1. Bevezetés

1.1. A Shiver Korlátolt Felelősségű Társaság (székhely: 3508 Miskolc, Csaba vezér út 129.), mint adatkezelő – a továbbiakban: adatkezelő – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a továbbiakban: GDPR – 12. cikk (1) bekezdése, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény – a továbbiakban: Info tv. – 20.§ alapján a GDPR és Info tv. végrehajtása érdekében az érintetteket a személyes adatai kezelésének megkezdése előtt az alábbi adatkezelési tájékoztatóval tájékoztatja az alábbi tényekről és körülményekről.

A GDPR és az Info tv. hatálya alá csak a természetes személyek adataira vonatozó adatkezelések tartoznak, az nem vonatkozik jogi személyek és egyéb vállalkozások adatainak kezelésére. Nem tartoznak a GDPR és az Info tv. hatálya alá az olyan adatkezelések, amelyeket természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végeznek, azaz amely semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. A jelen tájékoztatóban foglaltak egyaránt vonatkoznak az automatizált, azaz elektronikus úton, egyszerűen számítógéppel végzett adatkezelésekre, és a kézi, azaz manuális adatkezelésekre is.

1.1. Az adatkezelő adatai

Cégnév	Shiver Korlátolt Felelősségű Társaság
Székhely	3508 Miskolc, Csaba vezér út 129.
Cégjegyzékszám	05-09-023947
Adószám	23890833-2-05
KSH szám	23890833-4511-113-05
Számlavezető bank,bankszámlaszám	OTP Bank Nyrt. 11734004-20499598
Kapcsolattartó neve, elérhetőségei (e-mail)	Kovács Ágnes, hello@oem-parts.hu

1.3. A tényleges adatkezelés webhelyei

• https://oem-parts.hu
• https://alkatresz.robogowebshop.hu
• https://nzi.hu
• https://dellorto-karburator.hu
• https://bukosisak-shop.hu
• https://b2b.oem-parts.hu

azaz a továbbiakban weboldalak
Az adatkezelő feladata a természetes személyek magánszférájának adatkezelő általi tiszteletben tartása és ennek érdekében az adatok kezelésére vonatkozó alapvető szabályok meghatározása. A GDPR és Info tv. hatálya az adatkezelő által folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik. A GDPR és Info tv. rendelkezéseit a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell. A GDPR és Info tv. rendelkezéseit nem kell alkalmazni a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.

1.4. Vonatkozó jogszabályok felsorolása:

1. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) (GDPR);
2. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.);
3. Magyarország Alaptörvénye;
4. Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.);
5. a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2007. évi CXXXVI. törvény (Pmt.);
6. a fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fgy tv.);
7. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Eker tv.);
8. a számvitelről szóló 2000. évi C. törvény (Számv. tv.).

1.5. Értelmező rendelkezések

A tájékoztató alkalmazása során:

1. adatkezelő: a Shiver Kft.
2. Hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c, tel.: 1/391-1400, e-mail: ugyfelszolgalat@naih.hu)
3. személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
4. adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
5. az adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
6. profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
7. álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
8. nyilvántartási rendszer: a személyes adatok bármely módon - centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
9. adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
10. adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
11. címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
12. harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
13. az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejezőcselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
14. adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
15. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
16. egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;
17. tevékenységi központ:
    
    1. az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
    2. az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
18. képviselő: az az Unióban tevékenységi hellyel, illetve lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 27. cikk alapján írásban megjelölt természetes vagy jogi személy, aki, illetve amely az adatkezelőt vagy adatfeldolgozót képviseli az adatkezelőre vagy adatfeldolgozóra az e rendelet értelmében háruló kötelezettségek vonatkozásában;
19. vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
20. vállalkozáscsoport: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások;
21. kötelező erejű vállalati szabályok: személyes adatok védelmére vonatkozó szabályzat, amelyet az Unió valamely tagállamának területén tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó egy vagy több harmadik országban a személyes adatoknak az ugyanazon vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adatkezelő vagy adatfeldolgozó részéről történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ;
22. felügyeleti hatóság: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;
23. érintett felügyeleti hatóság: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
    
