Adatkezelési ~

Tájékoztató

Skinlab Korlátolt Felelősségű Társaság

2023

Kérjük figyelmesen olvassa el az Adatkezelési Tájékoztatót.

 

Személyes adatokat csak a jogszabályoknak megfelelően gyűjtünk és kezelünk. A Skinlab Kft. (Székhely: 2300 Ráckeve, Árpád tér 2., cégjegyzékszám: 13-09-224015, adószám: 32142468-2-13) (a továbbiakban: Szolgáltató, adatkezelő) aláveti magát a következő tájékoztatónak. Az Európai Unió Általános Adatvédelmi Rendelete 679/2016. sz. rendelet („GDPR”) meghatározott kötelezettségeket ró az adatkezelőre, amelyet jelen tájékoztatóval teljesít. Jelen adatkezelési tájékoztató az alábbi weboldalak adatkezelését szabályozza: www.skinlab.hu és a fenti tartalmi előíráson alapul.

A tájékoztató módosításai a fenti címen történő közzététellel lépnek hatályba. A tájékoztató egyes fejezet címei mögött megjelenítjük a jogszabályi hivatkozást is.

Definíciók

A jelen tájékoztatóban használt fogalmak azonosak a GDPR fogalmaival.

„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják;
„álnevesítés” (pszeudonimizáció): a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„vállalkozás”: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;
„vállalkozáscsoport”: az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások
„felügyeleti hatóság”: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv, Magyarországon ez a szerv: a Nemzeti Adatvédelmi és Információszabadság Hatóság;
„érintett felügyeleti hatóság”: az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint: az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy panaszt nyújtottak be az említett felügyeleti hatósághoz;
„személyes adatok határokon átnyúló adatkezelése”: személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
„az információs társadalommal összefüggő szolgáltatás”: az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (1) 1. cikke (1) bekezdésének b) pontja értelmében vett szolgáltatás;

Az adatkezelés jogalapja

  • webáruház üzemeltetése [vezetéknév, keresztnév, email cím, jelszó, vásárlásból történő kizárás ténye, kizárva egyes fizetési módokból, kuponfelhasználás ténye, hozzászólások, vásárlások] – Rendelet 6. cikk (1) bekezdés a) pont, vagyis az adatkezelés a Vevő által adott hozzájáruláson alapul
  • webáruház kínálatában található termékekre vonatkozó adásvételi szerződések teljesítéséhez (számlázás, szállítás) kapcsolódó adatok [vezetéknév, keresztnév, szállítási cím, telefonszám, email cím, vásárláshoz kapcsolódó pénzügyi adatok, számlázási név és cím] – Rendelet 6. cikk (1) bekezdés b) pont, vagyis az adatkezelés a Vevővel kötött szerződés teljesítéséhez szükséges
  • marketing tevékenységhez (hírlevél küldés, elfogyott termék értesítő, személyre szabott ajánlatok, adatvezérelt marketing) kapcsolódó adatok [vezetéknév, keresztnév, email cím, telefonszám, kedvenc illat, hírlevél megerősítés, hírlevél leiratkozás, nem, születésnap, névnap, kedvelt illatok, regisztrált vásárló-e, felhasználói érték, előzményi vásárlások, kuponfelhasználás ténye, sms értesítőről szóló kérelem, kedvenc termék, termék jóváírás, kupon jóváírás, kosarak] – Rendelet 6. cikk (1) bekezdés a) pont, vagyis az adatkezelés a Vevő által adott hozzájáruláson alapul

Kezelt személyes adatok kategóriái és az adatok tárolásának időtartama

Személyes adataidat az alábbi időtartamban kezeljük:

  1. webáruház üzemeltetése – Vevő hozzájárulásának visszavonásáig,
  2. webáruház kínálatában található termékekre vonatkozó adásvételi szerződések teljesítéséhez kapcsolódó adatok – szerződések teljesítését követő 5 év,
  3. marketing tevékenységhez kapcsolódó adatok – hozzájárulásod visszavonásáig.

A számviteli nyilvántartások alapjául szolgáló iratok megőrzési ideje 8 év. Amennyiben folyamatban lévő hatósági, bírósági vagy egyéb eljárás során a ránk irányadó jogszabályi kötelezettségeknek való megfelelés igazolása, vagy jogi igény előterjesztése, érvényesítése vagy védelme érdekében szükséges, a személyes adatok kezelése a fent meghatározott időtartamon túl is szükséges lehet.

