Az "MI AMANTE" Kft-ben.

1. Bevezetés

1.1. Általános rendelkezések

Jelen adatvédelmi irányelv (a továbbiakban: „Irányelv") szabályozza a „Mi Amante" Kft., EIK 204519279, székhelye és igazgatási címe: 1408 Szófia, Lozenec kerület, "Sv. Osiy Kordobski" utca, "Déli park" lakócsoport, 113. épület, 2. iroda (a továbbiakban: „Társaság") által végzett személyes adatok feldolgozását, annak érdekében, hogy megfeleljen az Európai Parlament és a Tanács 2016/679/EU rendeletének (az érintettek személyes adatainak védelméről és az ilyen adatok szabad mozgásáról szóló általános adatvédelmi rendelet, a továbbiakban: „Rendelet") követelményeinek, valamint minden egyéb alkalmazandó személyes adatvédelmi jogszabálynak. Jelen Irányelv azokra a személyes adatvédelmi kérdésekre vonatkozik, amelyekre a Társaság más szabályzatai nem tartalmaznak rendelkezést.

 

1.2. A politika célja, hogy szabályozza és különösen a következő kérdéseket foglalja magában:

 

a személyes adatok feldolgozásával kapcsolatos tevékenységek, az adat alanyainak kategóriái, amelyekre a Politika vonatkozik, a feldolgozással kapcsolatos elvek és felelősségek;

a Személyes Adatok feldolgozásában a Társaság irányítása alatt eljáró személyek kötelezettségei és felelősségük a nemteljesítés esetén;

az érintettek jogai és azok gyakorlásának eljárása;

személyes adatok kezelésére irányuló eljárás az érintettek hozzájárulása alapján;

szabályok a személyes adatok biztonsági megsértése esetén történő reagálásra;

a személyes adatok védelmére alkalmazott műszaki és szervezési intézkedések.

 

1.3. Információ a Társaságról

 

„Ми Аманте” Kft.

Bejegyzési adatok a kereskedelmi nyilvántartásban és a nem gazdasági célú jogi személyek nyilvántartásában az Ügyfél-nyilvántartási Ügynökségnél, EIK 204519279

Székhely és igazgatási cím: 1408 Szófia, Lozenec kerület, "Sv. Osij Kordobszki" utca, Dél-Park lakócsoport, 113. tömb, 2. iroda

Kapcsolattartási cím: Szófia 1330, Nikola Musanov krt. 116, 2. emelet, 8. iroda

 

Tevékenységi kör: Kozmetikumok, parfümök és kapcsolódó egyéb vegyi termékek gyártása és kereskedelme, élelmiszerek és iparcikkek külső és belső kereskedelme, kereskedelmi képviselet és közvetítés, valamint minden egyéb gazdasági tevékenység, amelyet a törvény nem tilt.

Kapcsolati e-mail: office@miamantehair.com

 

2. Használt kifejezések és rövidítések

 

Minden olyan kifejezés és rövidítés, amelyet a Szabályzat nem határoz meg kifejezetten, a Rendeletben meghatározott jelentéssel bír.

 

3. Személyes adatok feldolgozásával kapcsolatos tevékenységek

 

3.1. A személyes adatok feldolgozásának elvei

 

A Társaság által végzett személyes adatok kezelése a jogszerűség, jóhiszeműség és átláthatóság elveinek, valamint az adatok minimalizálásának elvének van alárendelve. A kezelt személyes adatok korlátozottak a szükséges mértékre az adott célokkal kapcsolatban, amelyek érdekében kezelik őket. A személyes adatokat konkrét, kifejezetten megjelölt és jogszerű célokra gyűjtik, és nem kezelik tovább olyan módon, amely összeegyeztethetetlen ezekkel a célokkal. A személyes adatok pontosak, és szükség esetén naprakészen tartják őket. A személyes adatokat olyan formában tárolják, amely lehetővé teszi az adat alanyának azonosítását, de csak addig az időtartamig, ameddig az az adott célok eléréséhez szükséges. A személyes adatokat olyan módon kezelik, amely garantálja a személyes adatok megfelelő biztonsági szintjét, beleértve a jogosulatlan vagy jogellenes kezelés elleni védelmet, valamint a véletlen elvesztés, nyilvánosságra hozatal, megsemmisítés vagy károsodás elleni védelmet, megfelelő műszaki vagy szervezési intézkedések alkalmazásával, betartva az állandó titoktartás, integritás, rendelkezésre állás és a feldolgozó rendszerek és szolgáltatások ellenálló képességének elveit.

