Adatkezelési tájékoztató
10/2023. (11.23.) számú ügyvezetői határozat
a Bv. Holding Kft.
Külső adatvédelmi szabályzatáról és
adatkezelési tájékoztatójáról
Tartalom
I. Fejezet
Általános rendelkezések.
II. Fejezet
A személyes adatok kezelésével kapcsolatos fogalmak, legfontosabb alapelvek.
III. Fejezet
Az adatkezelés jogalapja.
IV. Fejezet
Az adatkezelés célja.
V. Fejezet
Az adatkezelés tárgya.
VI. Fejezet
Az adatkezelés időtartama.
VII. Fejezet
Az érintett jogainak gyakorlása.
VIII. Fejezet
Anonim Érintett azonosító (cookie) elhelyezése és web-irányjelzők ("web-beacon")
IX. Fejezet
Adatok tárolása, feldolgozása, adattovábbítás.
X. Fejezet
Adatbiztonsági intézkedések, adatvédelmi tisztviselő.
XI. Fejezet
Álnevesítés, statisztika.
XII. Fejezet
Fogyasztói panaszok.
XIII. Fejezet
Hatósági megkeresések teljesítése.
XIV. Fejezet
Záró rendelkezések.
Jelen külső adatvédelmi szabályzat és adatkezelési tájékoztató (a továbbiakban: Tájékoztató) célja a Bv. Holding Kft. (székhely: 1064 Budapest, Rózsa utca 75-79., elérhetőség: +36 1 301 8461, bvholdingkft@bvholdingkft.hu, a továbbiakban: Társaság), mint adatkezelő tevékenysége során a személyes adatok védelméhez fűződő alkotmányos alapjogon alapuló információs önrendelkezési jog érvényesülése az érintettek jogszabályi előírásoknak megfelelő, teljes körű tájékoztatása útján.
I. Fejezet
Általános rendelkezések
1. A Társaság számára kiemelt fontosságú cél az általa üzemeltetett, www.bvholdingkft.hu honlap (a továbbiakban: Weboldal), valamint a www.bvcsomag.hu, a www.bvcsomag.hu/worker és a www.bvhwebshop.hu weboldalakon elérhető webshopok (a továbbiakban: Webshop; a Weboldal és a Webshop a továbbiakban együttesen: Honlapok) látogatói, a Webshopon megrendelést leadók és regisztrálók (a továbbiakban: Felhasználó), valamint a Társaság épületébe személyesen ellátogatók, és a Társaság tevékenysége során adatkezeléssel érintett magánszemélyek és dolgozók (a továbbiakban a Felhasználókkal együttesen: Érintettek) által a regisztráció / megrendelés / az Érintett általi elektronikus információ kérés / az épületben történő tartózkodás, valamint a központi ellátás és a belső ellátás során rendelkezésre bocsátott személyes adatok védelme, az Érintettek információs önrendelkezési jogának biztosítása, melyet a Társaság jelen Tájékoztatóban rögzített módon biztosít.
2. A Társaság fenntartja a jogot, hogy a Honlapok bármely tartalmi elemét, elnevezését, elérhetőségét bármikor, előzetes értesítés nélkül megváltoztassa vagy megszüntesse, megjelenését, tartalmát, tematikáját, működését módosítsa. Ezek a változtatások, módosítások azonban az adatkezelés célját és az adatkezelési hozzájárulást nem érintik.
3. A Weboldalon keresztül a Társaság információt nyújt az érdeklődők számára a tevékenységével összefüggésben.
4. A Webshopban
a) a fogvatartottak részére történő csomagküldésre (www.bvcsomag.hu),
b) a büntetés-végrehajtási szervezet meghatározott szervezeti egységeinek (a továbbiakban: büntetés-végrehajtási szervek) állományába tartozók által háztartási és élelmiszeripari termékek megrendelésére (www.bvcsomag.hu/worker), valamint
c) a Belügyminisztérium irányítása alatt álló rendvédelmi szervek, valamint azok igényjogosult hivatásos állománya által ruházati termékek megrendelésére (www.bvhwebshop.hu)
van lehetőség.
5. A Társaság a Webshopban bemutatja azokat a termékeket, amelyeket
a) a 4. a) pont esetében a fogvatartott regisztrált kapcsolattartója a büntetések, az intézkedések, egyes kényszerintézkedések és a szabálysértési elzárás végrehajtásáról szóló 2013. évi CCXL. törvény 176. § (5) bekezdése szerinti csomagküldés keretében a szabadságvesztés, az elzárás, az előzetes letartóztatás és a rendbírság helyébe lépő elzárás végrehajtásának részletes szabályairól szóló 16/2014. (XII.19.) IM rendelet (a továbbiakban: IM rendelet) 103. § (1) bekezdése alapján 5 kg-ot meg nem haladó tömegig kiválaszthat;
b) a 4. b) pont esetében a büntetés-végrehajtási szervek regisztrált állománya megrendelhet;
c) a 4. c) pont esetében a Belügyminisztérium irányítása alatt álló rendvédelmi szervek, valamint azok regisztrált igényjogosult hivatásos állományai megrendelhetnek.
6. A Társaság az Érintettek azonosítása során átvett adatokat az általuk leadott megrendelések teljesítése céljából kezeli.
7. A Társaság az Érintettek személyes adatait bizalmasan, a hatályos jogszabályi előírásokkal – különös tekintettel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény rendelkezéseire, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendeletre – összhangban kezeli, gondoskodik azok biztonságáról, megteszi azokat a technikai és szervezési intézkedéseket, valamint kialakítja azokat az eljárási szabályokat, amelyek a vonatkozó jogszabályi rendelkezések és más ajánlások érvényre juttatásához szükségesek.
8. Jelen Tájékoztató foglalja össze azokat az elveket, amelyek meghatározzák a Társaság személyes adatok védelmével kapcsolatos politikáját és mindennapos gyakorlatát, bemutatja azokat a szolgáltatásokat, melyek során a Társaság az Érintettől személyes adatokat kér, a Tájékoztató keretében a Társaság nyilatkozik továbbá arról, hogy milyen célra, és hogyan használja fel az ilyen jellegű adatokat, illetve hogyan biztosítja a személyes adatok megőrzését és védelmét.
9. A Társaság a Tájékoztató kialakítása során figyelembe vette a vonatkozó hatályos jogszabályokat, illetve a fontosabb nemzetközi ajánlásokat, különös tekintettel az alábbiakra:
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.);
- a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelet (a továbbiakban: GDPR);
- az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvény;
- a kutatás és a közvetlen üzletszerzés célját szolgáló név-és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény;
- az elektronikus hírközlésről szóló 2003. évi C. törvény;
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Grt.);
- a büntetések, az intézkedések, egyes kényszerintézkedések és a szabálysértési elzárás végrehajtásáról szóló 2013. évi CCXL. törvény (a továbbiakban: Bv. tv.);
- IM rendelet
- a büntetés-végrehajtási szervek Adatvédelmi és Adatbiztonsági Szabályzatáról szóló 3/2019. (III.20.) BVOP utasítás;
- a Bv. Holding Kft. adatvédelmi és adatbiztonsági szabályzatáról szóló ügyvezetői határozat;
- az adatvédelmi biztos ajánlásai, állásfoglalásai és az általa kialakított adatvédelmi gyakorlat.
10. A Társaság az Érintettek kérése esetén a kérelmükben foglaltaknak megfelelően minden esetben részletes tájékoztatást nyújt a kezelt személyes adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról és az adatkezeléssel összefüggő tevékenységről.
11. A Társaság kizárólag olyan személyes adatot kezel, amelynek rögzítése szükséges ahhoz, hogy az Érintettekkel fennálló jogviszonyában, valamint a rá vonatkozó jogszabályi előírások tekintetében jogait gyakorolhassa, kötelezettségeit teljesíthesse.
II. Fejezet
A személyes adatok kezelésével kapcsolatos fogalmak, legfontosabb alapelvek
12. Fogalmak
12.1. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
12.2. Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele.
12.3. Közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása
12.4. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
12.5. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel – az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel.
12.6. Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.
12.7. Azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális, vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható.
12.8. Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az Érintettel, az Adatkezelővel vagy az Adatfeldolgozóval (Infotv. 3.§ 22.), vagy azokkal a személyekkel, akik az Adatkezelő vagy Adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak (GDPR 4. cikk 10.).
12.9. Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés.
12.10. Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
12.11. Hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.
12.12. Nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre, vagy amely ilyen megállapodás alapján jött létre.
12.13. Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.
12.14. IP-cím: Egyedi hálózati azonosító, amely az internethasználathoz szükséges TCP/IP - hálózati protokollt használó eszközök egymás közötti azonosítására szolgál. Minden internetre csatlakozó informatikai eszköz rendelkezik egyedi IP címmel, amelyen keresztül azonosítható.
12.15. Süti (cookie): Olyan adatcsomag (fájl), amelyet az internetes tartalomszerver állít elő, és ad át a webböngésző programnak. A sütik információt tartalmazhatnak az adott internetes szerveren végzett keresésekről, megadott információkról, melyek a szerveren is tárolásra kerülnek. A sütik használatának elsődleges célja a felhasználói profilinformációk tárolása, mellyel elsősorban a felhasználó által kedvelt beállítások őrződnek meg, így a felhasználó a megszokott módon férhet hozzá az internetes oldalhoz. A sütiket a böngésző program egy elkülönített könyvtárban tárolja az Érintett által használt eszközökön (számítógépen, táblagépen, okostelefonon stb.). A süti egyértelműen azonosítja és a webszerver számára felismerhetővé teszi a felhasználót, és az általa az interneten használt eszközt. A GDPR a személyes adatok közé sorolja a felhasználó által használt eszközre kerülő cookie- és egyéb azonosítókat is.
12.16. Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
12.17. Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
13. Jelen Tájékoztatóban nem rögzített fogalmak tekintetében az Info tv. és a GDPR rendelkezései az irányadóak.
14. Alapelvek
14.1. Jogszerűség, tisztességes eljárás és átláthatóság
Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
Személyes adat az Info tv. 5. § (1) bekezdése alapján akkor kezelhető, ha
a) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,
b) az a) pontban meghatározottak hiányában az az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,
c) az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy
d) az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.
A GDPR 6. cikke alapján a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ezen pont nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
14.2. Célhoz kötöttség
Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának.
14.3. Adattakarékosság
Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
14.4. Pontosság
A Társaság köteles az általa kezelt adatok pontosságát (helyességét) biztosító intézkedések megtételére.
14.5. Korlátozott tárolhatóság
A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.
A személyes adatot törölni kell, ha a GDPR 17. cikk (1) bekezdésében vagy az Info tv. 20. §-ában foglalt indokok valamelyike fenn áll.
14.6. Integritás és bizalmas jelleg
Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Amennyiben valamely Érintett személyes adatokat bocsát a Társaság rendelkezésére, a Társaság minden szükséges lépést megtesz, hogy biztosítsa ezeknek az adatoknak a biztonságát – mind a hálózati kommunikáció (tehát online adatkezelés) során, mind az adatok tárolása, őrzése (tehát offline adatkezelés) során.
A személyes adatokhoz csak az illetékes munkaköröket betöltő személyek férhetnek hozzá – magas szintű hozzáférési kontrollok alkalmazása mellett.
14.7.Elszámoltathatóság
A Társaság felelős az alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
A Társaság általános elvként nyilvánítja ki, hogy minden olyan esetben, amikor személyes adatokat kér Érintettektől, a szükséges tájékoztató szöveg elolvasása és értelmezése után szabadon dönthetnek arról, megadják-e a kért információkat.
Amennyiben az Érintett nem adja meg személyes adatait, nem tudja a Webshop regisztrációhoz kötött szolgáltatásait igénybe venni.
15. Társaság az adatkezelés alapelveit tiszteletben tartja és azok mindenkori érvényesítésére törekszik.
III. Fejezet
Az adatkezelés jogalapja
16. A Társaság az V. fejezetben foglalt személyes adatokat a Honlapok üzemeltetése kapcsán az alábbi jogalapokra hivatkozással kezeli:
a) ha az Érintett hozzájárulását adta a személyes adatainak kezeléséhez (GDPR 6. cikk (1) bekezdés a) pont);
b) ha szerződésen alapul az adatkezelés (GDPR 6. cikk (1) bekezdés b) pont);
(név, szállítási cím, számlázási cím, a központi és a belső ellátás során kezelt adatok)
c) ha az adatkezelés a Társaságra vonatkozó jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés c) pont);
d) ha a reklám közzétevője az Érintettek személyes adatairól nyilvántartást vezet, amely csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át (Grt. 6. § (5) bekezdése);
e) Az Adatfeldolgozó a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek (az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése).
17. A Webshop szolgáltatása és az ellátási kötelezettség teljesítése során a fentieken túl az adatkezelés jogalapja:
a) a Bv. tv., továbbá az IM rendelet.
b) a büntetés-végrehajtási szervezet részéről a büntetés-végrehajtásért felelős miniszter vezetése, irányítása vagy felügyelete alá tartozó szervek irányában fennálló ellátási kötelezettségről, a fogvatartottak kötelező foglalkoztatása keretében előállított termékekről és szolgáltatásokról, azok átadás-átvételéről és az ellentételezés rendjéről szóló 9/2011. (III.23.) BM rendelet (a továbbiakban: BM rendelet), valamint a büntetés-végrehajtási szervezet részéről a központi államigazgatási szervek és a rendvédelmi szervek irányában fennálló egyes ellátási kötelezettségekről, a termékek és szolgáltatások átadás-átvételének és azok ellentételezésének rendjéről szóló 44/2011. (III.23.) Korm. rendelet (a továbbiakban: Korm. rendelet).
18. A Társaság épületébe személyesen ellátogatók Érintettek esetén az adatkezelés jogalapja az Érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme (vagyonbiztonsági, bűnmegelőzési és bűnfelderítési célból), amely érdekében képfelvétel készíthető vagy elektronikus beléptető rendszer adatai tárolhatók (GDPR 6. cikk (1) bekezdés d) és f) pont).
19. Társaság rögzíti, hogy a GDPR 6. cikk (1) bekezdés b) pont szerinti (szerződésen alapuló) adatkezelési jogalap nemteljesítés esetén a GDPR 6. cikk (1) bekezdés b) pontját meghaladóan az f) pont (jogos érdek) szerinti jogalappá alakul át.
20. Az Érintett hozzájárulását a Webshopban történő regisztráció során elektronikus formában tevőlegesen, az Adatkezelési Nyilatkozat melletti tickbox bepipálásával adja meg. Az Érintett a hozzájárulását bármikor visszavonhatja, és ezzel kérheti adatainak törlését (elfeledtetését), zárolását vagy a hozzájárulással érintett adatait módosíthatja, kiegészítheti. Folyamatban lévő megrendelés esetén az adatkezelési hozzájárulás visszavonása a megrendeléstől való elállásnak minősül, mely tényre a törlési (elfeledtetési) kérelemben a Társaság külön felhívja az Érintett figyelmét arra, hogy az Érintett adatait a Társaság a GDPR. 6. cikk (1) bekezdés f) pontja alapján mindaddig jogosult kezelni, amíg az elállás folytán a szerződéskötést megelőző állapotot a felek helyre nem állították. A GDPR 7. cikk (3) bekezdés, valamint 13. cikk (2) bekezdés c) pontja alapján a hozzájárulás visszavonása az azt megelőző adatkezelés jogszerűségét nem érinti.
IV. Fejezet
Az adatkezelés célja
21. Társaság az V. fejezetben foglalt adatokat az alábbi célok érvényesítése érdekében kezeli:
22. Az Adatkezelő által folytatott adatkezelések célja:
a) a megrendelések teljesítése (név, szállítási cím, központi és belső ellátás során kezelt adatok);
b) a szolgáltatás működésének ellenőrzése (név, telefonszám, e-mail cím);
c) az Érintettek jogainak védelme, a visszaélések megakadályozása (név, telefonszám, e-mail cím);
d) az Érintettek azonosítása és egymástól való megkülönböztetése (név, telefonszám, számlázási cím, e-mail cím, felhasználónév, jelszó);
e) kapcsolatfelvétel és kapcsolattartás (név, telefonszám, e-mail cím);
f) statisztikák készítése (álnevesítéssel megrendelésenként);
g) kötelezettségek teljesítése (név, szállítási cím, számlázási cím, telefonszám, e-mail cím);
h) a számla kiállítása (név, számlázási cím);
i) vagyonbiztonság és jogellenes cselekmények felderítése, megakadályozása (képfelvétel, elektronikus beléptető rendszerben tárolt adatok);
j) online tartalomszolgáltatás;
k) jogszabály által elrendelt adatkezelés és adatszolgáltatás teljesíthetősége;
l) a büntetések, az intézkedések, egyes kényszerintézkedések és a szabálysértési elzárás végrehajtásáról szóló 2013. évi CCXL. törvényben, továbbá az IM rendeletben meghatározott fogvatartottak részére történő zártláncú csomagküldés feladatainak teljesítése;
m) a Korm. rendeletben és a BM rendeletben foglalt ellátási kötelezettségek teljesítése.
23. Minden olyan esetben, ha a szolgáltatott személyes adatokat a Társaság az eredeti adatfelvétel céljától eltérő célra kívánja felhasználni, erről az Érintettet tájékoztatja, és ehhez előzetes, kifejezett hozzájárulását megszerzi, illetőleg lehetőséget biztosít számára, hogy a felhasználást megtiltsa.
V. Fejezet
Az adatkezelés tárgya
24. A Webshopon történő megrendelés előfeltétele a regisztráció. A Webshop használata során kezelt adatok:
a) A jelen Tájékoztató IV. fejezet 1. a) pontja szerinti www.bvcsomag.hu webshop esetében:
A Társaság a webshop üzemeltetése során fogvatartotti adatokat nem tárol, kizárólag a kapcsolattartó által megadott, a regisztrációhoz és a számlázáshoz szükséges adatokat kezeli, amik a csomagküldés folyamatához szükségesek a tranzakció lezárásáig. Reklamációkezelés érdekében az adatok tárolására 60 napig a Mobil Kapcsolat Zrt. és a Konasoft KFT, mint Adatfeldolgozó (a továbbiakban: Adatfeldolgozó) jogosult. A fogvatartottak részére történő csomagküldés során a szükséges regisztrációt követően az ott megadott, fogvatartotthoz tartozó kapcsolat adatait az arra jogosult Adatfeldolgozó tárolja és kezeli, ahhoz a Társaság saját adatbázisából nem fér hozzá. Az Adatfeldolgozó által kezelt NeoPortal-on keresztül az arra jogosult admin felhasználók tudják a fogvatartotti kapcsolattartók önkéntesen megadott adatait kezelni.
Regisztráció során megadott adatok:
Név
Telefonszám
Preferált nyelv
E-mail cím
Jelszó (a Társaság nem látja)
Számlázási adatok (név, számlázási cím)
Fogvatartotthoz tartozó kapcsolat adatai:
Kapcsolati azonosító
PIN kód (a Társaság nem látja)
Kapcsolat elnevezése (a Társaság nem látja)
b) A jelen Tájékoztató IV. fejezet 1. b) pontja szerinti www.bvcsomag.hu/worker webshop esetében:
Név
Telefonszám
Preferált nyelv
E-mail cím
Jelszó (a Társaság nem látja)
Számlázási adatok (név, számlázási cím)
A Társaság a webshop üzemeltetése során fogvatartotti adatokat nem tárol, kizárólag a kapcsolattartó által megadott, a regisztrációhoz és a számlázáshoz szükséges adatokat kezeli, amik a csomagküldés folyamatához szükségesek a tranzakció lezárásáig. Reklamációkezelés érdekében az adatok tárolására 60 napig az Adatfeldolgozó jogosult.
A regisztrációra a Belügyminisztérium Gazdasági Helyettes Államtitkársága, az Országos Rendőr- főkapitányság, a Terrorelhárítási Központ, a Nemzeti Védelmi Szolgálat, a BM Országos Katasztrófavédelmi Főigazgatóság, a Terrorelhárítási Információs és Bűnügyi Elemzési Központ, valamint a Büntetés-végrehajtás Országos Parancsnoksága alá tartozó állomány részére rendszeresített e-mail használata mellett van lehetősége, ennek hiányában a regisztráció nem lehetséges.
c) A jelen Tájékoztató IV. fejezet 1. c) pontja szerinti www.bvhwebshop.hu webshop esetében:
Név
E-mail cím
Mobil telefonszám
Számlázási cím
Szállítási cím
Felhasználónév
Jelszó
Hadrendi szám[1]
Parancsszám[2]
Rendfokozat[3]
25. A kezelt adatok körét a megrendelés teljesítése (név, kapcsolati adatok), kapcsolattartás (név, telefonszám, e-mail cím) és a számlakiállítás feltételeinek biztosítása (név, számlázási cím), valamint a Webshopon regisztrált Felhasználó belépési adatai (Felhasználónév, jelszó) határozta meg.
A személyes adatok szolgáltatása jogszabályon és szerződéses kötelezettségen alapul, a megrendelésre irányuló szerződés megkötésének előfeltétele. Az Érintett köteles a személyes adatokat megadni, amennyiben online kíván vásárolni. Az adatszolgáltatás elmaradása az online megrendelést akadályozza.
26. A központi és a belső ellátás során kezelt adatok az ellátásban résztvevő Érintett:
a) természetes személyazonosító adataira,
b) egyenruházati ellátáshoz szükséges méretállási adatokra terjed ki.
27. A Társaság, mint adatkezelő nyilvántartja és kezeli a központi és belső ellátással kapcsolatos adatokat, amelynek célja a központi államigazgatási szervek és a rendvédelmi szervek irányában fennálló ellátási kötelezettségek teljesítése.
28. A GDPR rendelet 9. cikk (1) alapján a Társaság semmilyen körülmények között nem gyűjt különleges adatokat, amelyek faji eredetre, nemzeti, nemzetiségi és etnikai hovatartozásra, politikai véleményre vagy pártállásra, vallásos vagy más meggyőződésre, egészségi állapotra, kóros szenvedélyre, szexuális életre vonatkoznak.
29. A Társaság az Érintettek által biztosított személyes, illetve egyéb adatokat nem egészíti ki és nem kapcsolja össze más forrásból származó adatokkal, vagy információval.
30. Az Érintettek néhány adata, így az IP címe, egyéb forgalmi adatai, valamint viselkedési adatai annak érdekében szintén rögzítésre kerülnek, hogy a Honlapok látogatottsága számszerűsíthető legyen, és az esetlegesen felmerülő hibákat és betöréseket a Társaság azonosíthassa. Ezen adatokat a Társaság csak a szükséges ideig kezeli, és azokat nem köti össze olyan egyéb adatokkal, amelyek segítségével az Érintett személye azonosíthatóvá válik (álnevesítés). Az adatok kezelése külföldön elhelyezett szervereken is történhet.
31. A Társaság a 1064 Budapest, Rózsa utca 75-79. szám alatti székhelyén történő eseményekről vagyonbiztonsági, bűnfelderítési és bűnmegelőzési célokból kamerás képrögzítést végez, valamint elektronikus beléptető rendszert működtet, amelyről külön ügyvezetői határozat rendelkezik.
VI. Fejezet
Az adatkezelés időtartama
32. Az adatkezelés időtartama:
A Webshopon a regisztrált Felhasználók esetén a regisztráció törlésének napját követő 5 évig, illetőleg amennyiben a regisztráció törlését megelőzően megrendelés történt, mely a regisztráció törlésének időpontjáig nem lett teljesítve, úgy a megrendelés teljesítésétől számított 5 évig.
A központi és belső ellátás során kezelt adatokat a Társaság mindaddig kezelheti, ameddig a központi és belső ellátásban kötött ellátási megállapodások alapján az Érintettel vagy a Társasággal szemben igény érvényesíthető. A Polgári Törvénykönyvről szóló 2013. évi V. törvény 6:22.§-a alapján az általános elévülési idő 5 év. A Számlázási adatok (név, számlázási cím) a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése szerint a számla kiállításától számított 8 évig kerülnek megőrzésre.
33. Az Érintett az adatkezeléshez való hozzájárulását bármikor visszavonhatja, kérheti a hozzájárulással érintett adatainak törlését (elfeledtetését), zárolását vagy adatait módosíthatja, kiegészítheti. Folyamatban lévő megrendelés esetén az adatkezelési hozzájárulás visszavonása a megrendeléstől való elállásnak minősül, mely tényre a törlési (elfeledtetési) kérelemben a Társaság külön felhívja az Érintett figyelmét azzal, hogy az Érintett adatait a Társaság a GDPR. 6. cikk (1) bekezdés f) pontja alapján mindaddig jogosult kezelni, amíg az elállás folytán a szerződéskötést megelőző állapotot a felek helyre nem állították. A GDPR 7. cikk (3) bekezdés, valamint 13. cikk (2) bekezdés c) pontja alapján a hozzájárulás visszavonása az azt megelőző adatkezelés jogszerűségét nem érinti.
34. Ha a személyes adat felvételére az Érintett hozzájárulásával került sor, a Társaság a felvett adatokat törvény eltérő rendelkezésének hiányában
a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
b) a Társaság vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll
további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.
VII. Fejezet
Az érintett jogainak gyakorlása
35. Az Érintett jogosult arra, hogy
a) az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon,
b) kérelmére személyes adatait és az azok kezelésével összefüggő információkat a Társaság a rendelkezésére bocsássa,
c) kérelmére személyes adatait a Társaság helyesbítse, illetve kiegészítse,
d) kérelmére személyes adatai kezelését a Társaság korlátozza,
e) kérelmére személyes adatait a Társaság törölje,
f) személyes adatainak kezelése (GDPR 6. cikk (1) bekezdés e) és f) pont) ellen tiltakozzon.
36. Az Érintett jogosult arra, hogy visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a GDPR 15. cikk (1) bekezdésében felsorolt információkhoz hozzáférést kapjon.
37. Az Érintett jogosult arra, hogy kérésére a Társaság indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha a GDPR 17. cikk (1) bekezdésében vagy az Info tv. 20. §-ában foglalt indokok valamelyike fennáll. Ha bármelyik Érintett kéri, hogy a Társaság személyes adatait törölje ki saját rendszeréből, a Társaság ezt haladéktalanul teljesíti úgy, hogy az adatbázisából kitörli a megfelelő, Érintett által korábban megjelölt adatokat.
38. Az Érintett adatait a Társaság a GDPR. 6. cikk (1) bekezdés b) és f) pontja alapján mindaddig jogosult kezelni, amíg az elállás folytán a szerződéskötést megelőző állapotot a felek helyre nem állították, vagy az a szerződés teljesítéséhez szükséges. A GDPR 7. cikk (3) bekezdés, valamint 13. cikk (2) bekezdés c) pontja alapján a hozzájárulás visszavonása az azt megelőző adatkezelés jogszerűségét nem érinti.
39. A törlés (elfeledtetés) iránti kérelem benyújtható elektronikusan a Társaság e-mail elérhetőségén, vagy papír alapon a Társaság székhelyére küldött levélben, vagy szóban a telefonos elérhetőségen. A szóban közölt törlés iránti kérelemről a Társaság írásbeli megerősítést küld az Érintett részére.
40. Törlési kérelem (adatkezelési hozzájárulás visszavonása) esetén a Társaság által kezelt adatok a kérelem kézhezvételének időpontjától kezdődően az önkéntes hozzájárulás jogalapján nem kezelhetőek.
41. A törlési (elfeledtetési) kérelem esetében a Társaság valamennyi, a kérelem kézhezvételét megelőzően jogszerűen kezelt adatok bevonásával történő kapcsolatot köteles törölni a rendszerből.
42. Amennyiben a kezelt adatokban változás történt vagy azok hiányosak, azt az Érintett kérheti módosítani, helyesbíteni, kiegészíteni az adatbázisban. A helyesbítés iránti kérelem benyújtható elektronikusan a Társaság e-mail elérhetőségén, vagy papír alapon a Társaság székhelyére küldött levélben, vagy szóban a telefonos elérhetőségen. A szóban közölt módosítás iránti kérelemről a Társaság írásbeli megerősítést küld az Érintett részére.
43. Az Érintett jogosult arra, hogy kérésére a Társaság korlátozza az adatkezelést:
a) ha vitatja a Társaság által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára,
b) ha az Info tv. 20. § a) pontjában meghatározottak szerint az adatok törlésének lenne helye, de az Érintett írásbeli nyilatkozata vagy a Társaság rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az Érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,
c) ha az Info tv. 20. § a) pontjában meghatározottak szerint az adatok törlésének lenne helye, de a Társaság vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások - így különösen büntetőeljárás - során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig,
d) ha az Info tv. 20. § a) pontjában meghatározottak szerint az adatok törlésének lenne helye, de az Info tv. 12. § (2) bekezdésében foglalt dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, az Info tv.-ben meghatározott időpontig,
e) ha a GDPR 18. cikkben meghatározottak valamelyike teljesül.
44. A korlátozás alá eső adatot a tárolás kivételével kizárólag az Érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes, vagy jogi személy jogainak védelme érdekében, illetve fontos közérdekből lehet kezelni (Adatkezelés korlátozásához való jog). A korlátozás iránti kérelem benyújtható elektronikusan a Társaság e-mail elérhetőségén, vagy papír alapon a Társaság székhelyére küldött levélben, vagy szóban a telefonos elérhetőségen. A szóban közölt korlátozás iránti kérelemről a Társaság írásbeli megerősítést küld az Érintett részére.
45. A Társaság, mint adatkezelő az Érintett helyesbítés, korlátozás vagy törlés iránti kérelmét a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében 25 napon belül döntést hoz, és döntéséről a kérelmező Érintettet írásban tájékoztatja. A helyesbítés, törlés vagy korlátozás iránti kérelem elutasítása esetén a Társaság tájékoztatja az Érintettet a kérelem elutasításának ténybeli és jogi indokairól, valamint a bírósági jogorvoslat, továbbá a felügyeleti hatósághoz fordulás lehetőségéről.
46. Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben a Társaság a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
47. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az Érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
48. Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
49. Az Érintett tiltakozása esetén a Társaság további adatkezelésre nem jogosult.
50. A GDPR 6. cikk (1) bekezdés d) és f) pontjai (jogos érdek) szerinti jogalappal kezelt adatok tekintetében a törlés iránti kérelem / hozzájárulás visszavonása helyett az Érintett az adatai kezelése elleni tiltakozással léphet fel.
51. A Társaság, mint adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében 25 napon belül döntést hoz, és döntéséről a kérelmező Érintettet írásban tájékoztatja.
52. Személyes adataik kezeléséről az Érintettek tájékoztatást kérhetnek. A tájékoztatás iránti kérelem benyújtható elektronikusan a Társaság e-mail elérhetőségén, vagy papír alapon a Társaság székhelyére küldött levélben, vagy szóban a telefonos elérhetőségen. A szóban közölt tájékoztatás iránti kérelemről a Társaság írásbeli megerősítést küld az Érintett részére.
53. Az Érintett kérelmére a Társaság tájékoztatást ad az Érintett általa kezelt adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adattovábbítás tényéről, jogalapjáról, címzettjének nevéről, címéről és az adatkezeléssel összefüggő valamennyi tevékenységéről. A Társaság köteles a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül azt megvizsgálni és 25 napon belül, közérthető formában, az Érintett erre irányuló kérelmére írásban megadni a tájékoztatást.
54. A fentebb írt tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet a Társasághoz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték vagy a tájékoztatás kérése helyesbítéshez vezetett.
55. Az érintett tájékoztatását a Társaság csak az Info tv.-ben és a GDPR-ben meghatározott esetekben tagadhatja meg. A tájékoztatás megtagadása esetén a Társaság írásban közli az érintettel, hogy a felvilágosítás megtagadására mely rendelkezés alapján került sor. A felvilágosítás megtagadása esetén a Társaság tájékoztatja az Érintettet a bírósági jogorvoslat, továbbá a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH) fordulás lehetőségéről. Az elutasított kérelmekről a Társaság a NAIH-t évente a tárgyévet követő év január 31-éig értesíti.
56. A GDPR 20. cikke alapján az Érintett jogosult az általa a Társaság rendelkezésére bocsátott adatait tagolt, széles körben használt, géppel olvasható formátumban megkapni, továbbá más adatkezelőhöz továbbítani. (Adathordozhatóság)
57. Az Érintett kérheti az adatok közvetlen továbbítását a másik adatkezelőhöz – ha ez technikailag megvalósítható.
58. Az adathordozás iránti kérelem benyújtható elektronikusan a Társaság e-mail elérhetőségén, vagy papír alapon a Társaság székhelyére küldött levélben, vagy szóban a telefonos elérhetőségen. A szóban közölt adathordozás iránti kérelemről a Társaság írásbeli megerősítést küld az Érintett részére.
59. A Társaság, mint adatkezelő az Érintett adathordozás iránti kérelmét a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, 25 napon belül döntést hoz és döntéséről a kérelmező Érintettet írásban tájékoztatja. Ha a Társaság az Érintett adathordozás iránti kérelmét nem teljesíti, közli a kérelem elutasításának ténybeli és jogi indokait. Az adathordozás iránti kérelem elutasítása esetén a Társaság tájékoztatja az Érintettet a bírósági jogorvoslat, továbbá a felügyeleti hatósághoz fordulás lehetőségéről.
60. A GDPR 6. cikk (1) bekezdés d) és f) pontjai (jogos érdek) szerinti jogalappal kezelt adatok tekintetében az Érintettet az adathordozhatóság joga nem illeti meg.
VIII. Fejezet
Anonim Érintett azonosító (cookie) elhelyezése és web-irányjelzők ("web-beacon")
61. A Társaság cookie-kat használ a Honlapokon. A Honlapok használata során történő „cookie”-k és „web-beacon”-ök létrehozásával kapcsolatos tudnivalókat részletesen a Honlapokon rögzített Cookie Tájékoztatás tartalmazza.
IX. Fejezet
Adatok tárolása, feldolgozása, adattovábbítás
62. Adatok tárolása
A Társaság, mint adatkezelő a kezelt adatokat fizikai szerveren, a 1064 Budapest, Rózsa utca 75-79. szám alatt tárolja.
63. Adatfeldolgozás
64. A Társaság Adatfeldolgozót vesz igénybe az adatkezelés során, és az adatokat csak a Társaság szolgáltatásainak nyújtásában közreműködő, megfelelő titoktartási kötelezettséggel terhelt szervek és személyek ismerhetik meg. Az Adatfeldolgozó 60 napig jogosult az adatok tárolására a reklamációkezelés érdekében.
65. Az Adatfeldolgozó tevékenysége során biztosítja, hogy az érintett személyes adatokhoz való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak.
66. Az Adatfeldolgozó adatai:
Név: Konasoft KFT
Székhely: 1037 Budapest, Bokor utca 15-21. 1. em. 29. ajtó
E-mail cím: info@konasoft.hu
Honlap: https://www.konasoft.hu/web_2018/index.html
67. Az Adatfeldolgozó adatai:
Név: Mobil Kapcsolat Zrt.
Székhely: 1117 Budapest, Alíz utca 1. B. ép. 6. em.
E-mail cím: info@mobilkapcsolat.co.hu
Honlap: https://www.mobilkapcsolat.co.hu/
68. Az Adatfeldolgozók által, az adatfeldolgozási tevékenység során vállalt garanciák az Adatfeldolgozók honlapján tekinthetők meg:
69. Adattovábbítás
70. A Társaság által vezetett nyilvántartásból – a GDPR 46. cikkében és az Info tv. 9. § szakaszában meghatározott módon – csak és kizárólag a teljesítésében résztvevő, a Társaság elismert vállalatcsoport tagját képező bv. gazdasági társaság, vagy bv. szerv részére személyazonosításra alkalmas módon, statisztikai célra csak személyazonosításra alkalmatlan módon szolgáltatható adat.
71. Ezt meghaladóan az adattovábbítás jogszabály vagy közhatalmi szerv kötelező előírása alapján, illetve abban az esetben történik, ha információbiztonsági okból, vagy a visszaélések megelőzése céljából indokolt.
72. Az Info tv. 9.§ (1) bekezdése értelmében, ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az Adatkezelő vagy az Adatfeldolgozó személyes adatot akként vesz át, hogy az adattovábbító Adatkezelő vagy Adatfeldolgozó az adattovábbítással egyidejűleg jelzi a személyes adat
a) kezelésének lehetséges célját,
b) kezelésének lehetséges időtartamát,
c) továbbításának lehetséges címzettjeit,
d) érintettje az Info tv.-ben biztosított jogainak korlátozását, vagy
e) kezelésének egyéb feltételeit
[az a)–e) pont a továbbiakban együtt: adatkezelési feltételek], a személyes adatokat átvevő adatkezelő és adatfeldolgozó (a továbbiakban: adatátvevő) a személyes adatot az adatkezelési feltételeknek megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési feltételeknek megfelelően biztosítja.
73. A Webshopon történő bankkártyás, illetve átutalásos tranzakciók lebonyolításához a Társaság a Webshop felhasználói adatbázisában tárolt alábbi személyes adatokat a Mobil Kapcsolat Zrt.-n keresztül adja át az OTP Mobil Kft. (1143 Budapest, Hungária körút 17-19.), mint Adatkezelő részére. Az OTP Mobil Kft. adatkezelési tájékoztatója az alábbi honlapon tekinthető meg: https://otpmobil.hu/adatkezelesi-tajekoztato/
74. A továbbított adatok köre: vezetéknév, keresztnév, ország, telefonszám, e-mail cím.
75. Az adattovábbítás célja: a felhasználók részére történő ügyfélszolgálati segítségnyújtás, a tranzakciók visszaigazolása és a felhasználók érdekében végzett fraud-monitoring.
76. A Társaság által biztosított garanciák
77. Társaság feltétel nélküli és visszavonhatatlan kötelezettséget vállal az Érintett személyes adatainak védelmére. A Társaság felelőssége a személyes adatok további kezelése, továbbítása során igénybe vett partnerek megfelelőségéről meggyőződni, ezáltal biztosítva a személyes adatok előírt védelmét.
78. A harmadik országba történő adattovábbítás címzettjei a Társasággal megkötött, a személyes adatok védelmére vonatkozó külön megállapodásban kötelezik el magukat az EU-ban érvényes és hatályos adatvédelmi jogszabályoknak megfelelő védelmi szintet biztosító intézkedések megtételére. A Társaság részére az ilyen szerződések kellő lehetőséget és eszközt biztosítanak a személyes adatok megfelelő védelmének kikényszerítésére, garanciát nyújtva az Érintett számára jogai védelme és gyakorlása érdekében.
79. A Társaság felelőssége, hogy a jelen pontban előírt megállapodásokat és azok módosításait a GDPR 46. cikk (3) bekezdése alapján a NAIH, illetve a mindenkor illetékes felügyeleti hatóság részére engedélyezésre bemutassa.
X. Fejezet
Adatbiztonsági intézkedések, adatvédelmi tisztviselő
80. Adatbiztonsági intézkedések
81. Az Érintettek által megadott személyes adatok kezelésével, tárolásával kapcsolatban a Társaság a lehető legnagyobb gondossággal jár el. Az informatikai biztonság területén a Társaság az ésszerűen elérhető leghatékonyabb, legmodernebb eszközöket és eljárásokat alkalmazza.
82. A Társaság az adatkezelési műveleteket úgy tervezi meg és hajtja végre, hogy biztosítsa az Érintettek magánszférájának védelmét. A Társaság gondoskodik az adatok biztonságáról, továbbá megteszi azokat a technikai és szervezési intézkedéseket, és kialakította azokat az eljárási szabályokat, amelyek az Info tv., a GDPR, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
83. Az adatokat a Társaság megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
84. A Társaság különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az Érintetthez rendelhetők.
85. A Társaság a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választotta meg és üzemelteti, hogy a kezelt adat:
a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);
b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége);
c) változatlansága igazolható (adatintegritás);
d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága) legyen.
86. A Társaság olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.
87. A Társaság informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. A Társaság a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodik.
88. Az interneten továbbított elektronikus üzenetek, protokolltól (e-mail, web, ftp, stb.) függetlenül sérülékenyek a hálózati fenyegetésekkel szemben, amelyek tisztességtelen tevékenységre, vagy az információ felfedésére, módosítására vezethetnek. Az ilyen fenyegetésektől megvédendő a Társaság megtesz minden tőle elvárható óvintézkedést. A rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen és bizonyítékkal szolgálhasson minden biztonsági esemény esetében. Azonban az internet köztudomásúlag – így az Érintettek számára is ismert módon – nem száz százalékos biztonságú. Az elvárható legnagyobb gondosság ellenére megvalósuló kivédhetetlen támadások által okozott esetleges károkért a Társaságot felelősség nem terheli.
89. Adatvédelmi tisztviselő
A Társaság adatvédelmi tisztviselőt alkalmaz.
A Társaság adatvédelmi tisztviselőjének elérhetősége:
Név: Hargittay és Társai Ügyvédi Iroda
Székhely: 1027 Budapest, Margit krt. 56. 5. emelet 5. ajtó
Eljáró ügyvéd: Dr. Hargittay Szabolcs
E-mail: hargittay@harglaw.com
XI. Fejezet
Álnevesítés, statisztika
90. Az adatokat a Társaság álnevesítést követően használhatja fel statisztikai célokra. Az adatok statisztikailag összesített formában történő felhasználása az Érintett nevét, illetve beazonosítására alkalmas egyéb adatát semmilyen formában nem tartalmazhatja.
XII. Fejezet
Fogyasztói panaszok
91. A Társaság ügyfélszolgálata a Társaság szolgáltatásával kapcsolatos panaszokat, Érintett általi megkereséseket telefonos úton, valamint e-mail útján fogadja, a +36-1/301-8461 telefonszámon, valamint a bvholdingkft@bvholdingkft.hu e-mail címen.
92. Az érintetti jogok gyakorlása során a Társaság indokolatlan késedelem nélkül, de legfeljebb a kérelem beérkezésétől számított 25 napon belül tájékoztatja az Érintettet a kérelme nyomán hozott döntésekről, és a tervezett vagy megvalósított intézkedésekről. A tájékoztatást ugyanazon csatornán szükséges megadni, amit az Érintett használt a kérelem előterjesztésekor, kivéve, ha az Érintett kifejezetten máshogy kéri.
93. Amennyiben a Társaság adatkezelése nem az Érintett hozzájárulásán alapul, hanem az adatkezelést harmadik személy visszaélésszerűen kezdeményezte, az Érintett kérheti a rá vonatkozó, valamely személy által róla megadott, illetve közzétett személyes adat törlését, valamint az adatkezeléssel kapcsolatos tájékoztatást személyazonosságának és a személyes adattal fennálló kapcsolatának megfelelő igazolása mellett.
94. Az Érintett halála esetén a halotti anyakönyvi kivonat bemutatásával, illetve másolatának a XII. fejezet 1. pontban megadott címére történő megküldésével az Érintett bármely közeli hozzátartozója, illetve az, akit végrendeleti juttatásban részesített, kérheti az Érintettel fennálló kapcsolatának igazolása mellett az Érintettre vonatkozó adatok törlését, valamint jogos érdekének igazolása mellett az adatok továbbítását.
95. A Társaság a részére küldött panaszokat, kérdéseket és kéréseket a beküldéstől számított 6 hónapig tárolja, majd törli, a még folyamatban lévő ügyekben keletkezett levelezések kivételével. Amennyiben jogi igény érvényesítése merül fel az ügyben, annak érvényesítésére nyitva álló határidőn belül – jellemzően 5 év (a Ptk. rendelkezései alapján) – az adat megőrzésre kerül.
96. A panaszt küldő Érintett jogorvoslatért, panasszal a területileg illetékes bírósághoz, vagy a NAIH-hoz fordulhat: 1055 Budapest,
Falk Miksa utca 9-11. (www.naih.hu).
XIII. Fejezet
Hatósági megkeresések teljesítése
97. A bíróság, az ügyész, a nyomozó hatóság, szabálysértési hatóság, a közigazgatási hatóság, az adatvédelmi biztos, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatásadása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkeresheti a Társaságot.
98. A Társaság a hatóságok részére - amennyiben a hatóság a pontos célt és az adatok körét megjelölte - személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.
XIV. Fejezet
Záró rendelkezések
Jelen Tájékoztató a kiadmányozást követő naptól kezdődően hatályos és visszavonásig érvényes.
Budapest, „az elektronikus dátumbélyegző szerint.”
……………………………………………..
Csontos Gergely bv. ezredes
ügyvezető
[1] megadásuk nem minden esetben szükséges a megrendelés teljesítéséhez
[2] megadásuk nem minden esetben szükséges a megrendelés teljesítéséhez
[3] megadásuk nem minden esetben szükséges a megrendelés teljesítéséhez