Adatvédelmi szabályzat

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Andi és Kora Betéti Társaság

2021

TARTALOM

I. ADATVÉDELMI SZABÁLYZAT                                                                                                                                         

I.1. Szabályzat célja                                                                                                                                                      

I.2. Szabályzat hatálya                                                                                                                                                  

I.3. Az adatkezelő adatai                                                                                                                                              

I.4. Ügyfélszolgálat                                                                                                                                                        

II. DEFINÍCIÓK                                                                                                                                                                            

III. A SZEMÉLYES ADATOK KEZELÉSÉVEL KAPCSOLATOS ALAPELVEK                                                      

IV. EGYES ADATKEZELÉSEK                                                                                                                                                 

IV.1. Az adatkezelés jogalapja

IV.2. Szolgáltatások teljesítése

IV.2.1. Online megrendelések teljesítése  

IV.2.2. Ügyfélszolgálati adatkezelés

IV.3. Direkt marketing (közvetlen üzletszerzési) célú adatkezelés  

IV.3.1. Direkt marketing megkeresések

IV.3.2. Hírlevél küldés  

V. ADATKEZELÉSRE VONATKOZÓ RENDELKEZÉSEK

V.1. Az érintett tájékoztatása

V.1.1. Közvetlen adatfelvétel

V.1.2. Nem közvetlen adatfelvétel

V.2. Az érintett hozzájárulása

V.3. A hozzájárulás tartalma és megadásának módja  

V.4. Információ technológia alkalmazások, cookie  

V.5. A személyes adatok tárolása

V.5.1. Adattárolás elvei

V.5.2. Elektronikus adattárolás

V.6. Az adattárolás időtartama

V.7. Az adattovábbítás

V.8. Adatfeldolgozás

V.9. Adatfeldolgozók

V.9.1. A cég adatfeldolgozói

VI. AZ ÉRINTETTEK JOGAI

VI.1. Az érintett hozzáférési joga  

VI.2. Helyesbítés és törlés

VI.3. Az adatkezelés korlátozásához való jog

VI.4. Az adathordozhatóság

VI.5. A tiltakozáshoz való jog

VI.6. Értesítési kötelezettség

VI.7. Jogorvoslati lehetőségek

VI.7.1. Andi és Kora Bt. közvetlen jogorvoslata

VI.7.2. Nemzeti adatvédelmi és információszabadság hatóság

VI.7.3. Bírósági jogorvoslat

VI.7.4. Adatvédelmi tisztviselő

VII. ADATBIZTONSÁG

VIII. AZ ADATKEZELÉSI SZABÁLYZAT MÓDOSÍTÁSA

I. ADATVÉDELMI SZABÁLYZAT

I.1. Szabályzat célja

Jelen szabályzat (a továbbiakban „Szabályzat”) meghatározza az Andi és Kora Bt. 2120 Dunakeszi, Barátság utca 49. földszint., a továbbiakban: „Andi és Kora Bt.” vagy „adatkezelő”) által alkalmazott adatvédelmi és adatkezelési elveket, az Andi és Kora Bt.-nél vezetett nyilvántartások működésének rendjét, biztosítja az adatvédelem és az adatbiztonság követelményeinek érvényesülését, és megakadályozza a jogosulatlan hozzáférést, az adatok jogellenes megváltoztatását és jogosulatlan nyilvánosságra hozatalát. Andi és Kora Bt. az érintettek személyes adatait bizalmasan, a hatályos jogszabályi előírásokkal összhangban kezeli, gondoskodik azok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, valamint kialakítja azokat az eljárási szabályokat, amelyek a vonatkozó jogszabályi rendelkezések és más ajánlások érvényre juttatásához szükségesek.

I.2. Szabályzat hatálya

A Szabályzat hatálya kiterjed az Andi és Kora Bt. által az adatkezelő által kezelt weboldalakon leadott megrendelések teljesítésére, valamint direktmarketing célú adatkezelésekre. A Szabályzat hatálya kiterjed mindazon személyekre, akik az Andi és Kora Bt. által végzett adatkezelési vagy adatfeldolgozási műveletekben részt vesznek, vagy egyébként az Andi és Kora Bt. által kezelt vagy feldolgozott adathoz hozzáférnek. A Szabályzat 2021. március 20. napján lép hatályba.

I.3. Az adatkezelő adatai

Cégnév: Andi és Kora Bt.

 Székhely: 2120 Dunakeszi, Barátság utca 49. földszint.

Cégjegyzékszám: 13-06-059082

Adószám: 22364533-1-13

I.4. Ügyfélszolgálat

Ügyfélszolgálat e-mail címe: info@dermahealhungary.hu

Ügyfélszolgálat címe: 2120 Dunakeszi, Barátság utca 49. földszint.

Ügyfélszolgálat telefonszáma: +36 30 496 3644

Ügyfélszolgálat e-mail címe: info@dermahealhungary.hu

Ügyfélszolgálat nyitvatartása: minden hétköznap 9-16 óráig (csak telefonos ügyfélszolgálat)

Andi és Kora Bt. által kezelt weboldalak:

www.dermahealhungary.hu

I.                    DEFINÍCIÓK

A jelen Szabályzatban hivatkozott egyes fogalmak az alábbi jelentéssel bírnak:

1.       Info tv: Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

2.       GDPR: AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet);

3.       Adat: Az Info tv. és GDPR által személyes adatnak vagy különleges adatnak minősített adatok, így különösen az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

4.       Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy;

5.       Adatközlő: az a természetes-, vagy jogi személy, vagy jogi személyiség nélküli gazdasági társaság, avagy nevükben eljáró természetes személyek, akik bármely formában Andi és Kora Bt. részére felhívásra, vagy anélkül harmadik személyek személyes adatát közlik.

6.       Bizalmas információ: minden olyan nem könnyen hozzáférhető tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek illetéktelenek által történő megszerzése, hasznosítása, másokkal való közlése vagy nyilvánosságra hozatala a bármelyik Fél jogos pénzügyi vagy politikai érdekét, személyhez fűződő jogait sértené vagy veszélyeztetné.

7.       Dmtv.: a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény

8.       Grt.: továbbá a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény

9.       Közvetlen üzletszerzés (direkt marketing): azoknak a közvetlen megkeresés módszerével végzett, tájékoztató tevékenységeknek és kiegészítő szolgáltatásoknak az összessége, amelyeknek célja termékek vagy szolgáltatások értékesítésével, szolgáltatásával vagy eladásösztönzésével közvetlen kapcsolatban álló, a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Grt.) 3. §-ának d) pontja szerinti reklám továbbítása a fogyasztók vagy kereskedelmi partnerek (a továbbiakban együtt: ügyfelek) részére.

10.   Tilalmi lista: azon érintettek név- és lakcímadatainak a nyilvántartása, akik megtiltották, illetve – a közvetlen üzletszerző szerv erre irányuló előzetes megkeresése ellenére – nem járultak hozzá, hogy személyes adataikat az e szabályzatban meghatározott kapcsolatfelvételi lista vagy üzletszerzési lista céljából felhasználják, vagy megtiltották azok e célból történő további kezelését.

11.   Gazdasági reklám: olyan közlés, tájékoztatás, illetve megjelenítési mód, amely valamely birtokba vehető forgalomképes ingó dolog – ideértve a pénzt, az értékpapírt és a pénzügyi eszközt, valamint a dolog módjára hasznosítható természeti erőket – (a továbbiakban együtt: termék), szolgáltatás, ingatlan, vagyoni értékű jog (a továbbiakban mindezek együtt: áru) értékesítésének vagy más módon történő igénybevételének előmozdítására, vagy e céllal összefüggésben a vállalkozás neve, megjelölése, tevékenysége népszerűsítésére vagy áru, árujelző ismertségének növelésére irányul (a továbbiakban: reklám),

12.   Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

13.   Kapcsolatfelvételi lista: kizárólag a közvetlen üzletszerzés céljából küldendő küldemények fogadásához való hozzájárulás beszerzése érdekében az ügyfelekkel való kapcsolatfelvételt szolgáló, legfeljebb az ügyfél nevét, lakcímét, elektronikus levélcímét vagy elektronikus hírközlési azonosítóját, nemét, az ügyfél érdeklődési körére vonatkozó információt, tartalmazó lista.

14.   Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

15.   Nyilvántartási rendszer: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;

16.   Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

17.   Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

18.   Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

19.   Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; 

20.   Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

21.    Vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

22.    Személyes adatok határokon átnyúló adatkezelése:

22.1. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy

 22.2. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;

23.    Az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (19) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

24.    STORE: Andi és Kora Bt. által a weboldalon keresztül kozmetikumok megrendelése, házhozszállítással, amely alapján az Ügyfél díj fizetésére köteles.

II.       A SZEMÉLYES ADATOK KEZELÉSÉVEL KAPCSOLATOS ALAPELVEK

 Az Andi és Kora Bt. tiszteletben tartja az érintettek személyes adatainak védelméhez való jogát és adatkezelése körében biztosítja, hogy személyes adatával mindenki maga rendelkezzen.

Andi és Kora Bt. a személyes adatot meghatározott jogszerű célból kezel.

Andi és Kora Bt. adatot a jogszabályban meghatározott jogalap alapján kezel.

Az adatkezelés során az Andi és Kora Bt. a személyes adatot jogszerűen és átlátható módon kezeli.

Andi és Kora Bt. az adatkezelési cél eléréséhez szükséges mennyiségű és típusú adatot kezel.

Az adatkezelés minden esetben megfelelő, előzetes tájékoztatáson alapul.

A tájékoztatás egyszerű, átlátható és érthető módon kerül megfogalmazásra.

Az Andi és Kora Bt. gondoskodik az adatok biztonságáról és megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az adatvédelmi szabályok érvényre juttatásához szükségesek.

A jelen adatvédelmi szabályzat rendelkezéseit valamennyi munkavállalójával, érdekkörében eljáró megbízottjával megismerteti és elfogadtatja.

Az adatok felvétele és kezelése a tisztesség és törvényesség elvének betartásával történhet.

Az önkéntes rendelkezés alapján történő adatkezelés időtartama a cél megvalósulásáig terjedhet. Adatkezelés során csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.

Az adatszolgáltatás – önkéntes, vagy kötelező – jellegét az adatfelvételt megelőzően ismertetni kell. Az adatkezelés célja mellett egyértelmű tájékoztatást kell közzétenni arról, hogy az adatokat kik fogják kezelni, illetve feldolgozni, ideértve azt az esetet is, amikor a címzettek csoportja kerül meghatározásra.

Az adatok tárolását az adatkezelés céljával arányban állóan, az adatkezelés céljához szükséges ideig biztonságos módon kell megvalósítani. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás, vagy törlés, illetőleg sérülés vagy megsemmisülés ellen.

Az érintett az adatkezelés során bármikor tájékoztatást kérhet, illetve ellenőrizheti adatai tartalmát, igény szerint bármikor kérheti azok helyesbítését, jogszabály előírása szerinti esetekben, illetve önkéntes hozzájáruló nyilatkozata visszavonása esetén azok törlését, korlátozását, valamint tiltakozhat az adatkezelés ellen jogszabály által meghatározott esetekben.