Adatrögzítés cookie-k segítségével

A “cookie” vagy “süti” egy kisméretű fájl, amely a számítógép böngészési előzményeit tárolja (nyelvi beállítások, csatlakozási idő, látogatott oldalak, stb.). Ezeknek a tartalma ellenőrizhető, különösen azért, hogy a böngészést hatékonyabbá tegyük. Ezek a cookie-k nem tartalmaznak olyan adatokat, amelyből Önt azonosítani tudjuk. Amikor Vevő a weboldalt használja, az az adott oldalletöltéshez kapcsolódó sütit („session cookie”-t) állít be a böngészőben. A sütik abban nyújtanak segítséget, hogy Vevő kifejezetten a neki tetsző ajánlatokkal találkozik a világhálón való szörfözés során. A sütik bármikor törölhetőek a böngészőben található, „sütik törlése” opcióval.

Személyes adatok címzettjei, adatfeldolgozók, adattovábbítás

Az adatkezelés ténye, a kezelt adatok köre.

  1. a) A továbbított adatok köre a szállítás lebonyolítása érdekében: Telefonszám, szállítási cím, szállítási név, számlázási cím, számlázási név, email cím.
  2. b) A továbbított adatok köre az online fizetés lebonyolítása érdekében: Vezeték- és keresztnév, e-mail cím, számlázási cím, számlázási név. Az érintettek köre: A házhozszállítást/online vásárlást kérő valamennyi érintett. Az adatkezelés célja: A megrendelt termék házhoz szállítása/az online vásárlás lebonyolítása. Az adatkezelés időtartama, az adatok törlésének határideje: A házhozszállítás/online fizetés lebonyolításáig tart.

Személyes adatait kizárólag vezető tisztségviselőink, illetve a jelen pontban felsorolt adatfeldolgozók (kizárólag a tevékenységük ellátásához szükséges körben) ismerhetik meg. Adatfeldolgozók közreműködését az alábbi tevékenységekhez vesszük igénybe:

  • MailerLite – hírlevél szolgáltatás;
  • GLS Kft. (2351 Alsónémedi, Európa utca 2.) – csomagszállítás;
  • FedEx Express Hungary Transportation Kft. (1185 Budapest, BUD Nemzetközi repülőtér II.logisztikai központ Irodaépület 283. épület) – csomagszállítás;

Az adattovábbítás jogalapja: a Felhasználó hozzájárulása, az Infotv. 5. § (1) bekezdése, illetve az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

Adatbiztonság

A személyes adataidat tároló szerverek megfelelő biztonsági rendszerekkel védett, illetéktelenek által semmilyen módon hozzá nem férhető szerverteremben kerültek elhelyezésre. A weboldalt kiszolgáló szerverekhez távolról hozzáférni teljes örűen csak különösen titkosított csatornán van mód, kizárólag olyan személyek számára, akiknek erre szüksége van a szerver üzemeltetéséhez. A felhasználók által a regisztráció során megadott jelszavak szöveges formában nem kerülnek tárolásra, annak kizárólag az úgynevezett ’hash lenyomata’ lelhető fel.

Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy biztosítsa az érintettek magánszférájának védelmét. Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az Info tv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A személyes adatok automatizált kezelése során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja

  1. a jogosulatlan adatbevitel megakadályozását;
  2. az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
  3. annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
  4. annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
  5. a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
  6. azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

Az érintettek jogai

Hozzáférési jog

Vevő jogosult arra, hogy visszajelzést kapjon tőlünk arra vonatkozóan, hogy személyes adatai kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az adatkezeléssel kapcsolatos – a Rendelet 15. cikkében meghatározott – információkhoz hozzáférést megkapja.

Helyesbítéshez való jog

Vevő jogosult arra, hogy kérésére késedelem nélkül helyesbítsük a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, kérheted, hogy a hiányos személyes adataidat kiegészítsük.