    1. az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel;
    2. az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy
    3. panaszt nyújtottak be az említett felügyeleti hatósághoz;
24. személyes adatok határokon átnyúló adatkezelése:
    
    1. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
    2. személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentőős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
25. releváns és megalapozott kifogás: a döntéstervezettel szemben benyújtott, azzal kapcsolatos kifogás, hogy ezt a rendeletet megsértették-e, illetve hogy az adatkezelőre vagy az adatfeldolgozóra vonatkozó tervezett intézkedés összhangban van-e a rendelettel; a kifogásban egyértelműen be kell mutatni a döntéstervezet által az érintettek alapvető jogaira és szabadságaira, valamint adott esetben a személyes adatok Unión belüli szabad áramlására jelentett kockázatok jelentőségét;
26. az információs társadalommal összefüggő szolgáltatás: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;
27. nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet vagy annak alárendelt szervei, vagy olyan egyéb szerv, amelyet két vagy több ország közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre.

1.6. Az adatkezelő genetikai, biometrikus és egészségügyi adatot, azaz együttesen különleges adatot, továbbá 16. életévét be nem töltött kiskorú személyes adatait nem gyűjti, nem kezeli. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.

2. Adatkezelések célja, jogalapja

Adatkezelő által végzett adatkezelési tevékenységek:

1. Érintettel kötött szerződésben adott hozzájárulás
2. Telefonbeszélgetések rögzítése
3. Bankkártyás fizetés
4. Weboldalak látogatóinak adatai
5. Weboldalak cookie kezelése
6. Weboldalakon történő regisztráció
7. Marketing, kereskedelmi célú adatbázis építése
8. Kötelező adatkezelés
9. Egyéb adatkezelések

2.1. Érintettel kötött szerződésben adott hozzájárulás

Az adatkezelő az alábbi webhelyeken webáruházat üzemeltet, melyen keresztül az adatkezelő, mint eladó és az érintett, mint vevő között a webáruházban történő regisztrációval vagy regisztráció nélkül, elektronikus úton termék adásvételére vonatkozó szerződés jöhet létre. A webáruház üzemeltetésének célja a felek között termék adásvételére vonatkozó adásvételi szerződés elektronikus úton történő megkötése, az adásvételi szerződés teljesítése. Az adásvételi szerződés elektronikus úton történő megkötésének menetére, a felek jogaira és kötelezettségeire az adatkezelő weboldalain található Általános Szerződési Feltételek az irányadóak.
A webáruházak az. 1 3. pontban felsorolt weboldalakon érhetőek el.

Az adatkezelés célja
Amennyiben az adatkezelő, mint eladó és az érintett, mint vevő között elektronikus úton termék adásvételére vonatkozó szerződés jön létre, úgy az adatkezelés célja a felek között megkötött szerződés teljesítése.
Adatkezelés jogalapja:
GDPR 6. cikk (1) bekezdés b) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása.

Kezelt adatok köre:

Szerződő fél adatok:	Szállítási adatok:	Egyéb:
a) név (vezetéknév, keresztnév)	a) címzett neve	a) IP címek
b) e-mail cím	b) szállítási cím (ország, megye, irányítószám, település, kerület, közterület neve, közterület jellege, házszám/helyrajzi szám, épület, lépcsőház, emelet, ajtó)	b) utolsó látogatás dátuma
c) telefonszám		c) GEO kód (szállítási és számlázási cím alapján a címhelyesség ellenőrzése céljából)

Adatszolgáltatás elmaradásának következményei
A felek között a termék adásvételére vonatkozó szerződés nem jön létre.

Adatkezelés időtartama:
Az adatkezelő az adatokat az alábbiak teljesüléséig tárolja:

1. a megrendelt termék ellenértékének megfizetéséig;
2. amennyiben az érintett a termék ellenértékét nem fizette meg, úgy a követelésre vonatkozó jogvita jogerős lezárásáig, a követelés elévüléséig;
3. a szerződés bármely módon történő megszőnéséig.

