Privacy Policy

Data controller: Kozma Romulus Tibor individual entrepreneur

Location: 4220 Hajdúböszörmény, 9. Jókai Mór utca 

Tax number: 62159216-2-29

Phone: 0620-991-8933

Webpage: kozmashoes.hu

Honlap: kozmashoes.hu

Last modified: 2024.09.24.

General information

Purpose of the Privacy Notice

The purpose of this Privacy Notice is to provide information on the data protection and data management principles and rules applicable to the processing of personal data of persons who come into contact with the Data Controller.

For the provisions of this Privacy Notice, the Controller has taken particular account of the provisions of Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Regulation No 95/46/EC (General Data Protection Regulation, hereinafter referred to as "GDPR"), Act CXII of 2011 on the Right to Informational Self-Determination and Freedom of Information (hereinafter referred to as "the Infotv.") and other relevant legislations.

Terms related to data management

The definitions of personal data processing are set out in the GDPR. For the sake of transparency and clarity, the Data Controller sets out the most important definitions in this section as set out in the GDPR.  

  • ‘personal data’: any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
  • ‘special data’: personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership, genetic data and biometric data revealing the identity of natural persons, health data and personal data concerning the sex life or sexual orientation of natural persons. . Such personal data should not be processed.
  • ‘processing’: any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
  • ‘restriction of processing’: the marking of stored personal data with the aim of limiting their processing in the future;
  • ‘controller’: the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law
  • ‘data processor’: a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller
  • ‘recipient’: a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing
  • ‘third party’: a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;
  • ‘consent off the data subject’: any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her
  • ‘enterprise’: a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity
  • ‘personal data breach’: a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed
  • ‘supervisory authority’: an independent public authority which is established by a Member State pursuant to Article 51

Principles relating to processing of personal data

  • processed lawfully, fairly and in a transparent manner in relation to the data subject
  • collected for specified, explicit and legitimate purposes.
  • at all stages of processing, the purpose of the processing must be fulfilled and the collection and processing of data must be fair and lawful. Only personal data that is necessary for the purpose shall be processed, which is adequate to achieve that purpose.
  • kept for no longer than is necessary for the purposes for which the personal data are processed
  • accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay.
  • the controller keep the personal data in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed in accordance with the storage liabilities as described in the related legislations
  • processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures

The controller shall be responsible for, and be able to demonstrate compliance with the principles described above.

Data processing operations

3.1. Data processing related to the first communication

3.1.1. First communication via email and online contact form

Purpose of data processing: 

Contacting or maintaining contact with the data subject on the basis of the data subject's request. The data controller uses the data provided by the data subject for a specific purpose and only in connection with the data subject's request. The disclosure of personal data to third parties, unless otherwise required by law, shall only be possible with the prior explicit consent of the data subject.

Lawfulness of processing::

Voluntary consent of the data subject pursuant to Article 6(1)(a) of the GDPR.

The processing takes place on the basis of the data subject's freely given informed consent, which the data subject gives by sending the request and the data contained therein to the data controller to the extent necessary to reply to the request and to carry out the tasks contained therein (e.g. providing information). 

Consent is given by the data subject by voluntarily providing the data in question and, in the case of a form, by completing it/checking the relevant box.

Scope of personal data processed:
  • name (first name and surname)
  • email
  • content of the message

The controller does not verify the personal data provided. The person providing the data is solely responsible for the accuracy of the data provided. 

Duration and method of data processing:

The processing of the personal data provided in the context of the contact or contact activity lasts until:

  • the data subject withdraws his or her consent,
  • but no longer than one year from the date on which the data were provided.

Data storage method: electronic.

 

3.1.2. First communication via phone

Purpose of data processing: 

The data subject may also contact the data controller by telephone. In this case, the data controller will also know the first and last name of the caller and his or her the telephone number. The purpose of the processing is to inform the data subject on the basis of the data subject's request and to provide him/her with appropriate information.

When contacting the data subject by telephone, the data controller shall inform the data subject orally about the availability of this notice and shall inform the caller that the data controller may process his or her personal data only if the caller confirms in writing that he or she has read and accepted the contents of this notice.

Lawfulness of processing: 

Voluntary consent of the data subject pursuant to Article 6(1)(a) of the GDPR.

The processing takes place on the basis of the data subject's freely given informed consent, which the data subject gives by sending the request and the data contained therein to the data controller to the extent necessary to reply to the request and to carry out the tasks contained therein.

Consent is given by the data subject by voluntarily providing the data in question.

Scope of personal data processed:

  • name
  • phone number

The controller does not verify the personal data provided. The person providing the data is solely responsible for the accuracy of the data provided. 

Duration and method of data processing:

The processing of the personal data provided in the context of the contact or contact activity lasts until:

  • the data subject withdraws his or her consent,
  • but no longer than one year from the date on which the data were provided.

 

3.1.3. Kapcsolatfelvétel Facebookon keresztül

Purpose of data processing: 

The data controller operates a Facebook page for the purposes of providing online contact, publishing posts and promoting the business and reaching potential customers. (https://www.facebook.com/p/Kozma-Handmade-shoes)

When posting comments to posts related to the business, the data controller gets to know the first and last name of the commenters and their comments, which are accessed on the basis of consent. In the Facebook page's imprint (Bookmark/Imprint), there is a direct, clickable link to this notice.

There is also the possibility to send messages on the Facebook page. When sending a message, the data controller gets to know the sender's first and last name, which will be obtained on the basis of the sender's consent. In the case of contact by Facebook message, the controller will inform the data subject in writing of the availability of this notice and will draw the sender's attention to the fact that the controller will only process his or her personal data if the sender confirms in writing that he or she has read and accepted the contents of this notice. Both posts and messages are stored electronically on Facebook's server until deleted.

Lawfulness of processing::

Voluntary consent of the data subject pursuant to Article 6(1)(a) of the GDPR.

The data processing is carried out on the social networking site, so the duration of the data processing, the method of data processing and the possibilities for deletion and modification of the data are governed by the rules of the social networking site.

The privacy policy for Facebook (as a Meta product) is available at the following link: https://www.facebook.com/privacy/explanation.

There is a direct, clickable link to this notice in the Facebook page imprint (About/Privacy and Legal Information/Privacy Policy).

Scope of personal data processed:

  • registered name on the Facebook social website
  • public profile photo of the user

The controller does not verify the personal data provided. The person providing the data is solely responsible for the accuracy of the data provided. 

Duration and method of data processing:

The processing of the personal data provided in the context of the contact or contact activity will continue until the data subject withdraws his or her consent and, if no customer relationship is established between the controller and the data subject, the controller shall delete all data related to the contact without delay on the basis of the data erasure options provided by Facebook.

Data storage method: electronic.

3.2. Order related data processing

Purpose of data processing: 

The main activity of the company is the production and sale of high quality hand-stitched shoes. The purpose of data processing is the preparation and fulfilment of the order and its documentation.

Lawfulness of processing::

Based on the provisions of Article 6(1)(b) of the GDPR - preparation of the contract and performance of the contract;

Scope of personal data processed:

  • Name (first name and surname)
  • Email;
  • Phone number

Duration and method of data processing:

Duration of processing: 10 years from the date of the order.

Data storage method: paper based

3.3. Health data processing

Purpose of data processing: 

Considering that customized shoes will be made, it is therefore necessary that the data subject shares certain health information in order to make the right product.

Lawfulness of processing::

GDPR 6. cikk (1) bekezdés b) pont- a szerződés előkészítése és a szerződés teljesítése.

Scope of personal data processed:

Based on the provisions of Article 6(1)(b) of the GDPR - preparation of the contract and performance of the contract. Health data affecting shoe design:

  • foot size;
  • anatomical deformities and lesions;
  • possible foot problems (bunions, hammer toe, heel bone spurs, flat feet, etc.),

Duration and method of data processing:

Duration of processing: 5 years from the date of the order. The data controller will not digitise or create a database of the specific health data recorded about the data subject and will keep the data secured.


3.4. Data processing related to the delivery of orders

Purpose of data processing: 

The person concerned has the possibility to request home delivery of the product ordered.

The person concerned: the person who has purchased the product or any other person specified by the purchaser as recipient.

The purpose of processing is therefore to fulfil the order.

Lawfulness of processing::

 Performance of the contract pursuant to Article 6(1)(b) of the GDPR (in the case of a different recipient, the purchaser must have the appropriate legal basis for the transfer of the recipient's data).

Scope of personal data processed:

  • Name of the costumer/addresse (first name and surname)
  • Email;
  • Address;
  • Phone number;

Duration and method of data processing:

Az adatkezelés időtartama: a megrendelés leadásától számított 5 év.

Az adattárolás módja: elektronikusan.

3.5. Hírlevéllel kapcsolatos adatkezelés

Purpose of data processing:

A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (a továbbiakban: Reklámtv.) 6. §-a értelmében Felhasználó (Érintett) előzetesen és kifejezetten hozzájárulhat ahhoz, hogy az Adatkezelő, mint szolgáltató, együttműködési lehetőséggel, kedvezményekkel, hírekkel kapcsolatban az Érintett által megadott elérhetőségein megkeresse. Ezen felül az érintett a jelen tájékoztató rendelkezéseit szem előtt tartva hozzájárulhat ahhoz, hogy az Adatkezelő a hírlevelek küldéséhez szükséges személyes adatait kezelje.

Lawfulness of processing::
GDPR 6. cikk (1) bekezdés a) pontja alapján- az érintett önkéntes hozzájárulása

Az érintett önkéntes, megfelelő tájékoztatáson alapuló, határozott hozzájárulása, melyet az érintett a feliratkozásával (adatainak megadásával) ad meg.

Scope of personal data processed:

  • Name
  • Email address

Duration and method of data processing:
Az érintett hozzájárulásának visszavonásáig, melyet a hírlevél alján található leiratkozási linkre kattintva tehet meg, vagy emailben a info@kozmashoes.hu email címben jelezve a leiratkozási igényt.

Data storage method: electronic.

3.6. Fényképfelvételek készítésével és felhasználásával összefüggő adatkezelés

Purpose of data processing: 

Az adatkezelés célja az Adatkezelő és annak szolgáltatásainak népszerűsítése weboldalán, illetve közösségi oldalán (Facebook), továbbá rendezvény esetén, annak megörökítése, népszerűsítése és a nyilvánosság tájékoztatása.

Scope of personal data processed:

Érintettek képmása.

Lawfulness of processing::

GDPR 6. cikk (1) bekezdés a) pontja és a Ptk. ) 2:48. § [A képmáshoz és a hangfelvételhez való jog] (1) szerint az érintett önkéntes hozzájárulása

Az érintett hozzájárulásának megadásával a GDPR 6. cikk (1) bek. a) pontjának, valamint a Ptk. 2:48. §- ának megfelelően hozzájárul ahhoz, hogy Adatkezelő tevékenységével összefüggésben fényképfelvételt készítsen, továbbá azt közzétegye.  Az érintett hozzájárulása megadásával tudomásul veszi, hogy a fényképfelvételek előállítója és tulajdonosa az Adatkezelő.  Az érintett hozzájárulásának megadásával hozzájárul ahhoz, hogy a jelen tájékoztató szerint készült fényképfelvételt Adatkezelő a nyilvánosság számára hozzáférhetővé tegye, azt földrajzi és időbeli korlátozás nélkül terjessze, továbbá utólag módosítsa, mely hozzájárulás kiterjed a szerkesztés eredményeként létrejött eredményre, produktumra is.  Az érintett hozzájárulásának megadásakor kifejezetten lemond bármilyen, a képmás felhasználásával kapcsolatos díjazási igényéről, továbbá – a mindenkor hatályos jogszabályok által megengedett mértékben – lemond a képmás felhasználásából eredő kártalanítási vagy kártérítési igényéről.  Az érintett a hozzájárulását bármikor önkéntesen visszavonhatja, azonban a hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.

The processing takes place on the basis of the data subject's freely given informed consent, which the data subject gives by sending the request and the data contained therein to the data controller to the extent necessary to reply to the request and to carry out the tasks contained therein (e.g. providing information). 

Az adatkezelés időtartama és módja:

Az Adatkezelő a fényképfelvételeket kizárólag addig kezeli (saját belső platformján, a közzöségi média felületein, stb.) míg az érdeklődésre tart számot, aktualitása van, ezt követően törlésre kerül vagy akkor is törlésre kerül, ha az érintett a hozzájárulását visszavonja.

3.7. Számlázással kapcsolatos adatkezelés

Purpose of data processing:  

Adatkezelő által értékesített termékek ellenértékének beszedése, számviteli bizonylat kiállítása, annak megőrzése; 

A számlázáshoz jogszabály által előírt adattartalom hiányában a számlázási kötelezettség és így a kezelés sem teljesíthető. 

Lawfulness of processing: 

GDPR 6. cikk (1) bekezdés c) pontja (jogi kötelezettség) és az általános forgalmi adóról szóló 2007. évi CXXVII. tv. 165. § és 169. § 

Scope of personal data processed:

  • Name (first name and surname)
  • Address;
  • E-mail cím;
  • Phone number;

Duration and method of data processing:

Az adatok megőrzésének a határideje a számvitelről szóló 2000. évi C. törvény 169. § alapján 8 év.

4. Az adatokat megismerő személyek köre, adatfeldolgozás

Az Adatkezelő szolgáltatásainak és működésének folyamatos fejlesztése érdekében időről-időre adatfeldolgozók (”Külső szolgáltatók”) szolgáltatásait veszi igénybe, akikkel az Adatkezelő együttműködik. Az adatfeldolgozók a jogszabályi követelményekkel összhangban az Adatkezelő nevében, személyes adatokat kezelnek, kizárólag Adatkezelővel kötött szerződés és a kapott utasítások alapján.

Az Adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciát nyújtanak az adatkezelés a GDPR követelményeinek való megfelelést és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezeti intézkedések végrehajtására. Az adatok továbbítását követően az egyes adatfeldolgozók az adatkezelést külön-külön végzik. Az Adatkezelő az általa kezelt személyes adatokat a jelen tájékoztatóban meghatározott eseteken túl további harmadik személyeknek nem adja át. Az adatokhoz az Adatkezelő azon munkavállalói is hozzáférhetnek továbbá, akik a Felhasználónak adott szolgáltatással kapcsolatosan közvetlen tevékenységet végeznek.

Adatkezelő tájékoztatja a Felhasználót, hogy amennyiben az adatfeldolgozók adatai tekintetében változás következik be, úgy az Adatkezelő a mindenkori adatfeldolgozók részére jogosult adatokat továbbítani az adatkezelés céljának megfelelően. Adatfeldolgozók adatainak megváltozását Adatkezelő jelen adatkezelési tájékoztató módosításával közli a Felhasználóval.

Az Adatkezelő az alábbi adatfeldolgozók részére továbbít személyes adatokat:

 

Dóka Imre EV.

Székhely: Hajdúböszörmény, Nefelejcs u. 7.

Adószám: 47435823-1-29: 

Nyilvántartási szám: 34744419

könyvelési tevékenység (az adó – és számviteli kötelezettségek teljesítéséhez)

Profitárhely

Székhely:  6000 Kecskemét, Szolnoki út 23.

Adószám: 23173080-2-03

Cégjegyzékszám: 03 09 121889

tárhelyszolgáltatás (a weboldal megfelelő működtetése céljából)


CLEAR ADMIN SOFTWARE Kft.

Székhely: 1108 Budapest, Gőzmozdony utca 14. 5. em. 21. ajtó

Adószám: 23899595-2-42

Cégjegyzékszám: 01-09-983349

számlázási tevékenység (a Clear Admin Számlázó program; honlap: https://clearadmin.hu/)

Magyar Posta Zrt.

Székhely: 1138 Budapest, Dunavirág utca 2-6. 

Adószám: 10901232-2-44

Cégjegyzékszám: 01-10-042463

házhozszállítás (az MPL szállítási rendszer üzemeltetője)


GLS General Logistics Systems Hungary Kft.

Székhely: 2351 Alsónémedi, GLS Európa utca 2.

Adószám: 12369410-2-44

Cégjegyzékszám: 13-09-111755

csomagkiszállítás


https://gls-group.eu/HU/hu/home/

 DPD Hungária Kft.

Székhely: 1134 Budapest, Váci út 33. 2. em.

Adószám: 13034283-2-44

Cégjegyzékszám: 01-09-888141

csomagkiszállítás

https://www.dpd.com/hu/



Temarketinged Kft.

Székhely: 4024 Debrecen, Wesselényi u. 1.
Adószám: 32037704-2-09
Cégjegyzékszám: 09 09 034197

weboldal karbantartása

https://temarketinged.hu


5. Az Érintett jogai

Az érintett jogai:

az érintett 

  1. kérelmezheti a rá vonatkozó személyes adatokkal kapcsolatos adatkezelésről való tájékoztatást, valamint az ezen személyes adatokhoz való hozzáférést,
  2. kérelmezheti azok helyesbítését,
  3. kérelmezheti azok törlését,
  4. kérelmezheti a személyes adatok kezelésének korlátozását,
  5. tiltakozhat a személyes adatok kezelése ellen,
  6. gyakorolhatja az adathordozhatósághoz való jogát.
  7. gyakorolhatja a jogorvoslathoz való jogát. 

Az érintett jelen tájékoztató végén meghatározottak szerint panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: „NAIH”) vagy az illetékes bírósághoz fordulhat.

Az érintettek adatkezeléssel kapcsolatban érvényesíthető jogai 

Adatkezelő biztosítja, hogy az alábbiak szerint érvényesüljenek az érintettek jogai.

Adatkezelő lehetőséget biztosít az érintett számára, hogy az érintetti jogai gyakorlásával kapcsolatos kérelmét az alábbi módok bármelyikén és a jelen tájékoztatóban foglalt elérhetőségeken keresztül előterjessze: (i) postai úton, (ii) e-mail útján, (iii) telefonon.

Telefon: 0620-991-8933

Email: info@kozmashoes.hu

Levelezési cím: 4220 Hajdúböszörmény, Jókai Mór utca 9. 

Adatkezelő az érintett kérelmét indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 30 napon belül teljesíti, és tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva tájékoztatja erről az érintettet. A kérelem megtagadásáról Adatkezelő szintén ezen határidőn belül dönt és tájékoztatja az érintettet a kérelem megtagadásáról, ennek okairól, valamint az érintett ezzel kapcsolatos jogorvoslati lehetőségeiről.

Adatkezelő az érintett kérelmét főszabály szerint e-mail útján teljesíti, kivéve ha az érintett másként kéri. Az érintett kérésére telefonos tájékoztatás kizárólag akkor adható, ha az érintett személyazonosságát igazolta. Adatkezelő az érintett postai címét vagy telefonszámát semmilyen más célra nem használja fel.

Adatkezelő az érintettek – alább részletezett – kérelmeinek teljesítéséért díjat, költségtérítést nem számít fel. Arra az esetre azonban, ha az érintettől megalapozatlan, túlzó, azonos adatkörre vonatkozó újabb kérelem érkezik be az előző, már teljesített kérelmet követő egy éven belül, Adatkezelő fenntartja magának a jogot arra, hogy a kérelem teljesítéséért a teljesítéssel kapcsolatos munkateherrel arányos ésszerű költségtérítést állapítson meg vagy mérlegelési jogkörében megtagadja a kérelem alapján történő intézkedést megfelelő indokolás mellett.

Tájékoztatáshoz és hozzáféréshez való jog

Adatkezelő az érintett kérelmére tömör, átlátható, érthető és könnyen hozzáférhető módon, világosan és közérthetően megfogalmazva tájékoztatást nyújt részére az alábbi információkról:

  • arról, hogy személyes adatainak kezelése Adatkezelőnél folyamatban van-e;
  • az Adatkezelő nevéről és elérhetőségeiről;
  • az érintett Adatkezelő által kezelt személyes adatairól és azok forrásáról;
  • a személyes adatok kezelésének céljáról, valamint az adatkezelés jogalapjáról;
  • az adatkezelés időtartamáról;
  • azon címzettekről vagy címzettek kategóriáiról, akikkel, illetve amelyekkel a személyes adatokat közölte vagy közölni fogja;
  • az érintett jogairól;
  • az esetleges adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről.

Helyesbítéshez való jog

Adatkezelő az érintett kérésére helyesbíti az érintettre vonatkozó, pontatlan személyes adatokat.

Adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére Adatkezelő tájékoztatja az érintettet e címzettekről.

Törléshez („elfeledtetéshez”) való jog

Az érintett kérésére Adatkezelő törli az érintettre vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötte vagy más módon kezelte;
  • az érintett tiltakozik az adatkezelés ellen;
  • a személyes adatokat Adatkezelő jogellenesen kezelte;
  • a személyes adatokat az Adatkezelőre alkalmazandó uniós vagy magyar jogban előírt jogi kötelezettség teljesítéséhez törölni kell.

Adatkezelő minden olyan címzettet tájékoztat a törlésről, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére Adatkezelő tájékoztatja az érintettet e címzettekről.

Adatkezelés korlátozásához való jog

Az érintett kérésére az Adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

  • az érintett vitatja a személyes adatok pontosságát – ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az Adatkezelő ellenőrizze a személyes adatok pontosságát;
  • az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
  • az Adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.

Adatkezelő minden olyan címzettet tájékoztat a korlátozásról, akivel, illetve amellyel a személyes adatot közölte, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére Adatkezelő tájékoztatja az érintettet e címzettekről.

Adathordozhatósághoz való jog

Adatkezelő az érintett kérésére, az érintett  rendelkezésére bocsátja az érintettre vonatkozó, az érintett által megadott személyes adatokat. Adatkezelő továbbá vállalja, hogy ezeket a személyes adatokat az érintett egy másik adatkezelőnek anélkül továbbíthatja, hogy ezt Adatkezelő akadályozná.

Jogorvoslathoz való jog

Amennyiben az érintett úgy véli, hogy Adatkezelő az adatkezelése során megsértette a személyes adatok védelméhez való jogát, az irányadó jogszabályok szerint jogorvoslattal élhet a hatáskörrel rendelkező szerveknél, azaz panasszal élhet a NAIH-nál (cím:H- 1055 Budapest, Falk Miksa utca 9-11.; postai cím: 1363 Budapest, Pf. 9..; honlap: www.naih.hu; e-mail cím: ugyfelszolgalat@naih.hu; telefonszám: +36-1/391-1400), vagy az illetékes bírósághoz fordulhat. 

Adatkezelő vállalja, hogy ezen eljárások során az érintett bírósággal vagy a NAIH-hal mindenben együttműködik, az adatkezelésre vonatkozó adatokat az érintett bíróság vagy a NAIH részére kiadja.

Adatkezelő kötelezettséget vállal arra is, hogy az érintett személyes adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt megtéríti. Az érintett személyiségi jogának megsértése esetén az érintett sérelemdíjat követelhet. Adatkezelő mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő, továbbá ha a kár vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származik.

6. Adatbiztonsági intézkedések

Az Adatkezelő gondoskodik az adatok biztonságáról. Adatkezelő megtette azokat a technikai és szervezési intézkedéseket, és kialakította azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Továbbá felhívja azon harmadik feleket, akiknek az érintett adatai továbbításra kerültek, hogy kötelesek eleget tenni az adatbiztonság követelményének.

Az Adatkezelő gondoskodik arról, hogy a kezelt adatokhoz illetéktelen személy ne férhessen hozzá, ne hozhassa nyilvánosságra, ne továbbíthassa, valamint azokat ne módosíthassa, törölhesse.

Az Adatkezelő megtesz minden tőle telhetőt annak érdekében, hogy az adatok ne sérüljenek, illetve semmisüljenek meg. A fenti kötelezettségvállalást az Adatkezelő az adatkezelési tevékenységében részt vevő foglalkoztatottjai, partnerei, így az Adatkezelő megbízásából eljáró adatfeldolgozók részére is előírja.

Adatvédelmi incidensek kezelése

Amennyiben az Adatkezelő az általa továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményező eseményt, cselekményt észlel (a továbbiakban összefoglalóan: adatvédelmi incidens) köteles a GDPR 33-34. cikke alapján eljárni, az adatvédelmi incidenst bejelenteni a illetékes és hatáskörrel rendelkező adatvédelmi hatóság (a továbbiakban: NAIH) felé, illetve tájékoztatni a érintettet vagy érintetteket az adatvédelmi incidensről, amennyiben az valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. 

Az a személy, aki az Adatkezelő által továbbított, tárolt vagy más módon kezelt személyes adatokra vonatkozóan a fentiek szerint megvalósuló adatvédelmi incidenst észlel, az alábbi elérhetőségen jelezheti azt az Adatkezelőnek: info@kozmashoes.hu.

A bejelentést tevő személynek az adatvédelmi incidens tárgyának megjelölése mellett a következőket kell megadnia:

  • bejelentő neve;
  • bejelentő elérhetőségei: telefonszám és/vagy e-mail cím, 
  • az incidens a szoftvert érinti, ha igen, akkor melyik részét vagy melyik szolgáltatását.  

Az Adatkezelő legkésőbb 1 munkanapon belül, amennyiben súlyosnak ítéli meg az incidenst haladéktalanul megvizsgálja a bejelentést és – amennyiben szükséges – a bejelentőtől további adatokat kér be. Az incidens bejelentésétől számított 72 órán belül az Adatkezelő adatszolgáltatást nyújt a NAIH felé.

Az adatszolgáltatásnak a következőket kell tartalmaznia:

  • adatvédelmi incidens jellege, beleértve az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; 
  • további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit; 
  • az adatvédelmi incidensből eredő, valószínűsíthető következmények; 
  • az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Amennyiben az adatvédelmi incidens további kivizsgálást igényel, úgy Adatkezelő megteszi a szükséges lépéseket ahhoz, hogy megfelelő szakemberek bevonásával a vizsgálat alatt felmérjék az adatvédelmi incidens valós és lehetséges hatásait. Erről a felkért szakemberek jelentést készítenek. A jelentésnek tartalmaznia kell javaslatot az adatvédelmi incidens elhárításához szükséges biztonsági intézkedésekről.

Az intézkedések megtételéről az Adatkezelő dönt. 

 

Adatkezelő, amennyiben úgy látja, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Adatkezelő a tájékoztatásban világosan és közérthetően ismerteti az adatvédelmi incidens jellegét a következőket kiemelve: 

  • a további tájékoztatást nyújtó kapcsolattartó nevét és elérhetőségeit; 
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket; 
  • az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Adatkezelő nem tájékoztatja az érintetteket, ha: 

  • megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  • az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé, azaz az érintettek olyan számosan vannak, hogy az Adatkezelő csak aránytalanul nagy ráfordítással tudná a fentiek szerint tájékoztatni őket. Az Adatkezelő ebben az esetben intézkedik a megfelelő információk nyilvánosságra hozataláról. 

Adatvédelmi incidensek nyilvántartása

Az adatvédelmi incidensről az Adatkezelő nyilvántartást vezet. 

A nyilvántartásba rögzíteni kell: 

  • az érintett személyes adatok körét, 
  • az adatvédelmi incidenssel érintettek körét és számát, 
  • az adatvédelmi incidens időpontját,
  • az adatvédelmi incidens körülményeit, hatásait, 
  • az adatvédelmi incidens elhárítására megtett intézkedéseket, 
  • az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat személyes adatokat érintő incidens esetében 5 évig, különleges adatokat érintő incidens esetében 20 évig köteles az Adatkezelő megőrizni.

7. Jogorvoslathoz való jog

Bármilyen, adatkezeléssel kapcsolatos kérdéssel, észrevétellel kapcsolatban a jelen tájékoztatóban megadott elérhetőségek valamelyikén kereshető az Adatkezelő.

Jogorvoslati lehetőséggel, panasszal továbbá a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság

Székhely: H- 1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9.

Telefon: +36-1-391-1400

Fax: +36-1-391-1410

Honlap: www.naih.hu

E-mail: ugyfelszolgalat@naih.hu

Az érintett jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az Adatkezelő köteles bizonyítani. A per elbírálása a törvényszék hatáskörébe tartozik. A per –a felperes, azaz az érintett választása szerint – a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

Adatkezelő vállalja, hogy ezen eljárások során az érintett bírósággal vagy a NAIH-hal mindenben együttműködik, az adatkezelésre vonatkozó adatokat az érintett bíróság vagy a NAIH részére kiadja.

Adatkezelő kötelezettséget vállal arra is, hogy az érintett személyes adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével okozott kárt megtéríti. Az érintett személyiségi jogának megsértése esetén az érintett sérelemdíjat követelhet. Adatkezelő mentesül a felelősség alól, ha a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő, továbbá ha a kár vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származik.

Adatkezelő fenntartja magának a jogot a jelen tájékoztató bármikori megváltoztatására.

hu_HUHU