Törléshez való jog

Vevő jogosult arra, hogy kérésére indokolatlan késedelem nélkül töröljük a rá vonatkozó személyes adatokat, ha a Rendelet 17. cikkében meghatározott feltételek fennállnak, így különösen, ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtöttük vagy más módon kezeltük, vagy ha visszavonja az adatkezelés alapját képező hozzájárulást és az adatkezelésnek nincs más jogalapja. A törléshez való jogot nem gyakorolhatja, ha az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

Korlátozáshoz való jog

Vevő jogosult arra, hogy kérésére korlátozzuk az adatkezelést, ha a Rendelet 18. cikkében meghatározott feltételek fennállnak, így különösen, ha vitatja a személyes adatok pontosságát; vagy az adatkezelés jogellenes és ellenzi az adatok törlését; vagy tiltakozott az adatkezelés ellen.

Adathordozhatósághoz való jog

Vevő jogosult arra, hogy a rá vonatkozó, általa rendelkezésünkre bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályoznánk. Ennek feltétele, hogy az adatkezelés a hozzájárulásodon alapul és automatizált módon történik.

Hozzájárulás visszavonásának joga

Vevő jogosult arra, hogy az adatkezeléshez adott hozzájárulásodat bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.

Panasztétel, bírósági jogorvoslat

Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani. Az adattovábbítás jogszerűségét az adatátvevő köteles bizonyítani.

Magyarországon az adatvédelmi felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (1055 Budapest, Falk Miksa utca 9-11., levelezési címe: 1363 Budapest, Pf. 9., ugyfelszolgalat@naih.hu). Vevő jogosult arra, hogy a felügyeleti hatóságnál panaszt tegyen, ha megítélése szerint a rá vonatkozó személyes adatok kezelése sérti a Rendeletet. A felügyeleti hatóság döntésével szemben bírósági jogorvoslatra jogosult. Amennyiben Vevő úgy véli, hogy személyes adatai kezelése nem a Rendeletben foglaltaknak megfelelően történt és ezzel megsértettük a Rendelet által biztosított jogaidat, bírósághoz fordulhat.

Magyarországon az adatvédelmi perek elbírálása a törvényszékek hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat. Ha a bíróság a kérelemnek helyt ad, az adatkezelőt a tájékoztatás megadására, az adat helyesbítésére, zárolására, törlésére, az automatizált adatfeldolgozással hozott döntés megsemmisítésére, az érintett tiltakozási jogának figyelembevételére, illetve az adatátvevő által kért adat kiadására kötelezi. Ha a bíróság az adatátvevő kérelmét elutasítja, az adatkezelő köteles az érintett személyes adatát az ítélet közlésétől számított 3 napon belül törölni. Az adatkezelő köteles az adatokat akkor is törölni, ha az adatátvevő a meghatározott határidőn belül nem fordul bírósághoz. Kártérítés és sérelemdíj Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni. Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért és az adatkezelő köteles megfizetni az érintettnek az adatfeldolgozó által okozott személyiségi jogsértés esetén járó sérelemdíjat is. Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy az érintett személyiségi jogának sérelmét az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem az érintett szándékos vagy súlyosan gondatlan magatartásából származott. 2011. évi CXII. törvény rendelkezései szerint kezel. Amennyiben a megrendelő bármely személyes adatát eljuttatja az adatkezelőhöz, azzal hozzájárulását adja ahhoz, hogy az adatkezelő a rendelések teljesítése, megrendelt csomagok kiszállítása érdekében adatait felhasználja, továbbá a webáruház üzemeltetetéséhez kapcsolódó adatbázist nyilvántartsa és kezelje kapcsolattartás, árukiküldés, számlázási adatok megadása és csomagküldő tevékenység céljából az érintett kérésére történő törlésig.

Személyes adatok forrása

Személyes adatokat Vevő bocsátotta a rendelkezésünkre a webáruház használata során. Amennyiben harmadik személy adatait adja meg a webáruház használata során, úgy a Vevő kötelessége az adatközlés jogalapjának biztosítása, akár az érintett személy hozzájárulásának beszerzése. Amíg nem merül fel kétség, vélelmezzük, hogy rendelkezik ezen hozzájárulással, azonban esettől függően jogunk van arra, hogy az ehhez szükséges megfelelő igazolást elkérjük és az ennek során rendelkezésére bocsátott személyes adatokat a megrendelt termékre vonatkozó szerződéshez kapcsolódó adatkezelésre vonatkozó szabályok szerint kezeljük.