Adatfeldolgozó:

Cégnév	Székhely, webhely	Adatfeldolgozási tevékenység	Feldolgozott adatok köre
MPL - Magyar Posta Zrt.	1138 Budapest, Dunavirág utca 2-6., https://www.posta.hu/	Az érintettek részére a megrendelt termék kézbesítése, a részükre küldendő levelek kézbesítése, postai küldeményforgalom biztosítása	A 2.1. pontban foglalt "Kezelt adatok köre" táblázat "Szerződő fél adatok" és "Szállítási adatok" oszlopokban felsorolt adatok.
GLS General Logistics Systems Hungary Csomag-Logisztikai Kft.	2351 Alsónémedi GLS Európa u. 2., https://gls-group.eu/	Az érintettek részére a megrendelt termék kézbesítése.	A 2.1. pontban foglalt "Kezelt adatok köre" táblázat "Szerződő fél adatok" és "Szállítási adatok" oszlopokban felsorolt adatok.
UPS Magyarország Kft.	2220 Vecsés, Lőrinci utca 154. Airport City Logistic Park, G épület, https://www.ups.com/hu/	Az érintettek részére a megrendelt termék kézbesítése.	A 2.1. pontban foglalt "Kezelt adatok köre" táblázat "Szerződő fél adatok" és "Szállítási adatok" oszlopokban felsorolt adatok.
DHL Express Magyarország Szállítmányozó és Szolgáltató Kft.	1185 Budapest, BUD Nemzetközi Repülőtér repülőtér 302. ép., http://www.dhl.hu/hu/	Az érintettek részére a megrendelt termék kézbesítése.	A 2.1. pontban foglalt "Kezelt adatok köre" táblázat "Szerződő fél adatok" és "Szállítási adatok" oszlopokban felsorolt adatok.

Adatfeldolgozás technológiája: kézi és gépi adatfeldolgozás.

Adattovábbítás: Az adatkezelő a követelése érvényesítése céljából személyes adatokat – név, lakcím, e-mail cím, telefonszám – továbbíthat a következő harmadik személyek számára:

1. adatkezelő jogi képviseletét ellátó ügyvéd;
2. Magyar Országos Közjegyzői Kamara (MOKK);
3. illetékes bíróság;
4. illetékes önálló bírósági végrehajtó;
5. adatkezelő számlavezető bankja (bankkártyás fizetés esetén).

2.2. Telefonbeszélgetések rögzítése

Az adatkezelő az érintett hozzájárulása alapján a hívás fogadásakor elhangzó szóbeli tájékoztatás elfogadásával rögzíti a telefonos ügyfélszolgálattal folytatott beszélgetéseket.

Az adatkezelés, a hívások rögzítésének célja:

1. a telefonos ügyfélszolgálat útján megtett szóbeli nyilatkozatok utólag az érintett, illetve az adatkezelő jogos érdekeinek bizonyítása érdekében igazolhatóak legyenek;
2. a rögzített hangfelvétel visszahallgatása, felhasználása a telefonos ügyfélszolgálaton megtett nyilatkozatok, bejelentések utólagos igazolására.

Az érintett másolatot kérhet a hangfelvételről. Az adatkezelő a kérelem beérkezésétől számított 15 napon belül bejelentésenként díjmentesen köteles a kérelmet teljesíteni, a hangfelvétel másolatát postai úton, egyszer írható médián megküldeni. Az érintettnek lehetősége van a hangfelvételt az adatkezelő ügyfélszolgálatán visszahallgatni.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés a) és b) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása.

GDPR 6. cikk (1) bekezdés
"A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyibenlegalább az alábbiak egyike teljesül:

1. az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történőlépések megtételéhez szükséges."

A GDPR 6 cikk (1) bekezdés a) pontján alapuló adatkezeléshez való hozzájárulás bármely időpontban visszavonható. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

Kezelt adatok köre:

1. név( vezetéknév, keresztnév)
2. telefonszám

Az adatkezelés időtartama: A hangfelvételek tárolása a kifejezetten erre a célra kialakított informatikai rendszerben a rendelkezésre álló tárhely kapacitásának dinamikus kihasználásával történik. A tárhely telítettsége esetén a legkorábban rögzített hangfelvétel törlődik. Az adatkezelő a rögzített hangfelvételeket a követelés megszünésétől vagy a jogviszony megszünésétől számított 5 évig tárolja.