 

3.2. Az adatalanyok kategóriái. Személyes adatok kategóriái és a feldolgozás céljai.

 

3.2.1. A társaságnak joga van személyes adatokat kezelni ügyfeleiről, alkalmazottairól és más adat alanyokról az alábbiak szerint:

 

a Társaság ügyfelei (magánszemélyek) a fő tevékenységében, amely kozmetikai termékek kínálatára és kereskedelmére irányul, amelyekkel kapcsolatban személyes adatok, például IP-cím, e-mail cím, telefonszám, MAC-cím, cím (postai és szállítási), számlázási információk és banki fizetések elfogadása stb. kezelhetők. E kategóriába tartozó alanyok adatkezelési céljai a következők: (i). a Társaság által kínált termékek és/vagy szolgáltatások megrendelésének fogadása, feldolgozása és teljesítése, beleértve a Társaság weboldalának használatát; (II). adó- és könyvelési nyilvántartás vezetése; (III). jogszabályi követelmények teljesítése; (IV). a Társaság jogos érdekeivel kapcsolatos célok; (v). olyan célok, amelyekhez az érintett hozzájárult az adatainak kezeléséhez;

potenciális, jelenlegi és/vagy korábbi alkalmazottak, valamint természetes személyek, akik szerződéses jogviszonyban állnak vagy álltak a Társasággal polgári jogi szerződések alapján; munkára vagy polgári jogi szerződés megkötésére jelentkezők, mint külső vállalkozók – természetes személyek, akik nem állnak munkaviszonyban vagy szerződéses jogviszonyban a Társasággal, de szeretnének ilyenbe lépni, és akiknek személyes adatai feldolgozhatók, mint például teljes név, személyi azonosító szám (EGN/LNČ/Munkaszám), születési dátum; cím, korábbi munkatapasztalat vagy szakmai tapasztalat adatai, végzettség és képesítés, fegyelmi felelősség; bankszámla-információk (IBAN, banki átutalás esetén), elérhetőségi adatok: telefonszám; e-mail cím; egyéb, az alkalmazandó jogszabályok által megkövetelt adatok a munkaszerződés vagy polgári szerződés megkötéséhez és teljesítéséhez; a szerződések teljesítésével közvetlenül összefüggő adatok (pl.: naplózási vagy rendszerhasználati adatok a Társaság által fenntartott rendszerekben, a személyek által ellátott feladatok teljesítése érdekében (pl. megrendelésfelvételi rendszerek), IP-cím stb.). Az adatkezelés céljai e kategóriába tartozó érintettek esetében a következők: (i) a lehetőség vizsgálata, munkaszerződés vagy polgári szerződés megkötése és teljesítése az érintettekkel; (ii) adó- és könyvelési nyilvántartás vezetése; (iii) jogszabályi kötelezettségek teljesítése; (iv) a Társaság jogos érdekeivel összefüggő célok; (v) olyan célok, amelyekhez az érintett hozzájárult az adatainak kezeléséhez.

 

alvállalkozók és partnerek – magánszemélyek, a Társaság által kínált termékek reklámozására és népszerűsítésére vonatkozó szerződések alapján, akiknek a személyes adatait, beleértve a fényképfelvételeket is, a Társaság gyűjtheti. Az adatkezelés céljai e kategóriába tartozó érintettek esetében a következők: (i). reklám- vagy népszerűsítési szerződések teljesítése; (ii). a Társaság jogos érdekeivel kapcsolatos célok; (iii). olyan célok, amelyekhez az érintett hozzájárult az adatainak kezeléséhez;

 

más magánszemélyek és magánszemély képviselők vagy jogi személyek kapcsolattartói, akik kapcsolatban állnak a Társasággal (beleértve, de nem kizárólag beszállítókat, üzleti kapcsolatokat, alvállalkozókat, üzleti partnereket stb.) a Társaság tevékenységének végrehajtása és/vagy irányítása céljából;

 

más magánszemélyek, törvényes vagy meghatalmazott képviselők, a Társaság magánszemély ügyfelei részéről.

 

3.2.2. A Társaság a személyes adatokat a hosszabbik időtartamig őrzi meg, amely vagy az alkalmazandó törvények és rendeletek betartásához szükséges, vagy egyéb, a Társaság kereskedelmi tevékenységére, illetve munkáltatói vagy polgári szerződéses megbízóként végzett tevékenységére vonatkozó követelményeknek megfelelő időszak. A személyes adatok kezelése az adatok minimalizálásának elvén alapul, az adott ügyfél által igénybe vett szolgáltatások céljából és az azokhoz szükséges mértékben.

 

4. Adatfogadó kategóriák

 

A társaság a következő személyeknek adhat ki személyes adatokat:

 

szolgáltatók – tanácsadók, ügyvédek, könyvelők, IT szakemberek stb., a Társaság alaptevékenységéhez kapcsolódó szerződések megkötése, jogszabályi követelmények teljesítése, műszaki támogatás stb. kapcsán;

 

alvállalkozók – a Társaság nevében nyújtott szolgáltatások esetén (forgalmazók stb.), a Társaság által kínált termékek kereskedelmére vonatkozó szerződések megkötésével és teljesítésével kapcsolatban;

 

személyek, akik szolgáltatásokat nyújtanak a személyes adatok feldolgozásához (beleértve a tárolást is) használt berendezések, szoftverek és hardverek biztosításához és karbantartásához, a kifizetések elszámolásához stb.;

 

bankok, az adat alanyok részéről történő fizetések kezeléséért;

 

nyilvános és/vagy bírósági szervek, a törvény által engedélyezett és/vagy előírt mértékben és terjedelemben.

 

5. A Társaság kötelezettségei

 

A társaságnak a következő kötelezettségei vannak:

 

meghatározza a feldolgozott személyes adatok védelmére vonatkozó irányelveket és eljárásokat az alkalmazandó jogszabályoknak megfelelően;

 

bevezet megfelelő műszaki és szervezési intézkedéseket az adatvédelmi elvek hatékony érvényesítése érdekében, valamint annak biztosítására, hogy alapértelmezés szerint csak az adott feldolgozási célhoz szükséges személyes adatokat dolgozzák fel;

 

biztosítja a személyes adatok védelmére jogosult alanyok jogainak gyakorlását;

 

frissíti a támogatott adatbázisokat és ellenőrzi a védelmi követelmények betartását, megállapítja a védelem megsértésével kapcsolatos körülményeket, és intézkedéseket tesz azok megszüntetésére;

 

fenntartja a személyes adatokat olyan formában, amely lehetővé teszi az érintett személyek azonosítását, legfeljebb a szükséges ideig az adatok feldolgozásának céljaihoz képest;

 

tájékoztatja a személyes adatok védelmével foglalkozó munkatársakat a célszerűségről;

 

segítséget nyújt a Személyes Adatok Védelméért Felelős Bizottság (a továbbiakban: „KZLD”) ellenőrzési feladatainak végrehajtásában;

 

meghatározza a munkavállalók jogait a személyes adatokhoz való hozzáférésre az információs rendszerekben a feldolgozás céljainak megfelelően;

 

feldolgozza a személyes adatokat, amelyek megfelelő műszaki és szervezési intézkedések alkalmazásával elegendő garanciákat nyújtanak a védelem érdekében;

 

betart bizonyos szabályokat a személyes adatok biztonságának megsértése esetén;

 

dokumentálja a személyes adatok biztonsági megsértéseit az alkalmazandó jogszabályoknak megfelelően;

 

kockázatértékelést végez a Rendelet előírásainak megfelelően, illetve hatásvizsgálatot, ha a Rendelet szerint ennek feltételei fennállnak.

 

6. A Társaság alkalmazottainak kötelezettségei. Felelősség. Titoktartás

 

6.1. A Társaság alkalmazottai a személyes adatok feldolgozását az alábbiak megismerése után kezdik meg:

 

a személyes adatok védelmére vonatkozó jogszabályi előírások;

 

A társaság adatvédelmi politikája és egyéb belső szabályzatai;

 

a Személyes adatok veszélyei, amelyeket a Társaság kezel.

 

A Társaság alkalmazottai kötelesek:

 

betartani a Rendelet előírásait, a személyes adatok védelmére vonatkozó egyéb alkalmazandó jogszabályokat, a Szabályzatot és a Társaság személyes adatok védelmével kapcsolatos egyéb belső szabályzatait;

 

csak akkor kezeljék a személyes adatokat, ha fennáll a jogszerű adatkezelés feltétele, nevezetesen: jogalap az adatkezeléshez; vagy az adatkezelés alapja, amely a személyes szerződéses viszonyokból ered, vagy szükséges a személyes szerződéses viszonyok esetleges létrehozásához; vagy az adatkezelés alapja, amely a személy kifejezett hozzájárulásából ered; vagy az adatkezelés alapja, amely a Társaság vagy harmadik fél jogos érdekeiből ered a Rendelet követelményeinek megfelelően;

 

hogy a személyes adatokat az összegyűjtés céljainak megfelelően használják fel, és ne dolgozzák fel azokat további módon, amely nem összeegyeztethető ezekkel a célokkal;

 

ne használják fel a személyes adatokat, amelyekhez a Társaság alkalmazottjaiként hozzáférnek, bármilyen személyes célra;

 

tartsák be a szabályt, hogy elkerüljék a személyes adatok jogosulatlan hozzáférésének lehetőségét, és ne hagyjanak felügyelet nélkül hozzáférhető személyes adatokat az adott munkahelyen. Azokon a helyiségeken, amelyekhez külső személyek is hozzáférnek, az érintett munkavállalóknak intézkedéseket kell tenniük annak érdekében, hogy a külső személyeknek ne legyen semmilyen jogellenes hozzáférésük a személyes adatokat tartalmazó dokumentumokhoz, beleértve azt is, hogy ne tudják azokat megtekinteni, másolni vagy technikai eszközzel fényképezni;

 

amikor az adott tevékenység végrehajtása lehetővé teszi, korlátozzák a használt személyes adatok mértékét a lehető legnagyobb fokban;

 

biztosítsák és garantálják az érintettek jogainak betartását a személyes adatok kezelésével kapcsolatban;

 

ne engedjék meg, ne segítsék elő, és ne teremtsenek feltételeket a személyes adatok feldolgozásának biztonsági megsértéséhez;

 

hogy ne osszanak meg vagy szolgáltassanak egymásnak vagy harmadik feleknek adatbiztonság szempontjából lényeges információkat (felhasználóneveiket, rendszerhozzáférési jelszavaikat stb.);

 

ne másoljon vállalati információkat, amelyek személyes adatokat tartalmaznak, hordozható adathordozóra titkosítatlan (vagy jelszóval nem védett) formában;

 

ne küldjenek e-mailben a Társaságon kívüli e-mail címekre olyan információkat, amelyek jelentős mennyiségű személyes adatot tartalmaznak, vagy bármilyen különleges kategóriájú személyes adatot, vagy más személyes adatot, amelyekhez való jogosulatlan hozzáférés magas kockázatot jelenthet az érintett adat alanyok jogaira és érdekeire nézve, jelszóval nem védett fájlokban vagy titkosítatlan, illetve más módon álnevesített formában.

 

ne tegyenek közzé személyes adatokat az Társaság ügyfeleiről vagy alkalmazottairól nyilvános weboldalakon és egyéb helyeken, megfelelő jogalap hiányában;

 

6.2. Az alkalmazottak felelőssége

 

6.2.1. Minden olyan cselekedet, amely nem engedélyezett törléshez, megsemmisítéshez vagy a társasághoz beérkezett személyes adatok elektronikus vagy papíralapú formában történő módosításához vezet vagy vezethet, valamint a személyes adatok nem engedélyezett megosztása/közzététele a társaság alkalmazottai részéről tilos, és felelősségre vonást vonhat maga után az adott alkalmazottal szemben (fegyelmi, közigazgatási-bírságolási és/vagy büntetőjogi, és/vagy polgári).

 

6.3. A cég:

 

biztosítja a személyes adatok kezelésével foglalkozó valamennyi alkalmazott általi adatvédelmi és titoktartási nyilatkozat aláírását.

 

tájékoztatja azokat a munkavállalókat, akik személyes adatokat kezelnek, az ezzel kapcsolatos kötelezettségeikről.

 

7. Személyes adatok feldolgozási tevékenységeinek nyilvántartása adatkezelőként

 

A Rendelet 30. cikkének 1. bekezdése előírásainak megfelelően a Társaság nyilvántartást vezet az adatkezelőként végzett adatkezelési tevékenységekről, amely tartalmazza a Társaság nevét és elérhetőségi adatait. A nyilvántartás részletes leírást tartalmaz az összes személyes adatkezelési tevékenységről a Rendelet 30. cikkének 1. bekezdése szerint, beleértve a következő jellemzőket: az adatkezelési tevékenység (üzleti folyamat, funkció) megnevezése; az adatkezelés céljai; azoknak a természetes személyeknek a kategóriái, akikre az adatkezelés vonatkozik; az adott tevékenység során kezelt személyes adatok kategóriái; harmadik felek, akik megkapják vagy más módon részt vesznek az adott tevékenység során történő személyes adatkezelésben; ha alkalmazható, személyes adatok továbbítása harmadik országba, az EU-n kívül; a különböző személyes adat-kategóriák megőrzési és törlési határidejei, ha lehetséges; a műszaki és szervezeti biztonsági intézkedések általános leírása, ha lehetséges.

 

8. Személyes adatok feldolgozásával kapcsolatos tevékenységek nyilvántartásának vezetése, mint adatfeldolgozó

 

Abban az esetben, ha a Társaság tevékenységei kapcsán szükségessé válik a személyes adatok feldolgozásával kapcsolatos tevékenységek nyilvántartásának vezetése, mint a rendelet 30. cikkének (2) bekezdése szerinti adatfeldolgozó, a Társaság létrehozza és fenntartja az ilyen nyilvántartást a vonatkozó jogszabályok által előírt típusban, terjedelemben és tartalommal.

 

9. Adatvédelmi tisztviselő

 

A társaság adatvédelmi tisztviselőt (a továbbiakban: „DPO”) nevez ki, amennyiben az ilyen kinevezés szükségessé válik vagy szükségessé válik az alkalmazandó személyes adatok védelmére vonatkozó jogszabályi előírásoknak megfelelően.

 

10. Adatalanyok jogai

 

A társaság biztosítja az adat alanyainak a következő jogok gyakorlását:

 

jog az információhoz, amikor a személyes adatokat az adat alanyától gyűjtik;

 

a személyes adatokhoz való hozzáférés joga, különösen: (i) annak megerősítése, hogy a személyes adatokat a Társaság kezeli-e; (ii) hozzáférés biztosítása az adatokhoz az éppen feldolgozás alatt álló adatok másolatán keresztül, valamint tájékoztatás a feldolgozás céljairól; a személyes adatok kategóriáiról; a személyes adatokat megkapó vagy megkapó kategóriákról; a személyes adatok tárolási idejéről; a személyes adatok helyesbítéséhez vagy törléséhez, a személyes adatok feldolgozásának korlátozásához vagy a feldolgozás elleni tiltakozáshoz való jog létezéséről; a KZLD-hez benyújtott panasz jogáról; a személyes adatok forrásairól; az automatizált döntéshozatal, beleértve a profilalkotást, létezéséről.

 

jog a helyesbítésre - kérheti személyes adatainak helyesbítését vagy kiegészítését, ha azok pontatlanok vagy hiányosak;

 

a személyes adatok törléséhez való jog, ha a rendeletben meghatározott feltételek fennállnak;

 

a feldolgozás korlátozásához való jog;

 

az adatok hordozhatóságához való jog;

 

jog a kifogásra;

 

az érintett jogát arra, hogy ne legyen kizárólag automatizált feldolgozáson, beleértve a profilalkotást is, alapuló döntés tárgya, amely jogi következményekkel jár vagy más módon lényegesen érinti őt;

 

hozzájárulás megadása, módosítása vagy visszavonása személyes adatok kezeléséhez, amikor a kezelés alapja az érintett hozzájárulása.

 

Az érintettek gyakorolhatják jogaikat írásbeli kérelem benyújtásával a Társasághoz, az alábbi módok egyikén:

 

elektronikus levélben a Társaság fent megadott e-mail címére, minősített elektronikus aláírással, az elektronikus dokumentumokról és az elektronikus hitelesítési szolgáltatásokról szóló törvény szerint (a továbbiakban: „KEP”);

 

postai úton a Társaság kapcsolattartási címére, közjegyző által hitelesített kérelem elküldésével a kérelmező azonosításának biztosítása céljából, és abban az esetben, ha a kérelmet a kérelmező törvényes képviselője vagy közjegyző által hitelesített meghatalmazással rendelkező képviselője nyújtja be, a kérelemnek szintén tartalmaznia kell a kérelmet aláíró személy közjegyző által hitelesített aláírását.

 

A kérelmeket indokolatlan késedelem nélkül bírálják el. A kérelem benyújtásától számított egy hónapon belül a Társaság értesíti az érintettet a kérelem alapján tett intézkedésekről, illetve az intézkedés elmaradásának okairól, valamint a felügyeleti hatósághoz történő panasz benyújtásának és a bírósági úton történő jogvédelem lehetőségéről. Amennyiben a kérelemmel kapcsolatban intézkedések történnek, az érintett értesítésének határideje összesen legfeljebb három hónapra meghosszabbítható, figyelembe véve az ügy bonyolultságát és a kérelmek számát. Ebben az esetben a Társaság az érintettet az eredeti egy hónapos határidőn belül értesíti a határidő meghosszabbításáról.

 

Az információ (amely változhat attól függően, hogy melyik adat alanyának joga került gyakorlásra) papíralapon személyesen kerül átadásra az adat alanyának vagy annak törvényes vagy kifejezetten közjegyző által hitelesített meghatalmazással rendelkező képviselőjének. Ha a kérelem e-mailben került benyújtásra, az információ szintén e-mailben kerül megküldésre arra az e-mail címre, ahonnan a kérelem érkezett, jelszóval védett fájlokban.

  

11. Az érintett hozzájárulása, mint az adatkezelés alapja

 

11.1. Alapítvány

 

Abban az esetben, ha a személyes adatok feldolgozásának jogalapja a rendelet értelmében vett hozzájárulás, a hozzájárulást személyesen kell megadni írásos nyilatkozat formájában, elektronikus úton vagy a Társaság által meghatározott más módon, amely garantálja, hogy a hozzájárulás szabadon adott, konkrét, tájékozott és egyértelmű legyen.

 

11.2. Adatalanyok

 

A társaság gyűjthet hozzájárulásokat minden olyan adat alany kategóriára vonatkozóan, akiknek személyes adatait feldolgozzák, beleértve az ügyfeleket, alkalmazottakat és azokat a személyeket, akikkel a társaság polgári szerződést kötött szolgáltatások vagy megrendelések nyújtására, és másokat.

 

11.3. Visszavonás

 

A társaság lehetőséget biztosít az érintettek számára, hogy könnyen módosítsák vagy visszavonják hozzájárulásukat anélkül, hogy ez kedvezőtlen jogi következményekkel járna számukra, amennyiben objektíven erre lehetőség van. A hozzájárulás módosítása vagy visszavonása az érintettek által a hozzájárulások gyűjtésére vonatkozó eljárás szerint történik. Részleges vagy teljes hozzájárulás-visszavonás esetén, amikor a személyes adatok kezelése ezen alapul, a társaság előfordulhat, hogy nem tudja biztosítani az ügyfél által kért szolgáltatást vagy elvégezni azt a tevékenységet, amelyhez a személyes adatok megadása szükséges volt. A hozzájárulás visszavonása nem érinti a hozzájárulás visszavonásáig végzett adatkezelés jogszerűségét.

 

11.4. Hozzájárulások gyűjtése

 

A hozzájárulásokat az alábbi módok egyikén gyűjtik:

 

személyesen, az ügyfélszolgálati irodában - a Társaság ügyfelei számára;

 

elektronikus hivatalos levélben - jelenlegi alkalmazottak számára;

 

engedélyezett postai szolgáltató által, a hozzájárulási nyilatkozat közjegyzői hitelesítésével; vagy

 

aláírva KEP-vel a hozzájárulási nyilatkozat, amelyet e-mailben küldtek el.

 

11.5. Hozzájárulások megadása és visszavonása online

 

Amennyiben olyan esetek állnak fenn, amikor a Személyes Adatok feldolgozásához a Társaság által nyújtott szolgáltatások igénybevétele érdekében hozzájárulás szükséges, amelyeket online igényelnek, ez a hozzájárulás szintén online történik megadásra (illetve visszavonásra).

 

11.6. Tárolás

 

A személyes adatok feldolgozásához adott hozzájárulásokat a Társaság regisztrálja és tárolja, az adott tárolási módnak és terjedelemnek megfelelően.

 

12. A személyes adatok kezelése a Társaság által személyes adatokat kezelőn keresztül

 

A tevékenysége végzése során a Társaság harmadik feleket (alvállalkozókat, forgalmazókat, futárszolgáltatókat stb.) vehet igénybe, akik a rendelet 4. cikk 8. pontja értelmében adatkezelőknek minősülnek. Ilyen adatkezelők lehetnek:

 

kereskedelmi társaságok;

 

magánszemélyek, akik polgári jogi szerződések alapján vannak alkalmazva.

 

Amikor a személyes adatok feldolgozását feldolgozóra bízza, a Társaság a következő követelményeket tartja be:

 

kiválasztanak olyan feldolgozókat, akik megfelelő garanciákat nyújtanak a személyes adatok védelmére szolgáló megfelelő műszaki és szervezési intézkedések alkalmazására;

 

a személyes adatok védelmének feltételeit írásban szabályozzák a Társaság és a feldolgozó között.

 

A társaság által a személyes adatok feldolgozóival kötött szerződések/megegyezések meghatározzák és szabályozzák: a tárgyat és a hatály időtartamát, a feldolgozás céljait és jellegét; az adat alanyainak kategóriáit, akiknek személyes adatait feldolgozzák; a személyes adatok típusát, amelyeket a feldolgozó a társaság nevében kezelni fog; a társaság és a feldolgozó jogait és kötelezettségeit; a feldolgozó által alkalmazandó műszaki és szervezési védelmi intézkedések követelményeit (a feldolgozó esetében nem engedélyezett eltérés a jelen irányelvben foglaltaktól); a feldolgozó együttműködési kötelezettségét a rendelet 31-36. cikke szerint; a feldolgozó kötelezettségét, hogy a biztonsági incidensről való tudomásszerzést követően haladéktalanul értesítse a társaságot; a feldolgozóval szembeni követelményeket és egyéb kötelező feltételeket a rendelet 28. cikk 3. pontja szerint.

 

13. Szabályok a személyes adatok biztonságának megsértése esetén történő reagáláshoz

 

13.1. Biztonsági incidens észlelése alkalmazott által

 

Biztonsági incidens esetén, amelyet a Társaság alkalmazottja észlel, az alkalmazott haladéktalanul írásban (és ha lehetséges – szóban is) jelentést tesz a Társaság vezetőségének vagy a kijelölt adatvédelmi tisztviselőnek (ha van ilyen), és megadja az ezzel kapcsolatos információkat – az incidens jellegét, a feltételezett időpontot, amikor az incidens történt vagy végrehajtásra került, és egyéb részleteket.

 

13.2. A biztonsági incidens kivizsgálása és intézkedések

 

Indokolatlan késedelem nélkül a Társaságnak meg kell vizsgálnia a tényeket, elemeznie és értékelnie kell a jogsértés súlyosságát, figyelembe véve az érintettek jogaira és szabadságaira jelentett kockázatot, az érintett adatalanyok számát stb., és megfelelő intézkedéseket kell javasolnia a problémák megszüntetésére, illetve ahol ez nem lehetséges – az azonosított kockázatok és a lehetséges kedvezőtlen következmények minimalizálására.

 

13.3. Értesítés a KZLD-nek

 

Biztonsági incidens esetén a Társaság 72 órán belül tájékoztatja a KZLD-t az észleléstől számítva, kivéve, ha az adott esetben nincs olyan valószínűség, hogy a biztonsági incidens kockázatot jelentene a természetes személyek jogaira és szabadságaira.

 

13.4. Értesítés az adat alanyoknak

 

Ha az adatbiztonsági incidens magas kockázatot jelenthet az érintett természetes személyek jogaira és szabadságaira nézve, a Társaság indokolatlan késedelem nélkül értesíti az érintett adat alanyokat az adatbiztonsági incidensről. Az értesítésben leírják az adatbiztonsági incidens jellegét, és legalább a következőket tartalmazza: a Társaság nevét és elérhetőségeit; az incidens esetleges következményeinek leírását; a Társaság által megtett vagy javasolt intézkedések leírását az incidens kezelésére.

 

A társaságnak joga van nem értesíteni az érintett adat alanyokat a jogsértésről, ha:

 

(I). megfelelő műszaki és szervezési intézkedéseket tett a védelem érdekében, és ezeket az intézkedéseket alkalmazták (pl. titkosítás); és/vagy

 

(II). később olyan intézkedéseket hozott, amelyek garantálják, hogy már nincs valószínűsége annak, hogy a magas kockázat megvalósuljon az adat alanyainak jogaira és szabadságaira nézve; és/vagy

 

(III). egy ilyen közlés aránytalan erőfeszítéseket eredményezne. Ebben az esetben a Társaság nyilvános közleményt tesz közzé a weboldalán és/vagy megfelelő módon, a tömegtájékoztatási eszközökön keresztül hozza nyilvánosságra a jogsértést.

  

13.5. Tárolás

 

A személyes adatok biztonsági megsértésére vonatkozó jelzéseket a Társaság rögzíti és tárolja.

  

14. Személyes adatok védelmére vonatkozó műszaki és szervezési intézkedések

 

14.1. A Társaság technikai és szervezési intézkedései adatkezelőként

 

A Társaság tevékenységében előírták a személyes adatok véletlen vagy jogellenes megsemmisítése, véletlen elvesztése, jogosulatlan hozzáférése, módosítása vagy terjesztése, valamint más jogellenes feldolgozási formák elleni szükséges műszaki és szervezési intézkedéseket. A védelem típusai fizikai, személyi, dokumentációs, automatizált információs rendszerek és/vagy hálózatok védelme, valamint kriptográfiai védelem. A Társaság által alkalmazott műszaki és szervezési intézkedések részletesen felsorolva találhatók a jelen Szabályzat 1. mellékletében, amely időszakos frissítések tárgyát képezheti.

 

14.2. A Társaság technikai és szervezési intézkedései, mint adatkezelő

 

Abban az esetben, ha a Társaság más adatkezelők adatkezelőjeként személyes adatokat kezel, a Társaság által adatkezelőként alkalmazott konkrét műszaki és szervezési intézkedéseket az adott adatkezelővel kötött egyedi megállapodások határozzák meg. Ha ilyen meghatározás hiányzik, a Társaság azokat a műszaki és szervezési intézkedéseket alkalmazza, amelyeket adatkezelőként alkalmaz.

 

15. Személyes adatok továbbítása az Európai Gazdasági Térségen (EGT) kívül

A társaság nemzetközi adatátvitelt végezhet az Európai Gazdasági Térségből (EGT) származó adatokkal, amennyiben az Európai Bizottság elismerte, hogy az EGT-n kívüli adott ország megfelelő szintű adatvédelmet biztosít. Az EGT-n kívüli országok felé történő adatátvitel esetén, amelyek adatvédelmi szintjét az Európai Bizottság nem ismerte el, a társaság vagy a rendelet szerinti adott kivételre hivatkozik, amely az adott helyzetre alkalmazandó, vagy az alkalmazandó jogszabályok által előírt garanciák valamelyikét alkalmazza. Egyéb esetekben, az EGT-n kívüli személyes adatok átvitele kizárólag az érintett kifejezett hozzájárulásán alapul, amelyet az adatátvitelre vonatkozó rendeleti követelmények betartásával szereztek be.