Az érintett az adatkezeléshez adott hozzájárulását bármikor – amennyiben az adatkezelés hozzájáruláson alapul – módosíthatja, vagy visszavonhatja. Az adatfeldolgozás általában elektronikusan, gépi úton történik.

Az adatkezelés céljának teljesülésével egyidejűleg az adatok törlését a jogszabályi előírások alapján kell elvégezni.

Az adatok akkor továbbíthatóak, ha jogszabály azt megengedi, és ha az adatkezelés feltételei minden egyes továbbítással érintett személyes adatra nézve teljesülnek.

IV. EGYES ADATKEZELÉSEK

IV.1. Az adatkezelés jogalapja

Andi és Kora Bt. adatkezelésére a következő jogalapok legalább egyikének fennállása esetén kerülhet sor:

1. Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (önkéntes hozzájárulás)

 2. Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (szerződés teljesítése).

3. Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (jogi kötelezettség teljesítése).

4. Az adatkezelés Andi és Kora Bt. vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai (jogos érdek). Andi és Kora Bt. tevékenysége körében a következő célokhoz kötött adatkezeléseket végzi.

IV.2. Szolgáltatások teljesítése

IV.2.1. Online megrendelések teljesítése

Adatkezelés célja: Andi és Kora Bt. a http://dermahealhungary.hu weboldalon keresztül, regisztrált felhasználókkal létrejött szerződések teljesítése, termékekkel kapcsolatosan tájékoztatás nyújtása, termékek kiszállítása, számla kiállítása, összvásárlói szokások elemzése, célzottabb kiszolgálásbiztosítása.

Adatkezelés jogalapja: GDPR 6.§. (1) b. pont – szerződés teljesítése

Kezelt adatok köre: teljes név, lakcím, szállítási cím, e-mail cím, telefonszám, fax, születési dátum, neme, számlázási név és cím, banki fizetés esetén bankszámlaszám

Adattovábbítás és adatfeldolgozó:

Fürgefutár.hu Kft

Adószám: 22966331-2-41

Cégjegyzékszám: 01-09-946845

Email: ugyfelszolgalat@furgefutar.hu

Honlap: http://furgefutar.hu

Adatkezelés időtartama: A szerződés megkötésétől számított 5 év (elévülési idő) + 60 nap. Létrejött szerződések esetében a Számv. tv. 169. § (2) bekezdése alapján a számla kiállításától számított 8 év + 60 nap.

IV.2.2. Ügyfélszolgálati adatkezelés

Adatkezelés célja: Ügyfelek/vevők megkülönböztetése, az esetleges fogyasztói visszajelzések kezelése, panaszügyek kezelése, szerződéssel kapcsolatos elállási ügyek kezelése, megrendelések módosítása, ügyfélszolgálati tevékenység ellátása, pénzügyi nyilvántartás, kapcsolattartás.

Adatkezelés jogalapja: GDPR 6.§. (1) c. – Jogi kötelezettség teljesítése, Fgytv. 17/A.§.,

Kezelt adatok köre: teljes név, lakcím, szállítási cím, e-mail cím, telefonszám, fax, születési dátum, neme, számlázási név és cím, banki fizetés esetén bankszámlaszám

Az adakezelés időtartama: A panaszról felvett jegyzőkönyvek és az írásbeli panaszokra adott válaszok másolati példányai tekintetében az Fgytv. 17/A. § (7) bekezdése alapján 5 év + 60 nap. A vásárlók könyvébe tett bejegyzések másodpéldányai tekintetében 2 év + 60 nap.

Adattovábbítás és adatfeldolgozó: Az Andi és Kora Bt. ezen adatkezeléshez nem vesz igénybe adatfeldolgozót.

IV.3. Direkt marketing (közvetlen üzletszerzési) célú adatkezelés

IV.3.1. Direkt marketing megkeresések

Adatkezelés célja: Üzleti célú adatbázis építése, kapcsolattartás, kapcsolatfelvétel, kapcsolatfelvétel az adatkezelés megújítása, meghosszabbítása érdekében, kapcsolatfelvétel korábbi céltól eltérő célhoz történő hozzájárulás beszerzése érdekében, kapcsolatfelvétel korábbiaktól eltérő megkereséshez történő hozzájárulás beszerzése érdekében, termékekről tájékoztató nyújtása, új termékekről tájékoztató nyújtása, az adatkezelő, az ajánlatainak továbbítása, promóciókban történő részvételre szóló meghívás,

Adatkezelés jogalapja: GDPR 6.§. (1) a. pont – önkéntes hozzájárulása

Kezelt adatok köre: teljes név, lakcím, e-mail cím

Adattovábbítás és adatfeldolgozó: az Andi és Kora Bt. ezen adatkezeléshez nem vesz igénybe adatfeldolgozót.

Adatkezelés időtartama: Érintett hozzájárulásának visszavonásáig + 60 nap, de legfeljebb 5 év

IV.3.2. Hírlevél küldés

Adatkezelés célja: Érintettek részére gazdasági reklámot is tartalmazó, üzletszerzési célból, elektronikus úton megküldött levél (e-mail)

Adatkezelés jogalapja: GDPR 6. cikk (1) a. pont- önkéntes hozzájárulás Kezelt adatok köre: teljes név, e-mail cím

Adattovábbítás és adatfeldolgozó: az Andi és Kora Bt. ezen adatkezeléshez nem vesz igénybe adatfeldolgozót.

Hosting szolgáltató:

Tárhely.Eu Kft.

+36 1 789-2-789

1097 Budapest, Könyves Kálmán körút 12-14.

tarhely.eu

Adatkezelés időtartama: Érintett hozzájárulásának (leiratkozás) visszavonásáig.

A direkt marketing célú megkereséshez hozzájárulásukat adók adatait a Andi és Kora Bt. kezeli. Az adatkezelés célja egyes adatkezeléseknél eltérhet. Direkt marketing célú megkereséshez csak 18. életévüket betöltött személyek járulhatnak hozzá. A direkt marketing célú adatkezelés önkéntes hozzájáruláson alapul. A közvetlen üzletszerzés céljából gyűjtött telefonszámot, név- és lakcím adatokat az adatkezelő közvetlen üzletszerzés céljából történő megkereséshez való hozzájárulás beszerzése érdekében elkészített kapcsolatfelvételi listán tartja nyilván. Az adatkezelő a kapcsolatfelvételi listán szereplő adatokat az érintett előzetes hozzájárulása nélkül harmadik személy részére nem továbbítja.

Az adatkezelő a kapcsolatfelvételi listán szereplő érintettekkel elektronikus levél útján lép kapcsolatba, amennyiben ezen adatokat az érintett önkéntesen megadta. A kapcsolatfelvétel során tájékoztatni kell az érintettet arról, hogy ki az adatkezelő, az adatokat milyen forrásból szerezte, milyen célra és módon, mely adatokat és milyen időtartamban kívánja felhasználni. Tájékoztatni kell továbbá az érintettet az adatfeldolgozó igénybevételéről, későbbi esetleges adattovábbítási szándékáról, továbbá arról, hogy az adatszolgáltatás önkéntes, és bármikor kérhető az adatkezelés megszüntetése. Ezt követően a közvetlen üzletszerzés céljából történő adatkezeléshez az érintett hozzájárulását kell kérni, és tájékoztatni kell arról, hogy e hozzájárulás bármikor, indokolás nélkül, ingyenesen visszavonható.

Az érintettel közvetlen megkeresés módszerével reklám kizárólag tájékoztatást követően és kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult. A hozzájárulás megadását kétség esetén az adatkezelőnek kell bizonyítania. Hangfelvétel készítése esetén az érintettet erről előzetesen tájékoztatni kell, és a hangfelvétel készítéséhez az érintett hozzájárulását kell kérni. Amennyiben az érintett a közvetlen üzletszerzési célú adatkezeléshez nem járul hozzá, vagy kérte az adatai kezelésének az adott célból történő megszüntetését, úgy az adatkezelő az érintettel a továbbiakban nem léphet kapcsolatba. Az ilyen érintettek adatait az adatkezelő tilalmi listán (a továbbiakban Robinson lista) tartja nyilván annak érdekében, hogy a rajta szereplő érintettek adatai ne kerüljenek az adatkezelő által újból felvételre, és az érintettek ne kerüljenek az adatkezelő által újból megkeresésre. A tilalmi listán szereplő adatokat az adatkezelő a jelen pontban meghatározottak teljesítésének biztosításához szükséges mértékig használhatja fel, más adatállománnyal nem kapcsolhatja össze, nem adhatja át, más célra nem használhatja fel. A Robinson lista esetében az adatkezelő a listán szereplő adatokat a tilalmi listára kerülést követően a jogszerű adatkezelés igazolása érdekében az elévülési ideig tárolja, azt követően intézkedik az adatok és kapcsolódó adatkezelés jogszerűségét igazoló dokumentumok törlése és megsemmisítése iránt.

V. ADATKEZELÉSRE VONATKOZÓ RENDELKEZÉSEK

V.1. Az érintett tájékoztatása

Az adatkezelések megvalósítása előtt – a jogszabályi előírások figyelembevételével – érthető és egyértelmű tájékoztatást kell közzé tenni az adatfelvétel módjáról, céljáról és – az adatszolgáltatás önkéntessége esetén – az önkéntes jellegről.

Andi és Kora Bt. általános elvként nyilvánítja ki, hogy minden olyan esetben, amikor önkéntes hozzájáruláson alapuló személyes adatokat kér az érintettektől, a szükséges tájékoztató szöveg elolvasása és értelmezése után az érintettek szabadon dönthetnek arról, megadják-e a kért információkat.

V.1.1. Közvetlen adatfelvétel

Amikor az érintettől közvetlenül vesz fel adatot Andi és Kora Bt., az adatfelvételt megelőzően tájékoztatja az érintettet:

A tájékoztatás tartalmazza:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) a GDPR 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR 46. cikkben, a 47. cikkben vagy a GDPR 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

A fentiekben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c) a GDPR 6. cikk (1) bekezdésének a) pontján vagy a GDPR 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

V.1.2. Nem közvetlen adatfelvétel

Amikor nem az érintettől közvetlenül vesz fel adatot Andi és Kora Bt., az adatfelvételt megelőzően tájékoztatja az érintettet:

Ha a személyes adatokat nem az érintettől szerezték meg, Andi és Kora Bt. az érintett rendelkezésére bocsátja a következő információkat:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) az érintett személyes adatok kategóriái;

e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a GDPR 46. cikkben, a 47. cikkben vagy a GDPR 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

A V.1.2. pontban hivatkozottakon túl említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a) a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b) ha az adatkezelés a GDPR 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;

c) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

d) a GDPR 6. cikk (1) bekezdésének a) pontján vagy a GDPR 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e; és

g) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

A fenti tájékoztatást az Andi és Kora Bt. az alábbiak szerint adja meg:

a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;

b) ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy

c) ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

Amennyiben Andi és Kora Bt. a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és lentiekben említett minden releváns kiegészítő információról.

V.2. Az érintett hozzájárulása

Amennyiben Andi és Kora Bt. az érintett személyes adatait – a kapcsolatfelvételi lista kapcsán meghatározott kivétellel – az érintett hozzájárulása alapján kezeli, úgy az adatkezelésre az érintettek megfelelő tájékoztatáson alapuló önkéntes nyilatkozata alapján kerül sor, amely nyilatkozat tartalmazza az érintettek kifejezett hozzájárulását ahhoz, hogy az általuk közölt személyes adataik felhasználásra kerüljenek.

Személyes adatok harmadik személy vagy hatóságok számára történő kiadása – hacsak törvény ettől eltérően kötelező erővel nem rendelkezik– kizárólag hatósági határozat alapján, vagy az érintett előzetes, kifejezett hozzájárulása esetén lehetséges. Andi és Kora Bt. a neki megadott személyes adatokat nem ellenőrzi. A megadott adatok megfelelőségéért kizárólag az azt megadó személy felel.

Az érintetteket külön, vagy a jelen szabályzatra való utalással tájékoztatni kell arról, hogy az e-mail címének megadása esetén egyben felelősséget vállal azért, hogy a megadott e-mail címről kizárólag ő vesz igénybe szolgáltatást. E felelősségvállalásra tekintettel egy megadott e-mail címen történt belépésekkel összefüggő mindennemű felelősség kizárólag azt az érintettet terheli, aki az e-mail címet megadta.

V.3. A hozzájárulás tartalma és megadásának módja

Elektronikus úton történő adatmegadás esetén az elektronikus felületen történő egyértelmű elfogadó mező jelölése jelenti a tájékoztatás megértését és elfogadását. A szerződés megkötéséhez és teljesítéséhez szükséges személyes adatok hiányában a szerződés megkötésére nem kerülhet sor.

Valamely promócióban való részvételhez, és/vagy regisztrációhoz kért személyes adatok között feltüntetésre kerül, hogy mely adatokat, milyen célból és feltételek mellett kéri Andi és Kora Bt. „kötelező” jelleggel megadni.

A kötelező kifejezés nem az adatfelvétel kötelező jellegére utal, hanem arra, hogy vannak olyan rovatok, amelyek kitöltése nélkül a promócióban való részvétel, a regisztráció sikerrel nem zárulhat, így bizonyos mezők kitöltetlenül hagyása, vagy nem megfelelő kitöltése elutasításához vezethet.

Andi és Kora Bt. az érintettek által rendelkezésre bocsátott személyes, illetve egyéb adatokat nem egészíti ki és nem kapcsolja össze más forrásból származó adatokkal, vagy információval. Ez alól kivételt képez az az eset, ha a megfelelő tájékoztatást követően, az érintett előzetesen hozzájárul ehhez.

Andi és Kora Bt. a vásárlók kényelmének biztosítása érdekében termékei többségét futárszolgálat igénybevételével szállítja ki a vevő által megjelölt szállítási címre, melyről a vevő/Ügyfél már a szerződés megkötésekor a szerződésben tájékoztatást kap.

Andi és Kora Bt. a kiszállítást végző partnervállalat számára átadja a szállítandó terméket, a címzett nevét és postai címét, valamint a megadott telefonszámát. Ennek során kiköti, hogy a csomagszállító partner ezeket az adatokat a szállítás kivételével nem használhatja fel más célokra.

Andi és Kora Bt. minden szükséges lépést megtesz annak érdekében, hogy biztosítsa az adatok biztonságát. Az Andi és Kora Bt. által használt informatikai infrastruktúrán belül az adatok megőrzésével és védelmével kapcsolatos feladatokat az Andi és Kora Bt. informatikai biztonsági politikájában foglalt elvek, eljárások és biztonsági kontrollok szabályozzák. A személyes adatokhoz csak az illetékes munkaköröket betöltő személyek férhetnek hozzá – hozzáférési kontrollok alkalmazása mellett.

V.4. Információ technológia alkalmazások, Cookie

Információ technológiai alkalmazások, online hirdetésekkel kapcsolatos rendelkezések: Cookie.

Andi és Kora Bt. egyes tevékenységei a saját vállalkozás irányítására, elemzésére, sikerességének javítására irányulnak, amelynek érdekében önálló statisztikákat készít, felhasználói élmény javítása céljából cookie-kat gyűjt, illetőleg alkalmazza a lentiekben részletesen meghatározott programokat. Érintett weboldalak, alkalmazások ahol cookie-kat gyűjtenek az I.5. pontban kerül feltüntetésre.

Technikai adatok és cookiek kezelése

Andi és Kora Bt. rendszere (vagy az általa megbízott adatfeldolgozó) automatikusan rögzíti az érintett számítógépének IP-címét, a látogatás kezdő időpontját, illetve egyes esetekben – a számítógép beállításától függően – a böngésző és az operációs rendszer típusát. Az így rögzített adatok egyéb személyes adatokkal nem kapcsolhatók össze. Az adatok kezelése kizárólag statisztikai célokat szolgál. A cookie-k lehetővé teszik egy weboldal vagy alkalmazás számára, hogy felismerje a korábbi látogatókat. A cookie-k Andi és Kora Bt. egy weboldala vagy alkalmazása optimalizálásában segít, abban, hogy a weboldal vagy alkalmazás szolgáltatásait az érintettek szokásának megfelelően alakítsa ki. A cookie-k alkalmasak továbbá arra, hogy

• megjegyezzék a beállításokat, így nem kell azokat az érintettnek újra rögzítenie, ha egy új oldalra lép,

• emlékeznek a korábban bevitt adatokra, ezért azokat nem kell újra begépelni,

• elemzik a weboldal vagy alkalmazás használatát annak érdekében, hogy az így nyert információk felhasználásával a lehető legnagyobb mértékben a felhasználó elvárásai szerint működjön, a felhasználó könnyen megtalálja a keresett információt,

• figyelemmel kísérik hirdetések hatékonyságát.

Amennyiben a weboldal vagy alkalmazás külső webes szolgáltatások segítségével jelenít meg különféle tartalmakat, az néhány olyan cookie tárolását eredményezheti, melyeket nem Andi és Kora Bt. felügyel, így nincs befolyása arra, hogy ezek a weboldalak, illetve külső domainek milyen adatokat gyűjtenek. Ezen cookie-król az adott szolgáltatásra vonatkozó szabályzatok adnak tájékoztatást.

A felhasználó beállíthatja webes keresőjét úgy, hogy elfogadjon minden cookiet, elutasítsa mindet, vagy értesítse a felhasználót, ha cookie érkezik a gépére.

A cookie azt közli az adott webkiszolgálóval, hogy egy bizonyos weblapot már korábban is meglátogatott böngészőjével a felhasználó. Ha a felhasználó például weblapokat szab testre vagy termékekre, szolgáltatásokra iratkozik fel egy webhelyen, a létrehozott cookie segítségével a weblapot tároló kiszolgáló tárolni tudja a felhasználó megfelelő adatait. Ez egyszerűsíti a személyes adatok (például a számlázási cím vagy a szállítási cím stb.) rögzítésének folyamatát. A webhely ismételt meglátogatásakor a program be tudja olvasni a korábban már megadott felhasználói adatokat, így a webhely szolgáltatásainak használata is kényelmesebbé válik.

Lehetőség van engedélyezni vagy letiltani a cookie-kat, de az érintett dönthet úgy is, hogy a böngészője kérjen engedélyt a cookie-k fogadására. A cookie-k letiltása esetén egyes webes szolgáltatások nem működnek megfelelően, és a letiltás nem jelenti a számítógép internetes jelenlétének elrejtését, sőt, a böngészési szokások továbbra is követhetőek maradnak. A letiltást követően a HTTP-kérések továbbra is tartalmazzák a kiindulási helyet (HTTP-alapú hivatkozó), az IP-címet, a böngészőprogram verziószámát, az operációs rendszer verziószámát és egyéb információt.

Az érintettek az ún. „cookie szabályzat”-ból értesülhetnek, hogy az érintett weboldal, vagy alkalmazás mennyiben és milyen módon gyűjt róluk adatokat. A cookie szabályzat általában a weboldalra történő első látogatás alkalmával jelenik meg az érintett részére, és tájékoztatja arról, hogy az adott weboldal, vagy alkalmazás a cookie-kat miként használja fel.

Cookie-k letiltása

Ha a cookie beállításait szeretné kezelni, vagy letiltani a funkcióról, azt a saját felhasználói számítógépéről megteheti böngészőjében. Ez az opció a böngésző eszköztárától függően található meg a cookie-k/sütik/követési funkciók elhelyezései menüpontban, általában azonban az Eszközök > Beállítások > Adatvédelem beállításai alatt állíthatja be, milyen követési funkciókat engedélyez/tilt le a számítógépén.

V.5. A személyes adatok tárolása

V.5.1. Adattárolás elvei

Andi és Kora Bt.-nek biztosítja, hogy a nyilvántartás módja és adattartalma a mindenkor hatályos jogszabályoknak megfeleljen. Andi és Kora Bt. gondoskodik az eltérő célú adatkezelések megfelelő logikai elkülönítéséről. Andi és Kora Bt. az elektronikus nyilvántartásokat egységes elvek alapján, a nyilvántartások adathordozóinak különbözőségéből adódó jellemzők figyelembevételével kezeli. A jelen Szabályzat szerinti elvek és kötelezettségek az elektronikus nyilvántartások esetében érvényesülnek.

A nyilvántartás tagolt, annak érdekében, hogy a jogalap, cél alapján elkülöníthető adatkezelések egymástól elkülönüljenek. Andi és Kora Bt. a nyilvántartás rendszerének felépítése, a jogosultságok meghatározása, és egyéb szervezeti intézkedések útján gondoskodik arról, hogy a személyügyi nyilvántartásban szereplő adatokat csak azok a munkavállalók, és a Andi és Kora Bt. érdekkörében eljáró személyek ismerhessék meg, akiknek erre munkakörük, feladatuk ellátása érdekében szükségük van.

Andi és Kora Bt. az elektronikus nyilvántartást olyan informatikai program útján üzemelteti, amely megfelel az adatbiztonság követelményeinek. A program biztosítja, hogy az adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van. Az adatokhoz hozzá férő személyek belépéseit és tevékenységeit a rendszer nyilvántartja.

Amennyiben az arra feljogosított hatóságok a jogszabályokban előírt módon (pl. bűncselekmény gyanújával, hivatalos adat lefoglalási határozatban) kérik fel személyes adatok átadására Andi és Kora Bt.-t, úgy – törvényi kötelezettségének eleget téve – átadja a kért és rendelkezésre álló információkat.

Személyes adatok harmadik személy vagy hatóságok számára történő kiadása – hacsak törvény ettől eltérően kötelező erővel nem rendelkezik– kizárólag hatósági határozat alapján, vagy az érintett előzetes, kifejezett hozzájárulása esetén lehetséges.

V.5.2. Elektronikus adattárolás

Andi és Kora Bt. részére elektronikus úton megadott adatokat Andi és Kora Bt. saját szerverein gyűjti, bizonyos esetekben tárolja.

V.6. Az adattárolás időtartama

Andi és Kora Bt. az adattárolás időtartamát az adatkezelés jogalapjával és céljával összhangban határozza meg. Amennyiben az adattárolás időtartamát jogszabály határozza meg, ott a jogszabály által előírt időtartamig Andi és Kora Bt. tárolja az adatokat. Amennyiben az adatkezelés célja megszűnt, az adatot törölni kell. Amennyiben az adatkezelést az érintett – jogszabályban meghatározott kivételektől eltekintve – megtiltotta, az adatokat törölni kell.

Amennyiben valamely adatot törölni kell, úgy az adatot az eredetileg tartalmazó nyilvántartásból Andi és Kora Bt. elkülöníti és áthelyezi a törlésre megjelölt adatok nyilvántartásába. A törlésre kijelölt adat nyilvántartáshoz kizárólag a törlés elektronikus megsemmisítéséhez feltétlenül szükség mértékben feljogosított Andi és Kora Bt. munkavállaló fér hozzá, feladatai ellátásához.

Az adatok törlése esetén Andi és Kora Bt. valamennyi személyes adatot töröl, avagy oly módon anonimizál, hogy az eredeti személyes adat már ne legyen helyreállítható.

Andi és Kora Bt. az elektronikus adatok időmúlás miatt szükségessé váló törlésre történő kijelölésre számítástechnikai algoritmust alkalmaz, mely 60 naponként ellenőrzi az adatkezelés időtartamát, és annak lejártát egyes adatkezelésenként, egyúttal törlésre jelöli az érintett adatot. A törlésre kijelölt adatokat felelős számítástechnikai szakember felügyelete mellett Andi és Kora Bt. rendszereiből törlésre kerül, vagy amennyiben gazdasági statisztikai célból az szükséges, az adat anonimizálására kerül sor, és azt Andi és Kora Bt. a továbbiakban személyes adattól mentesen tárolja.

Andi és Kora Bt. az érintett által kért adattörlést – amennyiben a kérelem jogszerűen teljesíthető – minden esetben elvégzi, és dokumentálja. Andi és Kora Bt. a törlési kérelemig fennálló jogszerű adatkezelés igazolása céljából, illetőleg a jövőbeni adatkezelés elkerülése érdekében a szükséges nyilvántartásokba helyezi az érintett adatait.

Andi és Kora Bt. biztosítja, hogy az adatok törlésére igazolt és ellenőrizető módon kerüljön sor.

V.7. Az adattovábbítás

Andi és Kora Bt. az egyes IV. pont szerinti egyes adatkezelések során a személyes adatot harmadik országba nem továbbítja.

Személyes adatok harmadik országba történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata megfelelő védelmi szintet biztosít.

Az adattovábbítás a Bizottság megfelelőségi határozata alapján történik.

Egyes megfelelőségi határozatok: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_hu

Az ilyen adattovábbításhoz nem szükséges külön engedély.

V.8. Adatfeldolgozás

Andi és Kora Bt. bizonyos esetekben adatokat ad át harmadik személyek részére, így

a) szerződés teljesítésében közreműködő alvállalkozó vagy alvállalkozók egy meghatározott csoportja részére

b) bírósági-, hatósági megkeresés vagy más törvényes adatszolgáltatás teljesítése érdekében Andi és Kora Bt. a szerződések teljesítése illetőleg direkt marketing célok érvényesítése érdekében adatfeldolgozókat vehet igénybe.

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy az adatokat kizárólag Andi és Kora Bt. utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi. Andi és Kora Bt.-nek a tevékenységét érintően több adatfeldolgozója van. Az adatfeldolgozó elérhetőségét, és az egyes adatfeldolgozási tevékenységeket, az adatfeldolgozással érintett adatkategóriákat a jelen Szabályzat 5.9. pontja tartalmazza.

Amennyiben Andi és Kora Bt. az érintett adatait átadja adatfeldolgozók részére, úgy arról az adatkezelés megkezdését megelőzően tájékoztatja az érintettet. Minden Andi és Kora Bt. által megbízott adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza:

a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c) ha lehetséges, az adatkezelés biztonsága érdekében tett technikai és szervezési intézkedések általános leírása.

Az említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is.

V.9. Adatfeldolgozók

Andi és Kora Bt. az alább felsorolt adatfeldolgozókkal kötött szerződést az adatfeldolgozásra. Az adatfeldolgozás magába foglal minden olyan tevékenységet az adatokkal, melyet Andi és Kora Bt. végez az adatokkal, de azok elvégzésével harmadik személyeket bízott meg, akik Andi és Kora Bt. nevében járnak el.

V.9.1. A cég adatfeldolgozói

Termékek kiszállítása www.dermahealhungary.hu esetében:

Fürgefutár.hu Kft

Adószám: 22966331-2-41

Cégjegyzékszám: 01-09-946845

Email: ugyfelszolgalat@furgefutar.hu

Honlap: http://furgefutar.hu

Nyitvatartási idő:

H-P: 8-17, SZ-V: zárva

(Tájékoztatunk, hogy irodánkban nincs személyes ügyfélfogadás!)

Bankszámlaszám:

12010855-01554065-00100001 (Raiffeisen Bank)

Tárhelyszolgáltató:

Tárhely.Eu Kft.

+36 1 789-2-789

1097 Budapest, Könyves Kálmán körút 12-14.

tarhely.eu

VI. AZ ÉRINTETTEK JOGAI

VI.1. Az érintett hozzáférési joga Az érintett jogosult arra, hogy Andi és Kora Bt.-től visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h) a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan megfelelő garanciákról.

VI.2. Helyesbítés és törlés

Az érintett jogosult arra, hogy kérésére Andi és Kora Bt. indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Andi és Kora Bt. tevékenységét, belső ügymenetét és eljárásrendjét tekintve Andi és Kora Bt. az adatokat a kérelem beérkezésétől számított 5 munkanapon belül helyesbíti.

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll: a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzés érdekében történt adatkezelés ellen tiltakozik;

d) a személyes adatokat jogellenesen kezelték;

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

VI.3. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére Andi és Kora Bt. korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy Andi és Kora Bt. ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az adatkezelés az előzőek alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

Az adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, az adatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

VI.4. Az adathordozhatóság

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

a) az adatkezelés önkéntes hozzájárulás vagy a különleges adat kezeléséhez hozzájárulását adta, vagy szerződésen alapul; és

b) az adatkezelés automatizált módon történik. Az adatok hordozhatóságához való jog előzőek szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Az előzőekben említett jog gyakorlása nem sértheti a törléshez való jogot.

VI.5. A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve a profilalkotást is. Ebben az esetben Andi és Kora Bt.  a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Az előzőekben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

VI.6. Értesítési kötelezettség

Andi és Kora Bt. minden olyan címzettet tájékoztat az adat valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

VI.7. Jogorvoslati lehetőségek

VI.7.1. Andi és Kora Bt. közvetlen jogorvoslata

Az érintettnek lehetősége van arra, hogy Andi és Kora Bt. adatkezelésével összefüggésben felmerült észrevételeit, panaszait, kifogásait közvetlenül Andi és Kora Bt. részére küldje meg Andi és Kora Bt. jelen Szabályzatban megjelölt elérhetőségein, illetve közvetlenül keresse meg Andi és Kora Bt.-t, és kérje az általa igényelt jogorvoslatot.

Az érintett az adatkezeléssel, az adatkezeléssel összefüggő jogokkal kapcsolatos kérdéseivel, panaszaival, bejelentéseivel a Andi és Kora Bt. Ügyfélszolgálatához fordulhat. Az Ügyfélszolgálat gondoskodik arról, hogy a kérdések, panaszok, bejelentések a megfelelő szervezeti egységhez eljussanak, és azokra az érintett határidőben választ kapjon, a szükséges intézkedések megtörténjenek.

 VI.7.2. Nemzeti Adatvédelmi és Információszabadság Hatóság

Az érintett a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) fordulhat, ha véleménye szerint személyes adatainak kezelésével kapcsolatban jogsérelem érte, vagy annak közvetlen veszélye fennáll, kivéve, ha az adott ügyben bírósági eljárás van folyamatban. A Hatóság bejelentés alapján vizsgálatot folytat, illetőleg hatósági eljárást indít.

A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:

postacím: 1530 Budapest, Pf. 5.

cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.

telefon: +36-1-391-1400 fax: +36 -1-391-1410

e-mail: ugyfelszolgalat@naih.hu

internetcím: www.naih.hu

VI.7.3. Bírósági jogorvoslat

Az érintett az adatkezelő székhelye avagy az érintett lakóhelye szerinti illetékes bírósághoz fordulhat személyes adatai védelme érdekében.

Andi és Kora Bt. esetében az illetékes bíróság: Budapest Környéki Törvényszék

VI.7.4. Adatvédelmi tisztviselő

Tekintettel a GDPR vonatkozó rendelkezéseire Andi és Kora Bt. nem köteles adatvédelmi tisztviselő kijelölésére, Andi és Kora Bt. ugyanis nem minősül közhatalmi szervnek vagy közfeladatot ellátó szervnek, valamint Andi és Kora Bt. tevékenységei nem foglalnak magukban olyan műveletet, amely az érintett rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, továbbá Andi és Kora Bt. nem kezel különleges adatot, illetve büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményre vonatkozó személyes adatot.

VII. ADATBIZTONSÁG

Az adatbiztonság követelménynek eleget téve az adatkezelési műveleteket úgy kell megtervezni és végrehajtani, hogy az biztosítsa az érintettek magánszférájának védelmét.

Andi és Kora Bt. gondoskodik az adatok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan költséget vagy nehézséget jelentene az adatkezelőnek.

Andi és Kora Bt. az informatikai védelemmel kapcsolatos feladatai körében gondoskodik különösen: • A jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről, ezen belül a szoftver és hardver eszközök védelméről, illetve a fizikai védelemről (hozzáférés védelem, hálózati védelem);

• Az adatállományok helyreállításának lehetőségét biztosító intézkedésekről, ezen belül a rendszeres biztonsági mentésről és a másolatok elkülönített, biztonságos kezeléséről (tükrözés, biztonsági mentés);

• Az adatállományok vírusok elleni védelméről (vírusvédelem);

• Az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről, ezen belül a tűzkár, vízkár, villámcsapás, egyéb elemi kár elleni védelemről, illetve az ilyen események következtében bekövetkező károsodások helyreállíthatóságáról (archiválás, tűzvédelem).

VIII. AZ ADATKEZELÉSI SZABÁLYZAT MÓDOSÍTÁSA

 A Andi és Kora Bt. fenntartja magának a jogot, hogy a jelen Adatkezelési Szabályzatot bármikor módosítsa, amennyiben azt a tapasztalatok alapján indokoltnak tartja, vagy a módosítást jogszabályváltozás szükségessé teszi. Amennyibe az érintett a módosításokkal nem ért egyet, úgy a változásról történő tudomásszerzést követő 8 napon belül írásban jelezheti ezt Andi és Kora Bt. felé. Ebben az esetben az érintett személyes adatait Andi és Kora Bt. köteles törölni, kivéve, ha az adatok törlését jogi kötelezettség teljesítése nem teszi lehetővé. Amennyiben az érintett a módosítást a tudomásszerzést követő fenti határidőn belül nem kifogásolja, úgy az új adatvédelmi szabályok hatályba lépnek az érintett személyes adatai tekintetében.

Budapest, 2021. március 20.

Andi és Kora Bt.

képviseletében eljár

Apáti Anikó