2.3. Bankkártyás fizetés

Adatok kezelésének célja: bankkártyás fizetés esetén a befizető érintett fél hozzájárulása alapján az adatkezelő kezeli és szükség esetén átadja a számlavezető bankja részére az alábbi adatokat:

1. érintett fizető fél bankkártyán rögzített neve;
2. befizetés összege;
3. bankkártya száma, érvényességi adatai;
4. fizetés érvényességének ellenőrzéséhez szükséges biztonsági adatok.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés b) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása.

Adatfeldolgozó:

Cégnév	Székhely, webhely	Adatfeldolgozási tevékenység	Feldolgozott adatok köre
SimplePay - OTP Mobil Kft.	1093 Budapest, Közraktár u. 30-32., https://simplepay.hu	Fizetési oldal üzemeltetője, fizetési tranzakció lebonyolítása.	2.3. pont a),b),c),d) szerinti adatok
B-Payment Zrt.	1132 Budapest, Váci út 4. 1. alb., https://www.b-payment.com/hu/	Fizetési oldal üzemeltetője, fizetési tranzakció lebonyolítása.	2.3. pont a),b),c),d) szerinti adatok

Az adatkezelés időtartama: az adatkezelő a fenti adatokat a követelés érvényesítése céljából a számviteli törvény előírásainak megfelelően az ott megjelölt ideig kezeli. A számlavezető bank a fenti adatokat a hatályos jogszabályokban és saját szabályzataiban meghatározott célra és ideig kezeli.

2.4. Weboldalak látogatóinak adatai

A honlaplátogatás az adatkezelő weboldalaira való kattintással valósul meg.

Az adatkezelés célja: A honlap látogatása során az adatkezelő a szolgáltatások működésének ellenőrzése, a személyre szabott kiszolgálás és visszaélések megakadályozása érdekében rögzíti a látogatói adatokat.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés a) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása, illetve az Eker tv. 13/A.§ (3) bekezdése.

A GDPR 6 cikk (1) bek. a) pontján alapuló adatkezeléshez való hozzájárulás bármely időpontban visszavonható. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

A kezelt adatok köre:

1. azonosítószám;
2. dátum;
3. időpont;
4. a meglátogatott oldal címe;
5. a felhasználó számítógépének IP címe;
6. a felhasználó platformjának tulajdonságai ( pl.: böngésző típusa, operációs rendszer..stb.)

Az adatkezelő a naplóállományok ellenőrzése során felmerült adatokat más információval nem kapcsolja össze, a felhasználó személyének azonosítására nem törekszik.

Az adatkezelés időtartama: 1 év

Külső szolgáltatók adatkezelése: A portál html kódja az adatkezelőtől független, külső szerverről érkezőés külső szerverre mutató hivatkozásokat tartalmaz. A külső szolgáltatók szerverei közvetlenül a felhasználó számítógépével állnak kapcsolatban, ezért e hivatkozások szolgáltatói a felhasználó böngészőjével való közvetlen kommunikáció miatt felhasználói adatokat képesek gyűjteni. A személyre szabott tartalmakat a külső szolgáltatók szerverei szolgálják ki. Az adatkezelő és a külső szolgáltatók szerverei közötti kapcsolat kizárólag az utóbbiak kódjainak beillesztésére terjed ki, így személyes adatok átadása, továbbítása sem történik.

Az adatok külső szolgáltatók szervere általi kezeléséről az alábbi adatkezelők tudnak részletes felvilágosítást nyújtani: A weboldal látogatottsági és egyéb webanalitikai adatainak független mérését és auditálását külső szolgáltatóként a Google Analytics, Hotjar, Smartlook és a Facebook szerverei segítik. A mérési adatok kezeléséről az adatkezelő a www.google-analytics.com, www.hotjar.com, www.smartlook.com és a facebook.com címen kaphat részletes felvilágosítást. A honlap kódjába a felhasználó követése és személyre szabott ajánlások megjelenítése érdekében Google Analytics, Hotjar, Smartlook és a Facebook szolgáltatók követő kódja került beágyazásra.

A külső szolgáltatók a testre szabott kiszolgálás érdekében a felhasználó számítógépén kis adatcsomagot, ún. sütit (cookie) helyeznek el és olvasnak vissza. Ha a böngésző visszaküld egy korábban elmentett sütit, az azt kezelő szolgáltatóknak lehetőségük van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalmuk tekintetében.

A sütit felhasználó képes törölni saját számítógépéről, illetve az alkalmazását a böngészőjében letilthatja. Általában a sütik kezelésére a böngészők Eszközök/Beállítások menüjében az Adatvédelem beállításai alatt, Cookie vagy Süti megnevezéssel van lehetőség.

2.5. Weboldalak cookie kezelése

A honlap üzemeltetője a testreszabott kiszolgálás érdekében a felhasználó gépén kis adatcsomagot, ún. sütit (cookie) helyez el és olvas vissza. Ha a böngésző visszaküld egy korábban elmentett sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalma tekintetében. A felhasználó saját számítógépéről a sütit törölheti, illetve letilthatja a böngészőjében a sütik alkalmazását. Általában a sütik kezelésére a böngészők Eszközök/Beállítások menüjében az Adatvédelem beállításai alatt, Cookie vagy Süti megnevezéssel van lehetőség.

A cookie-kat az adatkezelő, mint eladó nem használja személyes adatok továbbítására.

A kezelt adatok köre:

1. azonosítószám;
2. dátum;
3. időpont;
4. a meglátogatott oldal címe;
5. a felhasználó számítógépének IP címe;
6. a felhasználó platformjának tulajdonságai ( pl.: böngésző típusa, operációs rendszer..stb.)

Az adatkezelés célja: A felhasználók azonosítása, egymástól való megkülönböztetése, a felhasználó aktuális munkamenetének azonosítása, az annak során megadott adatok tárolása, az adatvesztés megakadályozása.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés a) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása.

A GDPR 6 cikk (1) bek. a) pontján alapuló adatkezeléshez való hozzájárulás bármely időpontban visszavonható. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

Az adatkezelés időtartama: a látogató honlapon elindított munkamenetének időtartama, regisztrált felhasználók esetén 1 év.

2.6. Weboldalakon történő regisztráció

Adatkezelés célja: felhasználói élmény javítása, gyorsítása, a megrendelésekkel kapcsolatos tájékoztatás elpsegítése, rendelési elpzmények megjelenítése.

Online regisztráció során csak azokat a személyes adatokat lehet kezelni, amelyek a regisztráció létrejöttéhez elengedhetetlenül szükségesek.

Önnek lehetősége van arra, hogy az webáruházba akár Facebook vagy Google fiókján keresztül is regisztrálhasson. Amennyiben a fenti lehetőségek bármelyike mellett dönt, a kiválasztott link átirányítja Önt a Facebook Admin / Google LLC oldalra, ahol az adott szolgáltató fogja tájékoztatni az általuk felénk továbbított adatok kezelésének módjáról. A Facebook, illetőleg a Google adatvédelmi irányelveit a következő linkekre kattintva tudja tanulmányozni:https://www.facebook.com/about/privacy, https://policies.google.com/privacy

A kezelt adatok köre: A 2.1. pontban foglalt "Kezelt adatok köre" táblázat adatai

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés a) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása.

A GDPR 6 cikk (1) bek. a) pontján alapuló adatkezeléshez való hozzájárulás bármely időpontban visszavonható. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

2.7. Marketing, kereskedelmi célú adatbázis építése

Az adatkezelő által üzemeltett honlapon lehetőség van arra, hogy az érintett hozzájáruljon ahhoz, hogy az adatkezelő őt kereskedelmi adatbázisába felvegye, és ezt követően a rá vonatkozó ajánlataival kapcsolatban az általa megadott elérhetőségen megkeresse.

A kezelt adatok köre:

1. név (vezetéknév, keresztnév),
2. lakcím (ország, megye, irányítószám, település, kerület, közterület neve, közterület jellege, házszám/helyrajzi szám, épület, lépcsőház, emelet, ajtó);
3. telefonszám;
4. e-mail cím.

Az adatkezelés célja: Adatbázis építése, az érintett által megadott elérhetőségeken történő kapcsolatfelvétel az adatkezelő ajánlataival kapcsolatban.

Adatkezelés jogalapja: GDPR 6. cikk (1) bekezdés a) pont, Info tv. 5.§ (1) bekezdés a) pont szerinti érintett hozzájárulása.

A GDPR 6 cikk (1) bek. a) pontján alapuló adatkezeléshez való hozzájárulás bármely időpontban visszavonható. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

Az adatkezelés időtartama: Az adatkezelési cél megvalósulásáig, az utolsó kapcsolatfelvételtől számított 24 hónapig.

Az adatbázisba való felvételhez adott hozzájárulás visszavonását és a személyes adatok törlését vagy módosítását az alábbi elérhetőségeken lehet kérni:

Név	Shiver Kft.
Cím:	3508 Miskolc, Csaba vezért út 129.sz.
Telefonszám	+36705779707
Email	hello@oem-parts.hu

2.8. Kötelező adatkezelés

2.8.1. Számviteli és adójogszabályok rendelkezései

Az adatok kezelésének célja és jogalapja: Az adatkezelő a GDPR 6. cikk (1) bekezdés c) pontja és az Info tv. 5.§ (1) bekezdés b) pontja szerinti kötelező adatkezelésként követelésével kapcsolatos számviteli bizonylatokat, melyeken az érintett/befizető neve, címe és kötelező jogszabály alapján feltüntetendő adatok szerepelnek, a Számv. tv. 169.§-a alapján kezeli.

Adatforrás: érintett személyek által megadott adatok.

Az adatkezelési cél teljesüléséhez szükséges adatok köre:

1. befizető neve;
2. befizetés összege;
3. fizetés időpontja.

Az adatkezelés időtartama: Az adatkezelő az adatokat a Számv. tv. 169.§ (2) bekezdése szerint az adatok keletkezésétől számított 8 évig köteles kezelni.

Adattovábbítás: Nemzeti Adó- és Vámhivatal

Az adatfeldolgozás technológiája: kézi és gépi adatfeldolgozás.

2.8.2. Panaszkezelés

Az adatok kezelésének célja és jogalapja: Az adatkezelő a GDPR 6. cikk (1) bekezdés c) pontja és az Info tv. 5.§ (1) bekezdés b) pontja szerinti kötelező adatkezelésként az Fgy tv. 17/A.§-ban szabályozott fogyasztói panasz kezelése.

Adatforrás: érintett személyek által megadott adatok.

Az adatkezelési cél teljesüléséhez szükséges adatok köre:

1. név (vezetéknév, keresztnév);
2. e-mail;
3. telefonszám;
4. lakcím (ország, megye, irányítószám, település, kerület, közterület neve, közterület jellege, házszám/helyrajzi szám, épület, lépcsőház, emelet, ajtó);
5. bankszámlaszám;
6. A panaszról felvett jegyzőkönyvnek tartalmaznia kell az alábbiakat:
   1. a fogyasztó neve, lakcíme,
   2. a panasz előterjesztésének helye, ideje, módja,
   3. a fogyasztó panaszának részletes leírása, a fogyasztó által bemutatott iratok, dokumentumok és egyéb bizonyítékok jegyzéke,
   4. a vállalkozás nyilatkozata a fogyasztó panaszával kapcsolatos álláspontjáról, amennyiben a panasz azonnali kivizsgálása lehetséges,
   5. a jegyzőkönyvet felvevő személy és - telefonon vagy egyéb elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panasz kivételével - a fogyasztó aláírása,
   6. a jegyzőkönyv felvételének helye, ideje,
   7. telefonon vagy egyéb elektronikus hírközlési szolgáltatás felhasználásával közölt szóbeli panasz esetén a panasz egyedi azonosítószáma.

Az adatkezelés időtartama: Az adatkezelő a panaszról felvett jegyzőkönyvet és a válasz másolati példányát az Fgy tv. 17/A.§ (7) bekezdése alapján 5 évig köteles megőrizni és azt az ellenőrző hatóságoknak kérésre bemutatni.

Adattovábbítás: Az adatkezelő a panaszról felvett jegyzőkönyvet és a válasz másolati példányát az Fgy tv. 17/A.§ (7) bekezdése alapján 5 évig köteles megőrizni és azt az ellenőrző hatóságoknak kérésre bemutatni.

Az adatfeldolgozás technológiája: kézi és gépi adatfeldolgozás.

2.9. Egyéb adatkezelések

A kötelező adatkezelés keretében kezelt személyes adatokat - ha törvény eltérően nem rendelkezik - a Központi Statisztikai Hivatal statisztikai célból egyedi azonosításra alkalmas módon átveheti és törvényben meghatározottak szerint kezelheti. A statisztikai célra felvett, átvett vagy feldolgozott személyes adatok - ha törvény eltérően nem rendelkezik - csak statisztikai célra kezelhetők. A személyes adatok statisztikai célra történő kezelésének részletes szabályait külön törvény határozza meg.

Az adatkezelő a hatóságok részére, amennyiben a hatóság a pontos célt és az adatok körét megjelölte, személyes adatot csak olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

3. Az érintettek jogai

3.1. Az érintett hozzáférési joga

3.1.1. Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

1. az adatkezelés céljai;
2. az érintett személyes adatok kategóriái;
3. azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
4. adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
5. az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
6. a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
7. ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
8. a GDPR 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár. Amennyiben személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a GDPR 46. cikk szerinti megfelelő garanciákról.

3.1.2 Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri. Az érintett másolat igénylésére vonatkozó joga nem érintheti hátrányosan mások jogait és szabadságait.

3.2. A helyesbítéshez való jog

3.2.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok - egyebek mellett kiegészítő nyilatkozat útján történő - kiegészítését.

3.2.2. Ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll, a személyes adatot az adatkezelő helyesbíti.

3.3. A törléshez való jog („az elfeledtetéshez való jog”)

3.3.1. Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

1. a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
2. az érintett visszavonja a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
3. c) az érintett a GDPR 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
4. a személyes adatokat jogellenesen kezelték;
5. a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
6. a személyes adatok gyűjtésére a GDPR 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

3.3.2. Ha az adatkezelő nyilvánosságra hozta a személyes adatot és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket - ideértve technikai intézkedéseket - annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

3.3.3. A szabályzat 3.3.1. és. 3.3.2. pontjai nem alkalmazandóak, amennyiben az adatkezelés szükséges:

1. a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
2. a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
3. a GDPR 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
4. a GDPR 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
5. jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.

3.4. Az adatkezelés korlátozásához való jog

3.4.1. Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
2. az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
3. az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
4. az érintett a GDPR 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

3.4.2. Ha az adatkezelés a 3.4.1. pont alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

3.4.3. Az adatkezelő az érintettet, akinek a kérésére korlátozták az adatkezelést, azadatkezelés korlátozásának feloldásáról előzetesen tájékoztatja.

3.5. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség

Az adatkezelő minden olyan címzettet tájékoztat a GDPR 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

3.6. Az adathordozhatósághoz való jog

3.6.1. Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

1. az adatkezelés a GDPR 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja szerinti hozzájáruláson, vagy a 6. cikk (1) bekezdésének b) pontja szerinti szerződésen alapul; és
2. az adatkezelés automatizált módon történik.

3.6.2. Az adatok hordozhatóságához való 3.6.1. pont szerinti gyakorlása során az érintett jogosult arra, hogy - ha ez technikailag megvalósítható - kérje a személyes adatok adatkezelők közötti közvetlen továbbítását. Ezen jog gyakorlása nem sértheti a GDPR 17. cikket. Az említett jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az említett jog nem érintheti hátrányosan mások jogait és szabadságait.

3.7. A tiltakozáshoz való jog

3.7.1. Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a GDPR 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

3.7.2. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

3.7.3. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Az 3.7.1. és 3.7.2. pontban említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

3.7.4. Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és a 2002/58/EK irányelvtől eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

3.7.5. Ha a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

3.7.6. Az adatkezelő a tiltakozást a kérelem benyújtásától számított legrövidebb időn belül, de legfeljebb 15 napon belül megvizsgálja, annak megalapozottsága kérdésében döntést hoz, és döntéséről a kérelmezőt írásban tájékoztatja.

3.7.7. Ha az adatkezelő az érintett tiltakozásának megalapozottságát megállapítja, az adatkezelést - beleértve a további adatfelvételt és adattovábbítást is - megszünteti, és az adatokat zárolja, valamint a tiltakozásról, továbbá az annak alapján tett intézkedésekről értesíti mindazokat, akik részére a tiltakozással érintett személyes adatot korábban továbbította, és akik kötelesek intézkedni a tiltakozási jog érvényesítése érdekében.

3.7.9. Ha az adatátvevő jogának érvényesítéséhez szükséges adatokat az érintett tiltakozása miatt nem kapja meg, a 3.7.7. pont alapján történő értesítés közlésétől számított 15 napon belül, az adatokhoz való hozzájutás érdekében - az Info tv 22.§-ban meghatározott módon - bírósághoz fordulhat az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.

3.7.10. Ha az adatkezelő a 3.7.7. pont szerinti értesítést elmulasztja, az adatátvevő felvilágosítást kérhet az adatátadás meghiúsulásával kapcsolatos körülményekről az adatkezelőtől, amely felvilágosítást az adatkezelő az adatátvevő erre irányuló kérelmének kézbesítését követő 8 napon belül köteles megadni. Felvilágosítás kérése esetén az adatátvevő a felvilágosítás megadásától, de legkésőbb az arra nyitva álló határidőtől számított 15 napon belül fordulhat bírósághoz az adatkezelő ellen. Az adatkezelő az érintettet is perbe hívhatja.

3.7.11. Az adatkezelő az érintett adatát nem törölheti, ha az adatkezelést törvény rendelte el. Az adat azonban nem továbbítható az adatátvevő részére, ha az adatkezelő egyetértett a tiltakozással, vagy a bíróság a tiltakozás jogosságát megállapította.

3.8. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

3.8.1.Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen - ideértve a profilalkotást is - alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

3.8.2. pont nem alkalmazandó abban az esetben, ha a döntés:

1. az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
2. meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
3. az érintett kifejezett hozzájárulásán alapul.

3.8.3. A 3.8.2. a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

3.8.4. A 3.8.2. bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a GDPR 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

3.9. Az érintett tájékoztatása az adatvédelmi incidensről

3.9.1. Adatvédelmi incidens esetén, ha az valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. A tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

3.9.2. Az adatkezelőt nem terheli a tájékoztatási kötelezettség, ha a következő feltételek bármelyike teljesül:

1. az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
2. az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

4. Jogorvoslati lehetőségek

4.1. Hatóságnál történő panasztételhez való jog

4.1.1. Az érintett az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, jogosult arra, hogy panaszt tegyen a Hatóságnál - különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban -, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

A Hatóság elérhetőségei:
Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c, tel.: 1/391-1400, e-mail: ugyfelszolgalat@naih.hu)

4.1.2. A Hatósághoz tett bejelentése miatt senkit sem érhet hátrány. A bejelentő kilétét a Hatóság csak akkor fedheti fel, ha ennek hiányában a vizsgálat nem lenne lefolytatható. Ha a bejelentő kéri, kilétét a Hatóság akkor sem fedheti fel, ha ennek hiányában a vizsgálat nem folytatható le. Erről a következményről a Hatóság a bejelentőt köteles tájékoztatni.

4.1.3. A Hatóság vizsgálata ingyenes, a vizsgálat költségeit a Hatóság előlegezi és viseli.

4.1.4. A Hatóság köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a GDPR 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.

4.2. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

4.3. Az érintettek képviselete

Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a a hatósági panasztételhez, a bírósági jogorvoslathoz való jogoknak a nevében való gyakorlásával, valamint - ha a tagállam joga ezt lehetővé teszi - a kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

4.4. A kártérítéshez, sérelemdíjhoz aló jog és a felelősség

4.4.1. Minden olyan személy, aki a GDPR megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

4.4.2. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Az adatkezelő, illetve az adatfeldolgozó mentesül felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

4.4.3. Ha az adatkezelő az érintett adatainak a jogellenes kezelésével vagy az adtabiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet.

4.4.4. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért és az adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.

4.4.5. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott.

4.4.6. A kártérítéshez, sérelemdíjhoz való jog érvényesítését célzó bírósági eljárást az előtt a bíróság előtt kell megindítani, amely az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam joga szerint illetékes.

Kelt: Miskolc, 2018. május 25.