve;·       Emailcím;·       Telefonszám.GDPR 6. cikk (1) bekezdés f) pontja alapján.Adatkezelő fenti jogviszonyokból származó igényei érvényesítése (kintlévőségek kezelése, behajtása, egyéb igények érvényesítése)A teljesítés vagy amennyiben igényérvényesítésre került az Adatkezelő által, vagy vele szemben az Érintett kapcsán, akkor igényérvényesítés jogerős elbírálását követő általános elévülési idő 5 (öt) év lejártáig (Ptk. 6:22. § (1) bekezdés).
·       Egyedi azonosítószám (IP); ·       Dátum;·       Időpontok.GDPR 6. cikk (1) bekezdés a) pontja alapján. Kivéve webshopra jellemző cookie-k az úgynevezett „bevásárlókosárhoz szükséges cookie-k” és „biztonsági cookie-k”, melyek használatához nem szükséges előzetes hozzájárulást kérni az Érintettektől.A webshopra látogatók nyomon követése.A hozzájárulás visszavonásáig.
·       Teljes név; ·       Email cím.GDPR 6. cikk (1) bekezdés a) pontja alapján.Az Adatkezelő által forgalmazott termékekkel, szolgáltatásokkal kapcsolatban elektronikus hírlevél küldése, azon Érintettek számára, akik elektronikus hírlevél küldéséhez előzetesen kifejezett hozzájárulásukat adták.A hozzájárulás visszavonásáig.
·       Teljes név; ·       Lakcím;·       Panasz előterjesztésének helye, ideje és módja;·       Email cím;·       Számlázási név és cím.GDPR 6. cikk (1) bekezdés c) pontja alapján. 1997. évi CLV. törvény 17/A. § (5) bekezdése alapján.Az Adatkezelőtől megrendelt és átvett termékekkel kapcsolatosan felmerülő minősíégi kifogás (panasz) és problémák kezelése.A felvett kifogásról jegyzőkönyv, átirat és az arra adott válasz másolati példányait a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése alapján 3 (három) évig kell megőrizni.

Az Érintett a hozzájárulását bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a visszavonást megelőző adatkezelés jogszerűségét.

  1. A webshop-on alkalmazott Cookie-k (sütik):
Süti típusaSüti megnevezéseSzolgáltatóAdatkezelés lejárta
__qcaCookieQuantcast30 nap
euconsent-v2CookieQuantcast30 nap
qcSxcCookieQuantcast30 nap
  1. Az Adatkezelés biztonsága

Az Adatkezelő és az általa igénybe vett adatfeldolgozó a tudomány és technológia állása és megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

Az Adatkezelő gondoskodik az Érintettek személyes adatainak biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek a GDPR, az Infotv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Az Adatkezelő a személyes adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Minden adatkezeléssel foglalkozó személy munkája közben köteles az elvárható legnagyobb gondossággal eljárni az adatok hitelessége, megőrzése és az illetéktelen hozzáférés megakadályozása érdekében.

Mindenki csak ahhoz az adathoz és csak olyan mértékben férhet hozzá, amire a munkája elvégzéséhez feltétlenül szüksége van.

A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az Adatkezelő megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az Érintetthez rendelhetők.

A biztonság fenntartása és GDPR-t vagy az Infotv.-t sértő adatkezelés megelőzése érdekében az Adatkezelő értékeli az adatkezelés természetéből fakadó kockázatokat, és szükség esetén az e kockázatok csökkentését szolgáló további intézkedéseket, például titkosítást, álnevesítést alkalmaz. Jelenleg ilyen intézkedéseket az Adatkezelő nem alkalmaz.

Az Adatkezelő a személyes adatok kezeléséhez a szolgáltatása nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt személyes adat:

  • az arra feljogosítottak számára hozzáférhető („rendelkezésre állás”);
  • hitelessége és hitelesítése biztosított („adatkezelés hitelessége”);
  • változatlansága igazolható („adatintegritás”);
  • a jogosulatlan hozzáférés ellen védett („adat bizalmassága”) legyen.

Adatkezelő az adatkezelés során megőrzi:

  • a titkosságot: megvédi az Érintett személyes adatát, hogy csak az férhessen hozzá, aki erre jogosult;
  • a sértetlenséget: megvédi az információnak, és a feldolgozás módszerének a pontosságát és teljességét;
  • a rendelkezésre állást: gondoskodik arról, hogy amikor az Adatkezelő részéről eljáró, arra jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Az Adatkezelő az adatbiztonság feltételeinek érvényesítése és biztosítása érdekében gondoskodik az érintett alkalmazottak, alvállalkozók és személyes közreműködők megfelelő és rendszeres felkészítéséről és továbbképzéséről.

  1. Automatizált döntéshozatal (ideértve a profilalkotást is):

Az adatkezelés során automatizált döntéshozatalra, ideértve a profilalkotást is, nem kerül sor.

  1. A személyes adatok továbbítása, a személyes adatok címzettjei, illetve a címzettek kategóriái:

Az Adatkezelő az alábbi adatfeldolgozót veszi igénybe az adatkezeléssel kapcsolatban:

  • DORINKA Fashion Kft., adatkezeléssel összefüggő tevékenysége: webshop üzemeltetése; e-mail: dorinadobor@dorinadobor.com
  • OTP Mobil Szolgáltató Kft., adatkezeléssel összefüggő tevékenysége: online fizetési rendszer; e-mail: ugyfelszolgalat@simple.hu
  • hu Kft. (Számlázz.hu), adatkezeléssel összefüggő tevékenysége: online számlázó program; e-mail: info@szamlazz.hu
  • GLS Hungary Kft., adatkezeléssel összefüggő tevékenysége: szállítás, fuvarozás; e-mail: info@gls-hungary.com
  • UPS Magyarország Kft., adatkezeléssel összefüggő tevékenysége: szállítás, fuvarozás; e-mail: upshungary@ups.com
  • SPRINTER Futárszolgálat Kft., adatkezeléssel összefüggő tevékenysége: szállítás, fuvarozás; e-mail: info@sprinter.hu
  • DPD Hungary Kft., adatkezeléssel összefüggő tevékenysége: szállítás, fuvarozás; e-mail: dpd@dpd.hu
  • LOTTE Fuvarozó és Szolgáltató Korlátolt Felelősségű Társaság., adatkezeléssel összefüggő tevékenysége: szállítás, fuvarozás; e-mail: info@lottehungary.com

A személyes adatok az alábbi címzettek részére kerülnek továbbításra:

A személyes adatok nem kerülnek harmadik országba (azaz az Európai Unión kívülre), illetve nemzetközi szervezet részére továbbításra.

  1. Adattovábbítás

Az Adatkezelő szervezetén belül az Érintettek személyes adatait kizárólag a célhoz kötöttség elvével összhangban továbbíthatók és csak megfelelő cél esetén biztosítható ilyen adatokhoz hozzáférés.

Az Adatkezelő az Érintettek személyes adatait közvetlen üzletszerzésre, direkt marketing vagy tájékoztatási célra, így különösen saját üzletszerzési céljaira kizárólag az Érintett kifejezett és előzetes hozzájárulásával használhatja fel.

Az Adatkezelőn kívüli, harmadik személy részére történő adattovábbítás általános szabályai:

Személyes adatot továbbítani harmadik személy részére csak jogszabályi felhatalmazás alapján vagy az Érintett előzetes hozzájárulásával lehet.

Az adattovábbítást megelőzően az Adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve a továbbítást követően az adatkezelés feltételei minden egyes személyes adatra megvalósulnak-e.

Ugyanazon adatkezelők számára történő, azonos Érintettre vonatkozó és azonos célú adattovábbítás előtt az adattovábbítás jogszerűségének vizsgálatába az adatvédelmi tisztviselőt is be kell vonni. Az ezt követő adattovábbítások során külön vizsgálatot lefolytatni nem kell.

Továbbítás külföldre vagy harmadik országba:

Az adattovábbítást megelőzően – az adatvédelmi tisztviselő bevonásával – az Adatkezelő kötelessége megvizsgálni, hogy annak törvényi feltételei fennállnak-e, illetve, hogy a továbbítást követően az adatkezelés feltételei minden egyes, a továbbítással érintett személyes adatra megvalósulnak-e.

Az Adatkezelő a GDPR 13. cikk (1) bekezdés f) pontja alapján rögzíti, hogy a jelen tájékoztató hatálybalépésének időpontjában nemzetközi szervezet részére nem továbbít általa kezelt adatot.

Az Adatkezelő a GDPR 13. cikk (1) bekezdés f) pontja alapján rögzíti, hogy a jelen tájékoztató hatálybalépésének időpontjában harmadik országba kizárólag az Adatkezelő által ellátott személy légi úton történő hazaszállítása vagy ellátás szervezés érdekében más országba történő szállítása esetén a légiirányító vagy földi betegszállító, illetve hozzátartozója részére tovább személyes adatot a jelen tájékoztatóban foglaltak szerint, amennyiben az alábbi feltételek legalább egyike teljesül:

  • az Érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
  • az adattovábbítás az Érintett és az Adatkezelő közötti szerződés teljesítéséhez, vagy az Érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
  • az adattovábbítás az Érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az Érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására.

Más esetben az Adatkezelő harmadik országba nem továbbít általa kezelt adatot.

Adatszolgáltatások hatósági megkeresés alapján

Hivatalos szervektől (különösen, de nem kizárólag bíróság, ügyészség, nyomozó hatóság, szabálysértési hatóság, közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, illetőleg jogszabály felhatalmazása alapján más szervek) beérkező adatkérés alapján – az abban megjelölt módon és tartalommal – tájékoztatás adására, adatok közlésére, átadására, illetőleg iratok rendelkezésre bocsátására akkor kerül sor az Adatkezelő részéről, amennyiben a kérelmező hatóság adatkérése az Adatkezelő legjobb tudomása szerint valószínűsíthetően jogszerű. Az Adatkezelő személyes adatok hivatalos szervek részére történő átadásának esetleges jogszerűtlenségével kapcsolatos ezen felüli felelősségét kizárja.

Az Adatkezelő által kezelt személyes adatok az Érintett hozzájárulása nélkül átadhatóak:

  • az Adatkezelő és az Érintett közötti esetleg jogviták rendezésére jogszabály alapján jogosult szervek (békéltető testület, felügyeleti hatóság stb.) részére;
  • ha az Érintett elháríthatatlan okból nem képes hozzájárulását megadni, az Érintett vagy más személy létfontosságú érdekeinek védelme, vagy a személyek életét, testi épségét vagy javait fenyegető veszély elhárítása vagy megelőzése érdekében, az adatok megismerésére külön törvényben felhatalmazott szerv kérelme alapján a felhatalmazott szerv részére;
  • az Adatkezelő jogainak érvényesítése érdekében esetenként közreműködő jogi képviselők (ügyvédi irodák) részére;
  • az Adatkezelő az Érintettel vagy az általa képviselt/tulajdonolt vállalattal szembeni követelése harmadik személyek részére történő (tovább)engedményezése esetén az érintett követelésekre, valamint a követelések kötelezettjeire vonatkozó adatokat az engedményes, illetve a követelésre ajánlatot tevő személy részére;
  • az Adatkezelő az Érintettel vagy az általa képviselt/tulajdonolt vállalattal szembeni követelése érvényesítése érdekében azon további igazgatási szerv, hatóság, bíróság, végrehajtó részére, aki (amely) a követelésbehajtáshoz szükséges bármely jogi eljárást lefolytatja;
  • azon további hatósági szerveknek, amely részére az adatszolgáltatást a mindenkor hatályos jogszabályok előírják, az ilyen jogszabályban előírt módon és terjedelemben;
  • azon további személyeknek vagy szervezeteknek, akik az Adatkezelő megbízása alapján az Érintett és az Adatkezelő közötti szerződéses jogviszony előkészítésében vagy teljesítésében adatfeldolgozóként egyéb módon részt vesznek.

Tudomásul veszem, hogy a(z) DORINKA Fashion Korlátolt Felelősségű Társaság (székhely: 1143 Budapest, Hungária körút 83.) adatkezelő által a(z) dorinadobor.com felhasználói adatbázisában tárolt alábbi személyes adataim átadásra kerülnek az OTP Mobil Kft., mint adatfeldolgozó részére. Az adatkezelő által továbbított adatok köre az alábbi: [név, email cím, számlázási cím, szállítási cím, telefonszám]. Az adatfeldolgozó által végzett adatfeldolgozási tevékenység jellege és célja a SimplePay Adatkezelési tájékoztatóban, az alábbi linken tekinthető meg: https://simplepay.hu/vasarlo-aff

  1. Adatvédelmi incidens

Adatvédelmi incidens alatt a GDPR értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az Adatkezelő adatvédelmi incidenst észlelő munkatársa, adatfeldolgozója vagy egyéb közreműködője az Adatkezelőnek késedelem nélkül köteles bejelenteni az Adatkezelő képviselőjének vagy az adatvédelmi tisztviselőjének, aki haladéktalanul kivizsgálja, és javaslatot tesz a szükséges intézkedések vonatkozásában, valamint biztosítja és ellenőrzi az alább intézkedések végrehajtását.

Adatvédelmi incidens bejelentése:

Az adatvédelmi incidenst az Adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órán belül, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenti az illetékes felügyeleti hatóságnak (NAIH), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az adatszolgáltatásnak tartalmaznia kell:

  • az incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az Adatkezelő képviselőjének vagy adatvédelmi tisztviselőjének, mint kapcsolattartónak a nevét és elérhetőségeit;
  • az incidensből eredő, valószínűsíthető következményeket;
  • az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az Érintettek tájékoztatása:

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő képviselője indokolatlan késedelem nélkül köteles az Érintettet az adatvédelmi incidensről tájékoztatni, közölve annak jellegét, az Adatkezelő kapcsolattartójának nevét és elérhetőségét, a valószínűsíthető következményeket, valamint az adatvédelmi incidens orvosolására, enyhítésére tett vagy tervezett intézkedéseket, kivéve, ha a GDPR 34. cikkelyének (3) bekezdésében foglalt esetek valamelyike fennáll.

Adatvédelmi incidens kivizsgálása, kezelése:

Az adatvédelmi incidens elhárítása érdekében megvalósított egyes intézkedésekről az adatok kezelését vagy feldolgozását végző folyamat felelőse, az adott intézkedések végrehajtását követően haladéktalanul, de legkésőbb 2 (kettő) munkanapon belül köteles az Adatkezelő képviselőjét vagy az adatvédelmi tisztviselőt tájékoztatni.

Adatvédelmi incidensek nyilvántartása:

Az Adatkezelő köteles az adatvédelmi incidensek nyilvántartására, amely tartalmazza az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

  1. Az Érintett adatkezeléssel kapcsolatos jogai:

Az Érintett kérheti az Adatkezelőtől:

  1. a) a rá vonatkozó személyes adatokhoz való hozzáférést,
  2. b) személyes adatainak helyesbítését, valamint
  3. c) személyes adatainak – a kötelező adatkezelés kivételével – törlését vagy kezelésének korlátozását.

Hozzáférés joga:

Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz hozzáférést kapjon. Az Adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az Érintett rendelkezésére bocsátja. Az Érintett által kért további másolatokért az Adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az Érintett másként kéri.

Helyesbítéshez való jog:

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat.

Törléshez való jog:

Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az Érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

  1. a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
  2. b) az Érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
  3. c) az Érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az Érintett a GDPR 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
  4. d) a személyes adatokat jogellenesen kezelték;
  5. e) a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
  6. f) a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor (gyermek hozzájárulására vonatkozó feltételek).

Adatkezelés korlátozásához való jog:

Az Érintett jogosult arra, hogy kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  1. a) az Érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
  2. b) az adatkezelés jogellenes, és az Érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  3. c) az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
  4. d) az Érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az Adatkezelő jogos indokai elsőbbséget élveznek-e az Érintett jogos indokaival szemben.

Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Adathordozhatósághoz való jog:

Az Érintett továbbá jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az Adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha: (i) az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a GDPR 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és (ii) az adatkezelés automatizált módon történik.

Tiltakozáshoz való jog:

Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az Adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az Érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Az Érintetti joggyakorlás általános szabályai:

Az Adatkezelő indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az Érintettet kérelme nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az Érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az Érintett azt másként kéri.

Az Adatkezelő az Érintett részére a tájékoztatást és intézkedést díjmentesen biztosítja. Ha az Érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az Adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

  1. a) észszerű összegű díjat számíthat fel, vagy
  2. b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az Adatkezelőt terheli.

Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az Érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

  1. Jogérvényesítési lehetőségek:

Az Érintett a jogainak megsértése esetén az Adatkezelővel szemben bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani. A per elbírálása a törvényszék, a fővárosban a Fővárosi Törvényszék hatáskörébe tartozik. A per az Érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

Az Adatkezelő az Érintett adatainak jogellenes kezelésével, vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az Adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Az Érintett a személyes adatai kezelésével kapcsolatos panasz esetén a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is fordulhat (dr. Péterfalvi Attila a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke, postai cím: 1363 Budapest, Pf.: 9., cím: 1055 Budapest, Falk Miksa utca 9-11.; Telefon: +36 (1) 391-1400; Fax: +36 (1) 391-1410; E-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu).