A jogforrási hierarchiában a legmagasabb rendű jogszabály az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) (továbbiakban: Rendelet) A magyar jogszabályok között az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), a legfontosabb. Emellett más jogszabályok is tartalmaznak adatvédelmi rendelkezéseket, mint pl. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Ektv.), vagy a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Grt.) illetve egyéb más, a Tájékoztató elején feltüntetett jogszabályok rendelkezései is relevánsak – részben – adatvédelmi szempontból.

Ahogy a Rendelet definíciója is rögzíti bármilyen adat, amelyből akár közvetlen, akár közvetett módon, azonosítható az adott természetes személy. Tehát nemcsak a különböző okmányokban (személyi, útlevél, jogosítvány) szereplő adatok, hanem bármilyen más egyéb adat, amelyből az azonosítás megtörténhet. Pl. hangfelvétel, kamerafelvétel, számítógép IP címe, telefonszám, email-cím, gépkocsi rendszáma, de ide tartoznak különleges adatként pl. egy vérvételi eredmény, egy zárójelentés, vagy egy orvosi lelet adatai is.

Webáruházunk esetén ilyen személyes adat pl. a webáruházunkban vásárló vagy a webáruházunk hírlevelére feliratkozó természetes személynek a vásárlás a hírlevélre feliratkozás során megadott adatai (pl. neve, e-mail címe). De ugyanúgy személyes adatnak minősül az érintett (vásárló) lakcíme, vagy telefonszáma is. Ugyanakkor a gazdasági társaságok különböző adatai: név, adószám, cégjegyzékszám, székhely stb. nem tartoznak a Rendelet definíciója és hatálya alá.

A Rendelet definíciója alapján: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Azaz azok a természetes személyek, akik bármilyen rájuk vonatkozó információ, adat révén beazonosíthatóvá válnak.

Vannak esetek, amikor igen pl. az önkéntes hozzájárulás jogalapja alapján kezelt adatokat mindenféle korlát nélkül. Ilyen pl. a hírlevélre feliratkozás. Ugyanakkor vannak olyan adatok, amelyek kezelését az Adatkezelő nem az érintett hozzájárulása alapján hanem más jogalap pl. jogi kötelezettség címén kezeli. Ilyen pl a számlák megőrzésére vonatkozó 2000. évi C. törvény (Számv. tv.) 169. § (2) bekezdése amelynek alapján a bizonylatokat nyolc évig meg kell őrizni. Így ezeket az adatokat nem lehet törölni az érintett kérésére csak a határidő leteltét követően. Más jogalapoknál sem automatikus a törlés az érintett kérésére ilyen pl. jogos érdekből történő adatkezelés, vagy pl. ha az adatkezelés szerződés teljesítése jogalap miatt szükséges.

Igen, webáruház üzemeltetése során folyamatosan igyekszünk a Rendelet előírásait (alapelvek, jogalapok, előzetes tájékoztatási kötelezettség stb.) teljes körűen betartani. Az Adatbiztonság menüpontban (VI. pont) rögzítettek szerint az informatikai védelmet – az ott felsorolt technikai és szervezési intézkedések megvalósítását – kiemelt szempontként kezeljük a biztonságos adatkezelés megvalósítása érdekében. Az adatfeldolgozóinkkal a rendelet előírása szerint együttműködési megállapodást kötünk, saját munkatársaink közül pedig azok, akik személyes adatokat kezelnek titoktartási nyilatkozat aláírását követően végezhetik munkájukat. Természetesen a Vásárlóink személyes adatát sem ingyenesen sem visszterhesen nem adjuk át – ide nem értve a különböző hatóságok jogszerű megkereséseit – további harmadik személyeknek.

Igen, de csak és kizárólag azoknak a címzetteknek (pl. a futárszolgálatok) továbbítunk személyes adatot, akiknek a Tájékoztató V. pontjában felsorolt valamelyik jogalap alapján erre lehetőségünk, vagy kötelezettségünk van.  A Tájékoztató V. pontjában minden egyes adatkezelésnél feltüntetésre kerül, hogy kinek, milyen adatot és milyen célból továbbítunk. Az adatok továbbításánál csak és kizárólag azokat az adatokat adjuk át, amelyek az adott partnernek, (pl. könyvelőnek, tárhelyszolgáltatónak, futárszolgálatnak) a feladata ellátásához szükségesek.

Amennyiben Önnek, mint érintettnek a személyes adatainak az általunk történő kezelésével kapcsolatosan bármilyen kérdése, kérése van, kérjük, hogy forduljon bizalommal hozzánk. Kiemelt figyelmet fordítunk nemcsak az Ön vásárlásainak a teljesítésére, hanem a minket kötelező adatvédelmi előírások maradéktalan betartására, valamint az érintettek részéről érkező kérések, kérelmek megválaszolására és az e körben felmerült esetleges problémák megnyugtató rendezésére. Megkeresésünkkel nemcsak a lehető leggyorsabb megoldási lehetőséget biztosítjuk Önnek a felmerült konkrét adatvédelmi probléma, kérdés rendezésében, hanem egyúttal elkerülhetővé válnak a felesleges, megalapozatlan hatósági, bírósági eljárások megindításai is. Az érintetteket megillető jogokat és jogorvoslati lehetőségeket részletesen a Tájékoztató IX. és X. pontjában ismertetjük kérjük, hogy alaposan olvassák át ezeket a fejezeteket.

Az Tájékoztató II. pontjában megadott bármely elérhetőségeinken keresztül kérhet tájékoztatást, módosítást, helyesbítést, vagy éppen törlést. A Tájékoztató IX. pontjában egy táblázatban összefoglaló áttekintést, továbbá részletes ismertetést is nyújtunk valamennyi érintetti jogosultságról, a X. pontban pedig a jogorvoslati lehetőségekről.

Nincs. Ezirányú kéréseit díjmentesen teljesítjük. Természetesen ezeket a jogokat sem lehet visszaélésszerűen gyakorolni (szélsőséges példával élve pl. havonta újra és újra kérni) ilyen esetekben a Rendelet lehetőséget biztosít az Adatkezelőnek adminisztratív költségek felszámítására, vagy megtagadhatja a nyilvánvalóan indokolatlan kérelem újbóli teljesítését.

Az adatok tárolási határideje adatkezelési célonként, jogalaponként eltérő. Az önkéntes hozzájárulás jogalap alapján kezelt személyes adatoknál az érintett visszavonó nyilatkozatának megérkezéséig. (ezt egyébként külön kiemeléssel ellátva jelezzük a IV. pontban a jogalapoknál és az V. pontban az egyes adatkezeléseknél). Ugyanakkor pl. jogi kötelezettség teljesítése jogalap esetén a konkrét jogszabályban előírt időtartamig. Ilyen jogszabály pl. Számv. tv. 169. § (2) bekezdése, vagy panasz minőségi kifogás esetén a fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgytv.) 17/A. § (7) bekezdése ahol 3 év az adatkezelési időtartam. Ezekben az utóbbi esetekben az érintett csak korlátozottan jogosult élni jogaival, hiszen nyilvánvalóan nem kérheti azok törlését az említett időtartamok letelte előtt.

A Rendelet 12. cikk (3) bekezdése 1 hónapos határidőt biztosít a válaszadásra (amely határidő indokolt esetben további 2 hónappal meghosszabbítható). Webáruházunk azonban minden esetben igyekszik az 1 hónapos határidőnél rövidebb idő alatt válaszolni az érintett kérésére.

A Rendelet 44. cikke előírja, hogy személyes adatokat, azaz természetes személyekre vonatkozó, velük kapcsolatba hozható bármely információt, kizárólag abban az esetben lehet továbbítani az Európai Gazdasági Térség államain kívülre, amennyiben a GDPR-ban garantált védelmi szint biztosítva van.

A Rendelet több lépcsőfokot határoz meg a jogszerű adattovábbítás feltételeként.

Az első lépcsőfok a Rendelet 45. cikke alapján: adattovábbítás megfelelőségi határozat alapján, azaz, az adott EGT tagállamain kívüli harmadik ország megfelelő szintű védelmet kínál-e? A jelenleg ilyen megfelelőségi határozattal rendelkező országok listája az Európai Bizottság honlapján érhető el az alábbi linkre kattintva: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_hu

A második lépcsőfok: a Rendelet 46-47. cikkei alapján megfelelőségi határozat hiányában akkor történhet adattovábbítás ha a címzett adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújt az adatok kezelésével kapcsolatban. Pl. ide tartoznak a kötelező erejű vállalati szabályok, jóváhagyott magatartási kódexek, vagy tanúsítási mechanizmusok.

A harmadik lépcsőfok: amelynek alkalmazására akkor kerülhet sor, ha sem megfelelőségi határozat, sem az előző pontban felsorolt megfelelő garanciák nem állnak rendelkezésre. A Rendelet 49. cikke sorolja fel azokat a feltételeket amelyek teljesülése esetén – az első két lépcsőfoknál említett feltételek hiányában is – sor kerülhet az adattovábbításra. Az Adatkezelő a Tájékoztató V/6. és V/10. pontjaiban a webáruházat érintő adatkezelések között az EGT tagállamain kivüli kiszállítás illetve hírlevél küldés vastagon szedve emelte ki a Rendelet 49. cikk (1) bekezdés a) és b) pontjában rögzített – alábbiakban hivatkozott – feltételek teljesülését, amelyek jelen esetben az adattovábbítást lehetővé teszik.

1. az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő - a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó - esetleges kockázatokról;

az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges