Eleven Patika Korlátolt felelősségű Társaság
01-09-282754
székhely: 1212 Budapest, Széchenyi u. 88.
telephely: 1118 Budapest, Rétköz utca 7.
Tartalom
I. Adatkezelő adatai 4
II. Fogalom-meghatározások 4
III. Szabályzat célja és hatálya 5
IV. Társaság által végzett adatkezelések 5
IV/A. [Ügyfelekkel kapcsolatban végzett adatkezelés] 6
IV/B. [A törzsvásárlói kártyával kapcsolatban végzett adatkezelés] 7
IV/C. [A munkaerő-felvétel során végzett adatkezelés] 9
IV/D. [A Társaság vezető tisztségviselői, munkavállalói és a Társasággal foglalkoztatásra irányuló
jogviszonyban álló egyéb személyek adatainak kezelése] 10
IV/E. [Kamera segítségével gyűjtött adatok kezelése] 14
IV/F. [Online vásárlással és online regisztrációval kapcsolatos adatkezelés] 15
IV/G. [Online látogatókkal kapcsolatos adatkezelés] 18
IV/H. [Rendezvényen résztvevő harmadik személyekkel kapcsolatos adatkezelés] 24
V. A személyes adatok jogosultjainak jogai 26
V/A. [Helyesbítéshez való jog] 27
V/B. [Elfeledtetéshez való jog] 27
V/C. [Adatkezelés korlátozásához való jog] 27
V/D. [Adathordozhatósághoz való jog] 28
V/E. [Tiltakozáshoz való jog] 28
VI. Az Adatkezelési felelős 29
VII. Adatbiztonság és az adatok tárolásának rendje 30
VIII. Adatok továbbításának rendje 31
IX. Adatvédelmi incidens esetén követendő protokoll 32
X. Jogorvoslat 35
XI. Záró rendelkezések 36
,,Az Eleven Patika Korlátolt felelősségű Társaság (a továbbiakban: Társaság)
az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése
tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet
hatályon kívül helyezéséről szóló - és 2018. május 25. napjától alkalmazandó - (EU) 2016/679
rendeletének (a továbbiakban: GDPR),
a GDPR által nem szabályozott körben az információs önrendelkezési jogról és az
információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotörvény), az
egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997.
XLVII. törvény (a továbbiakban: Eatv.), illetve egyéb szektorális jogszabályoknak, valamint
az Királymajor Patika Betéti Társaság kapcsolatba kerülő természetes személy ügyfelek, illetve
munkavállalóink, továbbá egyéb személyek személyes adatainak fokozott védelme, illetve ezen
személyes adatok jogszerű, tisztességes és átlátható kezelése, valamint felhasználása módjának
meghatározása céljából
a változó jogszabályi környezethez alkalmazkodás, és Társaságunk adatvédelem iránti
elkötelezettsége, ezzel együtt ügyfeleink és üzleti partnereink irányába fennálló bizalom fenntartása
érdekében
AZ ALÁBBI SZABÁLYZATOT ALKOTJA:
I. Adatkezelő adatai
Adatkezelő cégneve: Eleven Patika Korlátolt felelősségű Társaság
Adatkezelő képviselője: Bíró Brigitta Melinda (vezető tisztségviselő)
Adatkezelő székhelye: 1212 Budapest, Széchenyi u. 88.
Adatkezelő telephelye: 1118 Budapest, Rétköz utca 7.
Adatkezelő cégjegyzékszáma: 01-09-282754
Adatkezelő adószáma: 25589067-2-43
Adatkezelő telefonszáma: +36 (1) 248-0556
Adatkezelő elektronikus elérhetősége: info@pharmapatika.hu
II. Fogalom-meghatározások
A jelen Szabályzat alkalmazásában:
1. „adatkezelés": a személyes adatokon vagy adatállományokon automatizált vagy
nem automatizált módon végzett bármely művelet (pl. gyűjtés, rögzítés, rendszerezés,
lekérdezés, felhasználás, továbbítás, törlés), amelyet a Társaság üzletszerű
gazdasági tevékenysége keretében végez;
2. „adatkezelő": a GDPR 4. cikk 7. pontjában meghatározott körben a Társaság;
3. „adatvédelmi incidens": a GDPR 4. cikk 12. pontjában meghatározott körülmény;
4. „Hatóság": a Nemzeti Adatvédelmi és Információszabadság Hatóság;
5. „személyes adat": azonosított vagy azonosítható természetes személyre vonatkozó
bármely információ, amelynek eredményeként a természetes személy közvetlen vagy
közvetett módon, különösen valamely azonosító, így név, személyazonosításra
alkalmas igazolvány adatai, helyadatok alapján egyedileg beazonosítható;
6. „különleges adat": a GDPR 9. cikk (1) bekezdésében meghatározott olyan adatok,
amelyeket a Társaság üzletszerű gazdasági tevékenységével kapcsolatban ismer
meg, illetve kezel (elsődlegesen egészségügyi adatok);
7. „termék": a gyógyszertárban forgalmazható, valamint kötelezően készletben tartandó
termékekről szóló 2/2008 (I. 8.) EüM rendeletben meghatározott és a Társaság által
értékesített termék;
8. „ügyfél": a Társasággal üzletszerű gazdasági tevékenysége keretében végzett
tevékenységére vonatkozóan, kiskereskedelmi célú szolgáltatás igénybevétele
céljából kötelmi jogviszonyt létesítő fogyasztó, vagy ezzel kapcsolatos egyéb
szolgáltatást igénybevevő természetes személy;
III. Szabályzat célja és hatálya
9. A jelen Szabályzat célja, hogy a Társaság valamennyi vezető tisztségviselője,
munkavállalója, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló
egyéb személy tevékenysége során megtartsa az adatvédelemre vonatkozó
mindenkor hatályos jogszabályi rendelkezéseket. A Társaság vezető tisztségviselői,
munkavállalói, valamint a Társasággal foglalkoztatásra irányuló jogviszonyban álló
egyéb személyek a Társasággal kapcsolatba kerülő természetes személy ügyfelek és
egyéb természetes személyek személyes adatainak kezelése alkalmával kötelesek a
GDPR, az Infotörvény, valamint a jelen Szabályzat rendelkezéseinek mindenek felett
álló megtartására.
10. A Társaság a személyes adatok kezelése során köteles megtartani az adatkezelésre
vonatkozó jogszabályokban meghatározott alábbi elveket (GDPR 5. cikk (1)
bekezdés):
a.) jogszerűség, tisztességes eljárás és átláthatóság;
b.) célhoz kötöttség;
c.) adattakarékosság;
d.) pontosság;
e.) korlátozott tárolhatóság;
f.) integritás és bizalmas jelleg;
g.) elszámoltathatóság.
11. A Társaság a beépített és alapértelmezett adatvédelem kívánalmának megfelelően
valamennyi adatkezelési tevékenysége során az adatvédelem elveit, illetve az
adatvédelemre vonatkozó mindenkor hatályos jogszabályi követelményeket megtartva
jár el az elszámoltathatóság és a személyes adatok jogosultjai jogainak és
szabadságainak védelme érdekében.
IV. Társaság által végzett adatkezelések
12. A Társaság által végzett valamennyi adatkezelés adatvédelem hatálya alá tartozik. A
Társaság személyes adatok vonatkozásában adatkezelésre csak akkor jogosult, ha
arra jogcímmel rendelkezik.
13. A Társaság személyes adatokon végzett adatkezelést, személyes adatok
megismerését, gyűjtését vagy felhasználását csak abban az esetben jogosult végezni
(akkor rendelkezik jogcímmel),
a.) ha ahhoz a személyes adat jogosultja kifejezett hozzájárulását adta a személyes
adatainak egy vagy több konkrét célból történő megismeréséhez és kezeléséhez;
b.) amennyiben az adatkezelés a Társaságra vonatkozó jogi kötelezettség
teljesítéséhez szükséges;
c.) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben a személyes
adatok jogosultja az egyik fél, vagy az a szerződés megkötését megelőzően a
személyes adatok jogosultjának kérésére történő lépések megtételéhez
szükséges;
d.) amennyiben az adatkezelés a személyes adat jogosultjának vagy egy másik
természetes személy létfontosságú érdekének védelme miatt szükséges, illetve a
Társaság (vagy egy harmadik fél) jogos érdekeinek érvényesítéséhez szükséges,
kivéve, ha a Társasággal szemben elsőbbséget élveznek a személyes adat
jogosultjának olyan érdekei és alapvető jogai és szabadságai, amelyek személyes
adatok védelmét teszik szükségessé.
14. A Társaság adatkezelési tevékenysége során adatfeldolgozót igénybe vehet.
IV/A. [Ügyfelekkel kapcsolatban végzett adatkezelés]
15. A Társaság az Eatv. 14/A. § rendelkezéseinek értelmében jogosult megismerni az
ügyfél azon személyes adatait és különleges adatait, amelyeket a vény (orvosi
rendelvény) tartalmaz.
16. A jelen alfejezet szerinti adatkezelés célja:
a) a Társaság és a személyes adat jogosultja közötti, a Társaság üzletszerű
gazdasági tevékenységével összefüggésben a Társaság által kiskereskedelmi
forgalomban értékesített termékek megvásárlására irányuló kötelmi jogviszony
létrehozása, fenntartása, e kötelmi jogviszonyból eredő jogok gyakorlása (pl.
ellenérték követelése) és kötelezettségek teljesítése (pl. szerződésben vállalt
szolgáltatás teljesítése);
b) az ügyfél vagy másik személy létfontosságú érdekének védelme, a Társaság
ügyféllel kapcsolatos jogos érdekének érvényesítése és védelme; továbbá
c) a Társaságot a kötelmi jogviszonnyal kapcsolatban - esetlegesen - terhelő jogi
kötelezettség teljesítése.
17. Amennyiben az ügyfél orvosi rendelvény nélkül is értékesíthető terméket kíván
vásárolni orvosi rendelvény nélkül, úgy a Társaság az ügyfélre vonatkozóan
személyes adatot a vásárlással kapcsolatban nem ismer meg és nem kezel. A
Társaság ügyfeleivel kapcsolatban személyes adatot abban az esetben kezel,
amennyiben az ügyfél a Társaság által értékesített termékeket orvosi rendelvény
alapján kívánja megvásárolni.
18. A jelen alfejezet szerinti adatkezelés időtartama az Eatv. 30. § (7) bekezdésében
meghatározott időtartam.
19. A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus
nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy
elektronikus művelet.
20. A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz a
Társaság megfelelő jogcímmel rendelkezik. A jelen alfejezet szerinti adatkezelés
jogalapja elsődlegesen jogszabályi kötelezettség teljesítése, amelyet az ügyfél az
orvosi rendelvény Társaság részére történő átadásával és az orvosi rendelvényen
meghatározott termék megvásárlására vonatkozó igény jelzésével kifejezetten
tudomásul vesz.
21. A Társaság jogszabályi kötelezettségen alapuló adatkezelés keretében jogosult
megismerni és kezelni az ügyfél azon személyes adatait, amelyet az orvosi
rendelvény tartalmaz, illetve amely személyes adatok ellenőrzésére jogszabályi
kötelezettség folytán köteles. E jogszabályi kötelezettségek elsődlegesen az emberi
felhasználásra kerülő gyógyszerek rendeléséről és kiadásáról szóló 44/2004. (IV. 28.)
ESzCsM rendelet 12-21. § rendelkezésein, valamint az Eatv. vonatkozó
rendelkezésein alapulnak. Az ügyfél a személyes adatai kezelésére vonatkozó
tudomásulvétele arra is kiterjed, hogy az ügyfél kifejezetten tudomásul veszi, hogy az
orvosi rendelvényen szereplő különleges adatait a Társaság a GDPR 9. cikk (2)
bekezdés h) pontja alapján - jogszabályi kötelezettség teljesítése jogcímén -
megismeri és kezeli.
22. A Társaság a személyes adat jogosultjával létrehozandó kötelmi jogviszony
létesítését megelőzően köteles tájékoztatni
a.) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy az orvosi rendelvény Társaság részére történő átadásával, illetve az
orvosi rendelvényen feltüntetett termék megvásárlása igényének kifejezésével az
orvosi rendelvényen szereplő személyes adatainak, illetve különleges adatainak
Társaság általi megismeréséhez, illetve személyazonossága igazolásához
kifejezetten hozzájárul;
c.) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d.) a személyes adatok címzettjeiről, illetve kategóriáiról;
e.) a személyes adat tárolásának tervezett idejéről;
f.) a személyes adat jogosultját megillető jogokról;
g.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
A tájékoztatást a Társaság az 1. sz. melléklet felhasználásával és a Társaság által
üzemeltetett gyógyszertár területén olyan helyen köteles közzétenni, hogy az ügyfél
annak tartalmát megismerhesse. A Társaság a jelen Szabályzattal együtt a
tájékoztatást általa üzemeltetett honlapján is köteles hozzáférhetővé tenni.
23. A Társaság a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A
tájékoztatás megadása mellett a Társaság köteles a jelen Szabályzatot az ügyfél
részére hozzáférhetővé tenni.
24. Az ügyfél a 22 . pontban meghatározott tájékoztatással azt is tudomásul veszi, hogy a
Társaság az ügyféllel kapcsolatban egyéb jogcímen is jogosult lehet személyes adatai
kezelésére.
IV/B. [A törzsvásárlói kártyával kapcsolatban végzett adatkezelés]
25. A jelen alfejezetben meghatározottak szerint a Társaság - hozzájáruláson alapuló
adatkezelés részeként - jogosult megismerni és kezelni az ügyfelek egyes személyes
adatait, amennyiben az ügyfél egyedi azonosító számmal ellátott törzsvásárlói kártyát
(a továbbiakban: Törzsvásárlói Kártya) igényel.
26. A jelen alfejezet szerinti adatkezelés célja:
a.) a Társaság és a személyes adat jogosultja közötti, a Társaság üzletszerű
gazdasági tevékenységével összefüggésben Társaság által kiskereskedelmi
forgalomban értékesített termékek megvásárlására irányuló kötelmi jogviszonnyal
kapcsolatos kedvezmények és egyéb - Törzsvásárlói Kártyához kapcsolódó -
szolgáltatások érvényesítése;
b.) a Társaság ügyféllel kapcsolatos jogos érdekének érvényesítése és védelme;
továbbá
c.) a Társaságot a kötelmi jogviszonnyal kapcsolatban - esetlegesen - terhelő jogi
kötelezettség teljesítése.
27. A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat jogosultja részéről
megadott hozzájárulást tartalmazó nyilatkozat aláírását követő a Törzsvásárlói Kártya
érvényességének időtartama.
28. A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus
nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy
elektronikus művelet.
29. A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha ahhoz a
Társaság megfelelő jogcímmel rendelkezik. Amennyiben ez a jogcím a
hozzájáruláson alapuló adatkezelés (13. a) pont), úgy az adatkezelés
jogszerűségének feltétele, hogy a Társaság a jelen alfejezetben meghatározott
rendelkezések figyelembevételével jár el.
30. A Társaság az ügyfél - hozzájáruláson alapuló adatkezelés keretébe - alábbi
személyes adatainak megismerésére jogosult a Törzsvásárlói Kártya igénylésére
vonatkozó kérelem benyújtásával:
a.) ügyfél családi és utóneve;
b.) ügyfél lakcíme;
c.) ügyfél e-mail címe.
31. A hozzájáruláson alapuló adatkezelés során a személyes adat jogosultját a Társaság
a személyes adat jogosultjával létrehozandó kötelmi jogviszony létesítését
megelőzően köteles tájékoztatni
a.) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy a Törzsvásárlói Kártya igénylésére vonatkozó kérelem Társaság általi
befogadása, illetve a kérelem teljesítése csak abban az esetben lehetséges,
amennyiben kérelem formanyomtatványon feltüntetett személyes adatainak
Társaság általi megismeréséhez és kezeléséhez az ügyfél hozzájárult;
c.) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d.) a személyes adatok címzettjéről, illetve kategóriáiról;
e.) a személyes adat tárolásának tervezett idejéről;
f.) a személyes adat jogosultját megillető jogokról;
g.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
A tájékoztatást a Társaság a 2. sz. mellékletben meghatározottak felhasználásával és
a személyes adat jogosultja részére történő hozzáférhetővé tétellel teljesíti.
32. A Társaság a tájékoztatást tömören és közérthetően köteles megadni az ügyfélnek. A
Társaság köteles az adatkezelési tájékoztatást a Társaság által üzemeltetett
gyógyszertár területén olyan helyen közzétenni, ahol az ügyfél annak tartalmát
megismerheti, illetve köteles a jelen Szabályzatot az ügyfél részére a Társaság
kezelésében álló honlapon hozzáférhetővé tenni.
33. A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy
a Társaság részére a Törzsvásárlói Kártya igénylésére vonatkozó papír alapú
kérelmet benyújtja-e, illetve ezzel kapcsolatos jogviszonyt a Társasággal létre hozza-
e. Az ügyfél hozzájárulása akkor jogszerű, ha az
a.) önkéntes;
b.) konkrét adatkezelésre vonatkozik;
c.) megfelelő tájékoztatáson alapul; és
d.) egyértelmű akaratnyilatkozat.
Az ügyfél hozzájárulását a Társaság az ellenkező bizonyításáig jogszerűnek tekinti. A
hozzájáruló nyilatkozat esetleges jogellenességét az érintett bizonyítja.
34. A személyes adat jogosultja hozzájárulásának alapuló adatkezelés feltétele, hogy a
személyes adat jogosultja a személyes adat kezeléséhez a Társaság részéről
létrejövő jogviszonyát megelőzően a Társaság adatkezelési tájékoztatását, a
Társaság adatkezelésének célját, illetve az adatkezelés tényét, valamint a
megismerni s kezelni kívánt adatok körét megismerje, és a személyes adatok
Társaság általi megismeréséhez és kezeléséhez hozzájáruljon. Az ügyfél hozzájáruló
nyilatkozatát a 3. sz. melléklet megfelelő felhasználásával és a Törzsvásárlói Kártya
igénylésére vonatkozó kérelem leadásával egyidőben köteles átadni a Társaságnak
vagy képviselőjének.
35. Az ügyfél hozzájáruló nyilatkozatában köteles megjegyezni, hogy a hozzájáruláson
alapuló adatkezelés mellett kifejezetten megértette a Társaság arra vonatkozó
tájékoztatását, hogy adatkezelésre a Társaság ügyféllel kapcsolatban egyéb jogcímen
is jogosult lehet, illetve, hogy a Társaság a kiállított Törzsvásárlói Kártyán az ügyfél
családi és utónevét feltünteti.
36. Amennyiben a személyes adatok jogosultja a személyes adatai kezeléséhez nem
járul hozzá, vagy megtagadja a 3. sz. melléklet aláírását, úgy a Társaság az érintett
Törzsvásárlói Kártya iránti kérelmét nem fogadhatja be, illetve kérelmét nem bírálhatja
el. A személyes adat jogosultja hozzájárulását bármikor visszavonhatja. A
hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti
adatkezelés jogszerűségét. A személyes adatok kezeléséhez adott hozzájárulás
visszavonásával a Társaság köteles a személyes adatok kezeléséhez kapcsolódó
kötelmi jogviszony megszüntetésére, vagyis a Törzsvásárlói Kártya visszavonására.
37. A Társaság köteles minden nyilvántartásából törölni azt a személyes adatot,
amelynek jogosultjával kötelmi jogviszonya bármely okból megszűnt, kivéve,
amennyiben a személyes adatok további kezeléséhez a jogosult hozzájárult vagy
amennyiben a személyes adatok megőrzését a Társaság számára jogszabály írja elő.
IV/C. [A munkaerő-felvétel során végzett adatkezelés]
38. A Társaság munkaerő-felvétel során jogosult megismerni a Társaság által
meghirdetett pozícióra jelentkező természetes személy pályázati anyagában
megadott személyes adatait, amelyet közvetlenül vagy közvetve juttat el a
Társasághoz. A jelentkező köteles erre vonatkozó hozzájárulását a jelen Szabályzat
5. sz. melléklet tartalmával megegyező nyilatkozat útján megtenni. A jelentkező
hozzájárulása akkor tekinthető jogszerűnek, ha
a) az önkéntes;
b) pályázatának elbírálására vonatkozik;
c) megfelelő tájékoztatáson alapul;
d) egyértelmű akaratnyilatkozat.
A Társaság a munkaerő-felvételre jelentkező által tett hozzájárulási nyilatkozatot az
ellenkező bizonyításáig jogszerűnek tekinti. A hozzájárulási nyilatkozat esetleges
jogellenességét az érintett bizonyítja.
39. A Társaság a munkaerő-felvétel céljából közzétett hirdetésben jogosult megjelölni,
hogy a meghirdetett pozícióra jelentkező személy a jelentkezés tényével tudomásul
veszi azt, hogy a pályázati anyagában megjelölt személyes adatai vonatkozásában a
Társaság adatkezelést hajt végre, illetve hogy a pályázati anyagi megküldésével az
érintett kifejezetten hozzájárul e személyes adatai Társaság általi megismeréséhez és
kezeléséhez. A Társaság a jelentkező által megküldött pályázati anyag Társasághoz
történő beérkezését követően köteles tájékoztatni a jelentkezőt a Társaság
jelentkezővel kapcsolatos adatkezeléséről (a jelen Szabályzat 4. sz. mellékletét
képező tájékoztatás révén), és - amennyiben hozzájáruló nyilatkozatot még nem tett
- arról, hogy hozzájáruló nyilatkozatát milyen formában teheti meg. A hozzájáruló
nyilatkozat megtételét megelőzően a Társaság a pályázati anyagban megjelölt
személyes adatok megismerésére nem jogosult. A Társaság a kapcsolatfelvételt
célzó email üzenetében köteles felhívni az érintett figyelmét arra, hogy a megküldött
pályázati anyagában megjelölt személyes adatai vonatkozásában a Társaság
adatkezelést hajt végre, illetve hogy az e-mailre adott - ilyen tartalmú - válaszával
vagy olvasási visszaigazolásával kifejezetten hozzájárul ahhoz, hogy a Társaság e
személyes adatait megismerje és kezelje.
40. A Társaság a jelentkező pályázati anyagában meghatározott személyes adatokat
kizárólag a munkaerő-felvétel céljából, a jelentkező alkalmasságának megállapítása
érdekében ismerheti meg és kezelheti. Amennyiben az adott jelentkező
vonatkozásában a munkaerő-felvétel sikertelen vagy a Társaság által tett ajánlatot a
jelentkező elutasítja, úgy a Társaság - a hozzájárulási nyilatkozatot és annak
adattartalmát leszámítva - a jelentkező valamennyi általa kezelt személyes adatát
késedelem nélkül törölni köteles és erről előzetes köteles tájékoztatni a jelentkezőt.
Ilyen esetben a Társaság a hozzájárulási nyilatkozatot jogos érdekének védelme és
érvényesítése érdekében az általános elévülési idő leteltéig megőrzi. Amennyiben a
munkaerő-felvétel sikeres, úgy a jelentkező által megadott azon adatok, amelyeket a
munkáltató jogcím birtokában kezelhet, a munkavállalóról, foglalkozottról kezelt
személyes adatok részét képezik azzal, hogy annak kezeléséhez a leendő
munkavállaló, foglalkoztatott - a munkaszerződés, illetve foglalkoztatásra irányuló
egyéb jogviszonyt létrehozó szerződés aláírását megelőzően - köteles hozzájárulni.
41. A Társaság a jelentkezőről - a pályázati anyagában megadott személyes adatokon túl
- egyéb forrásból személyes adatot nem szerezhet be és nem teheti a munkaerő-
felvétel alkalmával szűrési feltételek részévé, kivéve, amennyiben a Társaság jogos
érdekének érvényesítéséhez szükséges körben a jelentkező közösségi
médiaprofiljának vizsgálata során olyan adat válik a Társaság számára
hozzáférhetővé, amely a jelentkező pályázati anyagából hiányzik és az adott
munkakör betöltése szempontjából releváns.
IV/D. [A Társaság vezető tisztségviselői, munkavállalói és a Társasággal
foglalkoztatásra irányuló jogviszonyban álló egyéb személyek adatainak kezelése]
42. A Társaság jogosult kezelni a Társaság vezető tisztségviselőinek, munkavállalóinak,
valamint a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek
személyes adatait amennyiben
a) az adott személyes adat kezeléséhez a személyes adat jogosultja hozzájárult (pl.
munkaerő-felvétel során megadott adatok további kezeléséhez való hozzájárulás,
munkavállaló bankszámlaszáma a munkabér utalása céljából, végzettséget
igazoló bizonyítvány másolata);
b) az szerződés teljesítéséhez szükséges (pl. nyilvántartások vezetése);
c) az jogszabályi kötelezettség teljesítése érdekében szükséges (pl. adózási
kötelezettség teljesítése);
d) az a Társaság (vagy a munkavállaló) jogos érdekeinek érvényesítéséhez
szükséges.
43. A jelen alfejezet szerinti adatkezelés célja: a Társasággal vezető tisztségviselői
feladatok ellátására irányuló jogviszony, munkaviszony vagy foglalkoztatásra irányuló
egyéb jogviszony létrehozása, fenntartása, e jogviszonyokból eredő jogok gyakorlása
és kötelezettségek (pl. adóelőleg megfizetése) teljesítése, jogviszony megszüntetése.
44. A jelen alfejezet szerinti adatkezelés időtartama:
a) jogszabályi kötelezettségként meghatározott adatkezelés esetén a vonatkozó
jogszabályban meghatározott időtartam;
b) a személyes adat jogosultja részéről megadott hozzájárulást tartalmazó
nyilatkozat aláírásától kezdődően a jogviszony megszűnését követő 5 évig;
c) minden olyan hozzájárulás alapján kezelt személyes adat esetén, amelyik a
pénzmosás és a terrorizmus finanszírozása megelőzéséről és
megakadályozásáról szóló 2017. évi LIII. törvény 56-57. § rendelkezéseinek
hatálya alá tartozik, az adatkezelés időtartama: a kötelmi jogviszony megszűnését
követő 8 évig.
45. A jelen alfejezet szerinti adatkezelés módja: papír alapú vagy elektronikus
nyilvántartás vezetése, illetve személyes adatokon végzett papír alapú vagy
elektronikus művelet. Az érintett a hozzájáruló nyilatkozat megtételével kifejezetten
hozzájárul ahhoz, hogy a Társaság az érintett - vezető tisztségviselő jogviszony,
munkaviszony vagy foglalkoztatásra irányuló egyéb jogviszony létesítéséhez, illetve
fenntartásához, megszüntetéséhez szükséges és elengedhetetlen - személyes
adatait tartalmazó okmányról, illetve egyéb iratról fénymásolatot vagy elektronikus
másolatot készítsen, és a személyes adatok megőrzését e másolat megérzésén
keresztül teljesítse. A Társaság az így készült másolatot az érintettre vonatkozó
egyéb iratokkal együtt olyan helyen köteles megőrizni, ahol azokhoz illetéktelen
személy nem férhet hozzá.
46. A jelen alfejezet szerinti adatkezeléssel érintett személyes adatok köre:
a) az érintett családi és utóneve, születési családi és utóneve, születési helye és
ideje, anyja születési családi és utóneve, lakcíme, illetve ennek hiányában
tartózkodási címe, személyazonosító száma, személyazonosító igazolvány
száma, adóazonosító jele, továbbá mindazon adatok, amelyeket - az érintett
hozzájárulását nem igénylő módon jogszabályi kötelezettség teljesítéseként - a
munkáltató Társaság megismerni és kezelni köteles, így különösen, de nem
kizárólagosan a vezető tisztségviselő(k), munkavállalók vagy foglalkoztatottak
személyi nyilvántartása, munkaidő nyilvántartása, szabadság nyilvántartása,
bérnyilvántartás, utazási költségtérítés nyilvántartás, munkavédelmi oktatás
nyilvántartás, egészségügyi alkalmassági nyilvántartás részét képező személyes
adatok;
b) az érintett bankszámlájának száma, illetve a bankszámlát vezető pénzintézet
neve, amennyiben a személyes adat jogosultja a munkabérét (egyéb
ellenszolgáltatást) átutalás útján kéri megfizetni, a végzettséget igazoló
bizonyítvány másolata és a vonatkozó személyes adat megismeréséhez kifejezett
hozzájárulását adta;
c) amely egyébként a szerződés teljesítéséhez vagy a Társaság (illetve a
foglalkoztatott) jogos érdekében (pl. tulajdonvédelem, kárfelelősség)
érvényesítéséhez szükséges.
47. A Társasággal vezetői tisztségviselői jogviszonyban, munkaviszonyban vagy
foglalkoztatásra irányuló jogviszonyban álló egyéb természetes személyek kötelesek
a Társaság által - e jogviszonyuk létesítéséhez, fenntartásához, megszüntetéséhez
feltétlenül szükséges - személyes adataik kezeléséhez e jogviszony létrejöttét
megelőzően hozzájárulni a jelen Szabályzat 7. sz. mellékletét képező nyilatkozat
aláírásával.
A Társaság a 7. sz. mellékletben foglalt hozzájáruló nyilatkozat aláírását megelőzően
köteles a személyes adat jogosultját tájékoztatni
a.) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy a vezető tisztségviselői jogviszony, munkaviszony vagy
foglalkoztatásra irányuló egyéb jogviszony csak abban az esetben jöhet létre, ha
az ahhoz szükséges személyes adatainak Társaság általi ismeréséhez és
kezeléséhez hozzájárul;
c.) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d.) a személyes adatok címzettjeiről, illetve kategóriáiról;
e.) a személyes adat tárolásának tervezett idejéről;
f.) a személyes adat jogosultját megillető jogokról;
g.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
A Társaság a tájékoztatást az 6. sz. melléklet megfelelő alkalmazásával köteles
teljesíteni.
48. A Társaság a tájékoztatást tömören és közérthetően köteles megadni. A tájékoztatás
megadása mellett a Társaság köteles a jelen Szabályzatot az vezető tisztségviselő,
munkavállaló, Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb
személy részére mindenkor hozzáférhetővé tenni, kérésére elektronikus formában a
személyes adat jogosultja elektronikus kézbesítési címére megküldeni.
49. A személyes adat jogosultja a tájékoztatást követően önként jogosult eldönteni, hogy
a Társasággal kíván-e vezető tisztségviselői jogviszonyt, munkaviszonyt vagy
foglalkoztatásra irányuló egyéb jogviszonyt létrehozni. A személyes adat
jogosultjának hozzájárulása akkor jogszerű, ha az
a) önkéntes;
a) a vezető tisztségviselői jogviszony, munkaviszony vagy foglalkoztatásra irányuló
egyéb jogviszony létesítésére, fenntartására, e jogviszonyokból eredő jogok
gyakorlására és kötelezettségek teljesítésére, jogviszony megszüntetésére
vonatkozik.
b) megfelelő tájékoztatáson alapul; és
c) egyértelmű akaratnyilatkozat.
A Társaság a vezető tisztségviselő, munkavállaló vagy a Társasággal foglalkoztatásra
irányuló jogviszonyban álló egyéb személy által megtett hozzájárulási nyilatkozatot az
ellenkező bizonyításáig jogszerűnek tekinti. A hozzájárulási nyilatkozat esetleges
jogellenességét az érintett bizonyítja.
50. A Társaság köteles minden nyilvántartásából törölni azt a személyes adatot,
amelynek jogosultjával szemben a vezető tisztségviselői jogviszony, munkaviszony
vagy foglalkoztatásra irányuló egyéb jogviszony bármely okból megszűnt, és az
adatkezelés határideje letelt, kivéve, amennyiben a személyes adatok további
kezeléséhez a jogosult hozzájárult, vagy a személyes adatok megőrzését a Társaság
számára jogszabály (pl. adójogi jogviszony) írja elő, továbbá amennyiben annak
kezelésére a Társaság jogos érdekének érvényesítése érdekében szükség van.
Amennyiben a vezető tisztségviselő, munkavállaló vagy foglalkoztatásra irányuló
jogviszonyban álló egyéb személy foglalkoztatásra irányuló szerződése versenytilalmi
klauzulát tartalmazott, úgy e jogviszony megszűnését követően - a versenytilalmi
klauzulában meghatározott időtartamra - a Társaság jogosult követni a személyes
adat jogosultjának közösségi médiafelületét (így különösen Facebook, Instagran,
Linkedin profilját) annak megállapítása érdekében, hogy a klauzulában meghatározott
követelményeket az érintett megtartja-e. Amennyiben az érintett versenytilalmi
kötelezettségeinek nem tesz eleget, a Társaság az e pontban meghatározott módon
erre vonatkozóan megismert adatok felhasználására jogos érdekében érvényesítése
céljából jogosult. Az adatok ilyen felhasználásához az érintett a jelen Szabályzat
megismerésével és a 47. pontban megtett nyilatkozatával kifejezetten hozzájárul.
51. A Társaság - az előző pontban meghatározottakon kívül - nem jogosult a vezető
tisztségviselő, munkavállaló, vagy a Társasággal foglalkoztatásra irányuló
jogviszonyban álló egyéb személy közösségi médiafelületeinek ellenőrzésére, illetve
ilyen úton az érintettről adatok gyűjtésére. A Társaság az érintett kizárólagos
kezelésében lévő, magáncélból használt közösségi médiafelületének Társaság
érdekében történő felhasználását nem teheti kötelezővé (pl. ügyfélkör bővítése
ismerősök útján).
52. A 47. pontban meghatározott hozzájáruló nyilatkozatnak ki kell terjednie a Társaság
tulajdonában álló, a vezető tisztségviselő, munkavállaló, a Társasággal
foglalkoztatásra irányuló jogviszonyban álló egyéb személy által munkavégzése során
használt számítógépek, telefonok, gépjárművek és egyéb eszközök, továbbá
programok és alkalmazások (a továbbiakban: Eszközök) által naplózott adatokra is.
Az Eszközök által végzett naplózás adatkezelésnek minősül. A polgári
törvénykönyvről szóló 2013. évi V. törvény, valamint a munka törvénykönyvről szóló
2012. évi I. törvény rendelkezéseinek, valamint a Társaság érdekeinek
figyelembevétele és a Társaság által végzett üzletszerű gazdasági tevékenység
fenntartása érdekében a Társaság vezető tisztségviselői, munkavállalói és a
Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személyek az
Eszközökön kizárólag a Társaság üzletszerű gazdasági tevékenységével összefüggő,
munkaköri kötelezettség keretébe tartozó tevékenységet végezhetnek. Erre tekintettel
e személyek tudomásul veszik, hogy az Eszközök által végzett naplózás, így a
Társaság ilyen adatkezelése akkor is jogszerű, amennyiben az Eszköz olyan adatot
naplóz, amely valamely vezető tisztségviselő, munkavállaló vagy a Társasággal
foglalkoztatásra irányuló jogviszonyban álló egyéb személy magán- és családi
életének részét; az érintettek 47. pont szerinti nyilatkozatukkal ehhez kifejezetten
hozzájárulnak. Annak megelőzése érdekében, hogy a tilalom ellenére a Társaság
vezető tisztségviselőinek, munkavállalóinak, illetve a Társasággal foglalkoztatásra
irányuló jogviszonyban álló egyéb személyeknek olyan adatait kezelje a Társaság,
amely a családi és magánélet része, a Társaság jogosult egyes weboldalak elérését,
illetve szolgáltatások igénybevételét korlátozni az Eszközökön. Az ilyen korlátozást
megfelelő időben és az érintettek körében tett megfelelő tájékoztatást követően
jogosult végrehajtani. Az Eszközök magáncélú felhasználásának korlátozása körében
a Társaság elrendelheti pl. a közösségi médiafelületek elérésének tiltását.
53. A Társaság az otthoni és távmunka során az Eszköz, valamint a magáneszköz
munkahelyi célú felhasználása esetén ezen eszköz által naplózott és az eszköz
felhasználó vezető tisztségviselőhöz, munkavállalóhoz, vagy a Társasággal
foglalkoztatásra irányuló jogviszonyban álló egyéb személyhez kötődő adat
megismerésére azzal a feltétellel, hogy az arányosság követelményét megtartva a
Társaság az eszközökön tárolt magáncélú adatokat nem ismeri meg és az
adatkezelése a személyes adat jogosultjának családi és magánéletét nem érinti.
54. A Társaság a vezető tisztségviselőnek, munkavállalónak, valamint a Társasággal
foglalkoztatásra irányuló jogviszonyban álló egyéb személynek szóló
tájékoztatásában köteles felhívni az érintett figyelmét arra, hogy - amennyiben a
Társaság ilyennel rendelkezik - a Társaság által használatra átadott olyan Eszköz,
amely - munkaidőn kívül is - helyadatot rögzítik (pl. okostelefon, gépjármű),
helyadatának megismeréséhez a Társaság kizárólag abból a célból jogosult, hogy az
Eszköz helyét ellenőrizze vagyonvédelmi célból. A Társaság vezető tisztségviselője,
munkavállalója, illetve a Társasággal foglalkoztatásra irányuló jogviszonyban álló
egyéb személy a munkavégzési célból átadott Eszközt munkaidőn kívül a
munkavégzésre kijelölt helyen kívül nem jogosultak használni.
IV/E. [Kamera segítségével gyűjtött adatok kezelése]
55. A Társaság tulajdonában álló, illetve használatában lévő ingatlanok és ingóságok
védelme érdekében a Társaság által működtetett gyógyszertár területén biztonsági
kamerarendszert (a továbbiakban: biztonsági kamerarendszer) működtet, amely
kizárólag magánterületen megtörtént eseményeket mozgóképi formában figyel meg
folyamatosan. A Társaság által végzett ilyen adatkezelés kizárólagos célja a Társaság
jogos érdekeinek védelme (vagyonvédelem), és semmilyen formában nem irányul
ettől eltérő célra, így különösen arra, hogy a kamera által rögzített személyek
helyadatait, vagy általuk végzett - nem jogellenes - tevékenységeket a Társaság a
továbbiakban e személyekkel kapcsolatban felhasználja.
56. A Társaság a biztonsági kamerarendszer segítségével történő megfigyelésre, illetve
az ezzel kapcsolatos adatkezelésre vonatkozóan az érintettek figyelmét tájékoztatást
tartalmazó tábla (a továbbiakban: figyelmeztetés) elhelyezésével hívja fel. A Társaság
a figyelmeztetést olyan jól látható helyeken és olyan méretben helyezi ki, hogy az
érintett még a biztonsági kamerarendszer megfigyelési területére történő belépést
megelőzően tudomásul vehesse a megfigyelés és esetleges adatkezelés tényét,
illetve döntést tudjon hozni arra vonatkozóan, hogy a figyelmeztetés ellenére a
biztonsági kamerarendszer megfigyelési területére be kíván-e lépni vagy sem.
Amennyiben a figyelmeztetés ellenére az érintett a biztonsági kamerarendszer
megfigyelési területére belép, úgy e cselekedete - biztonsági kamerarendszer által
rögzíthető esetleges - személyes adatai Társaság általi megismeréséhez,
rögzítéséhez és kezeléséhez történő hozzájárulásnak minősül.
57. A Társaság által alkalmazott kamerarendszer elemeit, státuszukat, az egyes kamerák
által megfigyelt területet a jelen Szabályzat 8. számú melléklete tartalmazza. Ez a
melléklet tartalmazza továbbá annak a ténynek a rögzítését is, hogy az egyes
kamerák az élőkép közvetítésén túl adatrögzítést is végrehajtanak-e vagy sem.
58. A kamera segítségével történő megfigyelésről, illetve az ezzel kapcsolatos
adatkezelésről a Társaság ügyfeleit, törzsvásárlói kártya iránt igényt előterjesztő
ügyfeleit, a Társaság által meghirdetett pozícióra jelentkezőket, a Társaság vezető
tisztségviselőit, munkavállalóit, a Társasággal foglalkoztatásra irányuló egyéb
jogviszonyban álló személyeket a jogviszony létrejöttét megelőzően, vagy -
amennyiben a kamerarendszer kihelyezése időben ezt követően történt - a
kamerarendszer használatba vételét megelőzően tájékoztatja a 22., 31., 38. és 47.
pontokban meghatározott tájékoztatások részeként vagy azzal megegyezően.
59. Minden egyéb olyan személy vonatkozásában, akik nem a Társaság által
meghirdetett pozícióra jelentkeznek, illetve nem a Társaság vezető tisztségviselői,
munkavállalói, vagy a Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb
személyek a Társaság e személy kérésére a kamerarendszer segítségével végzett
adatkezelésre vonatkozóan tájékoztatást nyújt, és biztosítja, hogy az érintett az V.
fejezetben meghatározott jogait gyakorolhassa, illetve a jelen Szabályzatot a
Társaság székhelyén vagy a Társaság által működtetett honlapján megtekinthesse.
Amennyiben az ilyen személy a Társaság a kamerarendszer által végzett
megfigyelésre, illetve az ezzel kapcsolatos adatkezelésre felhívó piktogramot és
tömör szöveges tájékoztatása ellenére olyan területen tartózkodik, vagy egyébként
olyan cselekményt végez, amelyet a kamera rögzít, a Társaság akként tekinti, hogy
az adatkeléshez szükséges tájékoztatást ráutaló magatartással megértette és az
adatkezeléshez hozzájárult.
60. A Társaság - vagyonvédelmi célból - jogosult a kamera segítségével rögzített
mozgógépi anyagon feltüntetett személyes adatokat a Társaság által működtetett
gyógyszertár közforgalmú részébe is hozzáférhetővé tenni.
61. A Társaság a kamera segítségével rögzített mozgóképi anyagot annak rögzítésétől
számítva 3 munkanapig, illetve a 2005. évi CXXXIII. törvényben meghatározott ideig
jogosult tárolni és kezelni. Amennyiben jogszabály ettől eltérő időtartamot határoz
meg, úgy a Társaság adatkezelésének időtartama e jogszabályban meghatározott
időtartam.
IV/F. [Online vásárlással és online regisztrációval kapcsolatos adatkezelés]
62. A Társaság jogosult megismerni és kezelni azon ügyfelek személyes adatait, akik a
Társaság kezelésében álló https://onlinepharma.hu honlapon keresztül nem orvosi
rendelvény-köteles Termék megvásárlására vonatkozó, kiskereskedelmi forgalom
hatálya alá eső kötelmi jogviszonyt (a továbbiakban: online vásárlás) létesítenek a
Társasággal. Az online vásárlásának nem feltétele, hogy az ügyfél állandó fiókot is
létrehozzon a Társaság kezelésében álló honlapon, ugyanakkor a honlapon történő
állandó fiók létrehozása (a továbbiakban: online regisztráció) sem jelent
kötelezettséget az ügyfél részéről online vásárlásra.
63. A jelen alfejezet szerinti adatkezelés célja:
a) a Társaság és az ügyfél között a honlapon keresztül nem orvosi-
rendelvényköteles termék - kiskereskedelmi forgalomban történő - értékesítésére
és megvásárlására irányuló kötelmi jogviszony létesítése és ebből eredő jogok
gyakorlása és kötelezettségek teljesítése;
b) a Társaság és az ügyfél között a honlapon történő online regisztrációra irányuló
jogviszony létesítése és ebből eredő jogok gyakorlása és kötelezettségek
teljesítése;
c) a Társaság ügyféllel kapcsolatos jogos érdekeinek érvényesítése és védelme;
továbbá
d) a Társaságot az online regisztrációval, illetve online vásárlással kapcsolatban
terhelő jogi kötelezettségek teljesítése.
64. A jelen alfejezet szerinti adatkezelés abban az esetben jogszerű, ha a személyes
adatok megismeréséhez, illetve kezeléséhez a Társaság jogcímmel rendelkezik. Az
online regisztráció és/vagy online vásárlás során az ügyfél által megadott személyes
adatok megismerésére és kezelésére vonatkozó jogcím elsődlegesen az ügyfél
hozzájárulása. Amennyiben az ügyfél online regisztrációt és/vagy online vásárlást
követő tevékenysége a pénzmosás és a terrorizmus finanszírozása megelőzéséről és
megakadályozásáról szóló 2017. évi LIII. törvény (a továbbiakban: Pmt.), illetve az
Európai Unió és az ENSZ Biztonsági Tanácsa által elrendelt pénzügyi és vagyoni
korlátozó intézkedések végrehajtásáról szóló 2017. évi LII. törvény (a továbbiakban:
Kit.) hatálya alá tartozik, úgy a Társaság jogosult az ügyfél személyes adatait jogi
kötelezettség teljesítése jogcímén is kezelni.
65. A Társaság kezelésében álló https://onlinepharma.hu honlapon történő online
regisztráció vagy online vásárlás csak abban az esetben véglegesíthető, amennyiben
az ügyfél jelen alfejezetben részletezett személyes adatainak Társaság általi
megismeréséhez és kezeléséhez hozzájárul.
66. A jelen alfejezet szerinti adatkezelés módja: elektronikus, vagy a Társaság által
készített papír alapú nyilvántartás, illetve a személyes adatokon végzett elektronikus
vagy papír alapú művelet.
67. A Társaság kizárólag az ügyfél hozzájárulásán mint jogcímen jogosult a személyes
adatok jelen alfejezet szerinti megismerésére és kezelésére.
68. A Társaság a hozzájáruláson alapuló adatkezelés részeként az ügyfél által a
https://onlinepharma.hu/ honlapon keresztül végzett online regisztrációja, illetve online
vásárlása véglegesítésével - és a hozzájárulási nyilatkozat megtételével - a
következő személyes adatok megismerésére és kezelésére jogosult:
a) családi név és utónév;
b) cégnév;
c) számlázási cím (irányító szám, ország, város, utca, házszám);
d) telefonszám (mobiltelefonszám);
e) e-mail cím;
f) egészségpénztár neve;
g) egészségpénztári tagszám;
h) vásárlási előzmény, mint egészségügyi adat (különleges adat).
69. Az ügyfél az online vásárlás véglegesítését megelőzően jogosult megadni a
számlázási címtől eltérő szállítási címet is, amely megadása esetén annak
megismerésére és kezelésére az online vásárlás véglegesítésével - és hozzájárulási
nyilatkozat megtételével - a Társaság jogosulttá válik.
70. Az online vásárlás, illetve online regisztráció véglegesítését megelőzően a Társaság
köteles az ügyfelet, mint a megadott személyes adatok jogosultját tájékoztatni
a) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b) arról, hogy az online vásárlás, illetve online regisztráció csak abban az esetben
véglegesíthető, amennyiben a személyes adatok jogosultja az általa megadott
személyes adatok Társaság általi megismeréséhez és kezeléséhez hozzájárul,
illetve e hozzájárulás visszavonhatóságáról;
c) az adatkezelés pontos céljáról, jogalapjáról; konkrét terjedelméről;
d) a személyes adatok címzettjeiről, illetve kategóriáról;
e) a személyes adat tárolásának tervezett idejéről;
f) a személyes adat jogosultját megillető jogokról;
g) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
71. A Társaság a tájékoztatást a 9. számú melléklet tartalmának megfelelően köteles
akként teljesíteni, hogy a Társaság kezelésében álló, és az online vásárlás és/vagy
online regisztráció lefolytatására és véglegesítésére fenntartott honlap az online
vásárlás, illetve online regisztráció véglegesítését addig nem engedélyezi, amíg az
ügyfél a véglegesítés parancs feletti jelölőnégyzetben elhelyezett jelöléssel nem tesz
arra vonatkozó nyilatkozatot, hogy a Társaság adatkezelési tájékoztatóját megismerte
és megértette, továbbá saját online vásárlására, illetve online regisztrációjára
vonatkozóan kötelezőnek ismerte el, és megadott személyes adatai Társaság általi
megismeréséhez és kezeléséhez hozzájárul. Az ügyfél hozzájáruló nyilatkozata a
Társaság által az online vásárlással, illetve online regisztrációval kapcsolatos
különleges adatok megismerésére és kezelésére is kiterjed a GDPR 9. cikk (2)
bekezdés a) pontja alapján. Online vásárlás, illetve online regisztráció alkalmával
különleges adatnak különösen az ügyfél vásárlási előzménye tekintendő.
72. A Társaság az adatkezelési tájékoztatást az online vásárlás, illetve online regisztráció
lefolytatására és véglegesítésére fenntartott honlapon, a jelölőnégyzet mellett
elhelyezett következő szövegbe épített hivatkozással átirányított aloldalon köteles
közzétenni: „Kijelentem, hogy a Királymajor Patika Bt. adatkezelő (Adatkezelő)
adatkezelési tájékoztatójában foglaltakat megértettem, és kifejezetten hozzájárulok
ahhoz, hogy az online vásárlási, illetve online regisztrációs felületen megadott
személyes adataimat, illetve az ezzel kapcsolatban kezelt különleges adataimat az
Adatkezelő megismerje és kezelje." A Társaság ugyanezen aloldalon az adatkezelési
tájékoztatás mellett a Társaság jelen Szabályzatát is köteles közzétenni.
73. A Társaság az adatkezelési tájékoztatást tömören és közérthetően köteles megadni.
74. Az ügyfél az adatkezelési tájékoztatást tudatában önként jogosult eldönteni, hogy
kívánja-e online vásárlása, illetve online regisztrációja véglegesítésével személyes
adatai, illetve különleges adatai Társaság általi megismeréséhez és kezeléséhez
hozzájárulását megadni. Az ügyfél hozzájáruló nyilatkozatát a 71. pontban megjelölt
jelölőnégyzetben elhelyezett jelöléssel adja meg.
75. A 71. pontban megjelölt jelölőnégyzetben elhelyezett jelöléssel az ügyfél kifejezetten
elismeri, hogy a Társaság adatkezelési tájékoztatóját, a Társaság adatkezelésnek
célját, illetve az adatkezelés tényét, valamint a megismerni és kezelni kívánt
személyes adatok és különleges adatok körét megismerte és megértette, továbbá a
Társaság általi adatkezeléshez kifejezetten hozzájárul. Az ügyfél hozzájárulása akkor
jogszerű, ha az
a) önkéntes;
b) konkrét adatkezelésre vonatkozik;
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
A Társaság az ügyfél által megadott hozzájáruló nyilatkozatot az ellenkező
bizonyításáig jogszerűnek tekinti. A hozzájáruló nyilatkozat esetleges jogellenességét
az érintett bizonyítja.
76. Az ügyfél a hozzájáruló nyilatkozat megtételével kifejezetten kijelenti azt is, hogy - az
adatkezelési tájékoztatóban meghatározottak szerint - tudomásul veszi, hogy
személyes adatai kezelésére a Társaság egyéb jogcímen is jogosult lehet.
77. Az ügyfél a hozzájáruló nyilatkozat megtételével válik jogosulttá online vásárlása,
illetve online regisztrációja véglegesítésére.
78. A jelen alfejezet szerinti adatkezelés időtartama:
a) az online vásárlás céljából megadott személyes adatok esetén - jogszabály eltérő
rendelkezése hiányában - az online vásárlás véglegesítését követően a
jogszabályban (így különösen Sztv., Art.) meghatározott időtartam;
b) az online regisztráció céljából megadott személyes adatok esetén a
regisztrációból eredő jogviszony fennállásának időtartama.
79. Az ügyfél személyes adatai kezelésére vonatkozó hozzájáruló nyilatkozatát bármikor
visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a
visszavonás előtti adatkezelés jogszerűségét. A személyes adatok kezeléséhez adott
hozzájárulás visszavonásával a Társaság köteles a személyes adat kezeléséhez mint
előfeltételhez kapcsolódó jogviszony megszüntetésére és a kezelt személyes adatok
törlésére, kivéve, amennyiben a személyes adatok további kezeléséhez egyéb
jogcímmel rendelkezik.
IV/G. [Online látogatókkal kapcsolatos adatkezelés]
80. A Társaság a http://www.pharmapatika.hu/ és a https://www.onlinepharma.hu/
http://www.nativbio.hu/ honlapok (jelen alfejezetben a továbbiakban együtt: honlap)
használatával, illetve e honlapon keresztül a hírlevél szolgáltatás igénybevételére
vonatkozó feliratkozással jogosult - az érintett önkéntesen, előzetesen meghatározott
és konkrét adatkezelés (hírlevél-szolgáltatás, közvetlen üzletszerzés, illetve
felhasználó előzmények rögzítése a felhasználó élmény növelése érdekében) céljából
történő adatkezeléshez való hozzájárulásával - kezelni a honlapot, a Társaság
közösségi médiafelületen működtetett oldalát látogató, illetve a Társaság honlapján
keresztül elérhető szolgáltatásokat igénybe vevő személyek (jelen alfejezetben a
továbbiakban: Felhasználó) egyes személyes adatait.
81. A Társaság kizárólag a Felhasználó előzetes hozzájárulásával jogosult a honlapon
keresztül megadott személyes adatainak hírlevél-szolgáltatás, valamint közvetlen
üzletszerzés céljából történő felhasználására. Amennyiben a Felhasználó hozzájárul
ahhoz, hogy megadott személyes adatait hírlevél-szolgáltatás és közvetlen
üzletszerzés (a továbbiakban együtt jelen alfejezetben: hírlevél-szolgáltatás) céljából
a Társaság felhasználja, úgy az ilyen adatkezelés a hozzájárulás visszavonásáig
érvényes.
82. A Felhasználó a hírlevél-szolgáltatás igénybevételére vonatkozó igényét a honlap
„Feliratkozás hírlevélre" című parancsának aktiválásával, valamint igényelt személyes
adatok megadásával jogosult jelezni. A Társaság által a hírlevél-szolgáltatás
igénybevételére vonatkozóan igényelt személyes adatok a következők:
a) a Felhasználó családi és utóneve;
b) a Felhasználó kezelésében álló elektronikus levelezési (email) cím.
83. A Felhasználó hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) a hírlevél-szolgáltatás igénybevételére vonatkozik.
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
A Társaság a Felhasználó által megtett hozzájárulási nyilatkozat az ellenkező
bizonyításáig jogszerűnek tekinti. A hozzájárulási nyilatkozat esetleges
jogellenességét az érintett bizonyítja.
84. A Társaság a hírlevél szolgáltatás igénybevételére vonatkozó igény leadását
megelőzően köteles tájékoztatni a Felhasználót a jelen alfejezetben meghatározott és
a Felhasználóval kapcsolatos adatkezelés rendjéről. A Felhasználó a tájékoztatás
megadását köteles elismerni az elektronikus felületen történő - a jelen alfejezet
értelmében végzett adatkezeléssel történő hozzájárulását tartalmú - nyilatkozat
megtételével. A nyilatkozat megtételét az elektronikus felületen elhelyezett
jelölőnégyzetben elhelyezett jelzés igazolja, és amely jelzés megtétele a hírlevél-
szolgáltatás igénybevételére vonatkozó igény Társaság részére történő
megküldésének, amely hozzájárulási nyilatkozat szövege a következő: „A személyes
adatok jogosultja jelen nyilatkozatom útján kijelentem, hogy a Királymajor Patika Bt.
(Adatkezelő) hírlevelére történő feliratkozásom során megadott személyes
adataimnak az Adatkezelő által - hírlevél-szolgáltatás nyújtása és közvetlen
üzletszerzés céljából - történő megismeréséhez és kezeléséhez kifejezetten
hozzájárulok. Kijelentem, hogy az Adatkezelő adatkezelési szabályzatát megismertem
és megértettem."
85. A Társaság fenntartja a jogot arra, hogy a hírlevél szolgáltatást adott Felhasználó
vonatkozásában bármikor megszüntesse, amennyiben azt észleli, hogy a hírlevél-
szolgáltatást a Felhasználó a rendeltetési céljától eltérő célra, így különösen a
Társaság üzletszerű gazdasági tevékenységével kapcsolatos jó hírnevének sérelmére
használja.
86. A Felhasználó által hírlevél szolgáltatás igénybevételére megtett hozzájárulását
bármikor visszavonhat a hírlevelekben jelzett „Leiratkozás a hírlevélre" című parancs
aktiválásával. A hozzájárulás visszavonása a Társaság általi tudomásulvételtől
függetlenül hatályos, és a visszavonást követően a Társaság hírlevél szolgáltatás
nyújtására az adott Felhasználó vonatkozásában nem jogosult.
87. A Társaság kezelésében álló honlap a honlapra történő látogatás tényénél fogva a
Felhasználó végberendezésében sütik segítségével adattárolást, illetve adatkezelést
hajthat végre a Felhasználó azonosítása, a Felhasználó további látogatásainak
megkönnyítése, személyre szabott szolgáltatásnyújtás, a Felhasználó részére célzott
reklám és egyéb célzott tartalom eljuttatása és piackutatás céljából. A sütik
használatához a Felhasználónak minden esetben hozzájárulását kell adni a honlapon
megjelenő „Ez a weboldal sütiket (cookie-kat) használ" tájékoztató szöveg mellett, e
hozzájárulás kinyilvánítására megadott „Megértettem az adatkezelési tájékoztatóban
foglaltakat, elfogadom a sütik használatát és a Királymajor Patika Bt. adatkezelését"
parancs aktiválásával.
88. A Felhasználónak a sütik alkalmazására szóló hozzájárulását nem kötelező megadni
ahhoz, hogy a honlapot látogatni tudja, ugyanakkor a hozzájárulás megadásának
hiányában előfordulhat, hogy a honlap vagy annak egyes aloldalai nem működnek
majd megfelelően, illetve a Felhasználó egyes adatokhoz való hozzáférését a honlap
megtagadhatja. A „Megértettem az adatkezelési tájékoztatóban foglaltakat, elfogadom
a sütik használatát" ikon mellett elhelyezett „További információt kérek" ikon
aktiválásával a Felhasználót a weboldal az Adatkezelési Szabályzat weboldal
használatával kapcsolatos része kivonatát tartalmazó aloldalára irányítja.
89. A Felhasználó a sütik alkalmazásához történő hozzájárulását bármikor
visszavonhatja. A sütik alkalmazásának visszavonásához a Felhasználó a sütiket a
böngésző programja segítségével törölheti, vagy tilthatja le sütik alkalmazását.
90. A honlap használata során bizonyos felhasználói adatok automatikusan - a szerver
által végzett naplózás eredményeként - a Társaság kezelésébe kerülnek. Ezek a
következő adatok:
a) Felhasználó honlappal való nyílt hálózaton keresztüli csatlakozást biztosító
eszközének egyes adatai (azonosítószám, látogatás időpontja, meglátogatott
oldal címe, operációs rendszer típusa, böngésző típusa stb.);
b) Felhasználó által használt IP cím.
Ezen adatok kezelésének kizárólagos célja, hogy a Társaság honlap-látogatottsági
adatokhoz jusson, illetve a honlappal kapcsolatban felmerülő esetleges hibákat,
továbbá támadási kísérleteket megfelelően észlelni és naplózni tudja, továbbá a
Felhasználók honlap-használatát javítani, pontosítani tudja. Az ilyen adatkezelés
jogalapja egyrészt a Felhasználó hozzájárulása, másrészt a Társaság jogos
érdekének védelme. A Társaság az adatkezelésre vonatkozó tájékoztatást jelen
alfejezet tartalmának honlapon történő közzétételével teljesíti, és a Felhasználó
tudomásulvételét és hozzájárulását e körben a honlapra történő látogatásával mint
ráutaló magatartással adja meg a Társaság részére.
91. Felhasználó kizárólagos felelősséggel tartozik azért, hogy a Társaság által
üzemeltetett honlapon belépéshez használt felhasználó nevét és jelszavát
jogosulatlan harmadik személy számára hozzáférhetővé ne tegye, ilyen személlyel
azt ne közölje, ne semmisítse meg, ne veszítse el. A Társaság nem vállal felelősséget
azért, ha a Felhasználó felhasználói nevét és jelszavát vagy a honlapon megadott
egyéb adatait a jelen Szabályzat, valamint az adatvédelemre vonatkozó mindenkor
hatályos jogszabályok rendelkezéseitől eltérően kezeli, jogosulatlan harmadik
személy számára hozzáférhetővé teszi, ilyen személlyel azt közli, megsemmisíti,
elveszíti, és ebből közvetlenül vagy közvetetten joghátrány kockázata keletkezik
számára.
92. A Társaság kezelésének álló honlap külső szerverről érkező és külső szerverre
mutató hivatkozásokat is tartalmazhat. E hivatkozások aktiválásával e külső szerver
adatkezelést végezhet a Felhasználó személyes adataival kapcsolatban. Tekintettel
arra, hogy ezen adatkezelések nem a Társaság érdekében és a Társaság által, illetve
megbízásából folynak, így azok nem a Társaság, hanem a hivatkozások aktiválásával
elért honlapot működtető személyek adatkezelésének hatálya alá tartozik; az ilyen
adatkezeléséért a Társaság felelősséget nem vállal. A honlapon elérhető
hivatkozások a következők:
hivatkozás
aktiválásával elért
honlap működtetője
adatkezelés célja adatkezelési tájékoztató
elérhetősége
Facebook Inc., illetve
Facebook Ireland Ltd.
közösségi média
szolgáltatás nyújtása
https://www.facebook.com/privacy/explanation
93. A Társaság jogosult megismerni a Társaság kezelésében álló közösségi
médiafelületeken működtetett oldalaira látogató Felhasználók egyes személyes
adatait közvetett adatkezelőként. A Társaság kezelésében álló alábbi közösségi
médiafelületeken működtetett oldalak a következők:
közösség
i
médiafel
közösségi
médiafelül
etet
a Társaság közösségi médiafelületen
működtetett oldala
közösségi médiafelületet
fenntartó személy adatkezelési
tájékoztatójának elérhetősége
ület neve fenntartó
személy
Facebook
Facebook
Inc.,
Facebook
Ireland Ltd.
https://www.facebook.com/Pharma-
Patika-Gyógyszertár-
128640367153191/
https://www.facebook.com/privacy/e
xplanation
https://www.facebook.com/OnlinePhar
ma-366303906888721/
Youtube,
Google+
és Google
Analytics
Google
LLC
https://www.youtube.com/channel/UCN
7HB5ZO2k-OugoK8wSTMAQ
https://www.google.com/intl/hu/polici
es
94. A Társaság a közösségi médiafelületeken fenntartott oldalaira látogató Felhasználók
egyes személyes adatait csak abban az esetben jogosult megismerni, illetve kezelni,
ha a Felhasználó az adatoknak a közösségi médiafelületet fenntartó személy általi,
így közvetetten a Társaság általi megismeréséhez és kezeléséhez kifejezetten
hozzájárult. Tekintettel arra, hogy a közösségi médiafelület vonatkozásában
elsődleges adatkezelőnek a közösségi médiafelületet fenntartó személy minősül, és a
Társaság e vonatkozásban másodlagos adatkezelő, a Felhasználó hozzájárulását a
közösségi médiafelületre történő regisztrációval a közösségi médiafelületet fenntartó
személynek adja meg a felhasználási feltételek elfogadásával. E jogcím alapján
jogosult a közösségi médiafelületet fenntartó személy és a Társaság megismerni és
kezelni a Felhasználók egyes személyes adatait.
95. A közösségi médiafelületeken működtetett oldalakra történő látogatással a Társaság
anonim statisztikai célú adatokat ismer meg, amelyeket részére a közösségi
médiafelületet fenntartó személy továbbít. A személyes adatok megismerését és
kezelését a közösségi médiafelületet fenntartó személy elsődlegesen sütik
alkalmazásával végzi, amelynek célja, hogy a Társaság részére visszajelzést küldjön
a közösségi médiafelületen működtetett oldalra látogató Felhasználókról, a Társaság
által a közösségi médiafelületen működtetett oldalán végzett tevékenységének
Felhasználók általi megítéléséről. E statisztikai célú adatkör nem teszi lehetővé, hogy
a Társaság azonosíthassa a Társaság által a közösségi médiafelületen fenntartott
oldalra látogató Felhasználókat; erre kizárólag a közösségi médiafelületet fenntartó
személy jogosult sütik elhelyezésével. Ugyanakkor a Társaság a közösségi
médiafelületeken fenntartott oldalain végzett tevékenységével képes annak
befolyásolására, hogy a közösségi médiafelületet fenntartó személy mely Felhasználó
vonatkozásában végezzen (a természetes személy azonosítását lehetővé tevő)
adatkezelést, így a közösségi médiafelületeken oldal fenntartása a Társaság részéről
(is) adatkezelésnek minősül.
96. A közösségi médiafelületen működtetett oldal látogatásával kapcsolatban a Társaság
azokat a személyes adatokat ismeri meg és kezeli, amelyeket a közösségi
médiafelületet fenntartó személy felhasználási feltételei és/vagy adatkezelési
tájékoztatója meghatároz, így különösen de nem kizárólagosa a Felhasználókra
vonatkozó demográfiai és földrajzi adatok, azon termékekre és szolgáltatásokra
vonatkozó látogatási adatok, amelyeket a közösségi médiafelületen működtetett oldal
látogatásával a Felhasználók felkeresnek, a Felhasználóknak a közösségi
médiafelületen működtetett oldal látogatásával kapcsolatos szokásai.
97. A Felhasználó jogosult a sütiket törölni a közösségi médiafelületet fenntartó személy
felhasználási feltételeiben és/vagy adatkezelési tájékoztatójában meghatározottak
szerint, illetve a Felhasználó böngészőjén keresztül a sütik letiltásával. A sütik
törlésével, illetve letiltásával a Társaság személyes adatok közvetett megismerésére
és kezelésére való joga is megszűnik.
98. A Társaság közvetett adatkezelést végez azon Felhasználók esetén is, akik a
közösségi médiafelületen működtetett oldalt úgy látogatják meg, hogy nem
rendelkeznek állandó fiókkal a közösségi médiafelületen. Az ilyen Felhasználók
személyes adatainak közvetett megismerésére és kezelésére a Társaság a közösségi
médiafelületet fenntartó személy felhasználási feltételeinek/adatkezelési
tájékoztatójában foglalt feltételeknek megfelelően jogosult.
99. A Társaság a közösségi médiafelületen működtetett oldalán keresztül szervezett
nyereményjátékban résztvevő Felhasználók személyes adatait jogosult megismerni
és kezelni. Az adatkezelés célja, hogy a Társaság által szervezett nyereményjátékon
a személyes adat jogosultja (résztvevő Felhasználó) részt vegyen, és a nyertes
résztvevővel a Társaság - a nyeremény átadása céljából - a kapcsolatot felvegye.
100. A Társaság által a közösségi médiafelületen működtetett oldalán keresztül
szervezett nyereményjátékkal kapcsolatban megismert és kezelt személyes adatok
köre a következő: (i) a résztvevő természetes személyes esetén mindazon személyes
adat, amelyet a Társaság megismerhet és kezelhet a nyereményjátékon való
részvétel tényénél fogva a közösségi médiafelületet fenntartó személy felhasználási
szabályainak megfelelően; (ii) a nyertes résztvevő természetes személy esetén
értesítési cím (lakcíme), a nyeremény jellegétől függően bankszámlaszáma.
101. A közösségi médiafelületen működtetett oldalán keresztül szervezett
nyereményjátékon történő részvétel céljából megismert és kezelt személyes adat
adatkezelésének időtartama: a nem nyertes résztvevők esetén a nyereményjáték
időtartama, a nyertes esetén a jogszabályban meghatározott időtartam. Az
adatkezelés módja elektronikus nyilvántartás vezetése, és a személyes adatokon
végzett elektronikus művelet.
102. A közösségi médiafelületen működtetett oldalán keresztül szervezett
nyereményjátékban részvevő személyek személyes adatait a Társaság csak abban
az esetben ismerheti meg, illetve kezelheti, amennyiben a személyes adat jogosultja
ehhez hozzájárult. A nyereményjátékban résztvevő személy hozzájárulási
nyilatkozatával kifejezetten hozzájárul ahhoz, hogy a Társaság a közösségi
médiafelület felhasználási feltételeinek megfelelően a nyereményjátékban résztvevő
személy által nyilvánosságra hozott és a nyereményjáték keretében megadott
személyes adatait megismerhesse és kezelhesse. A nyereményjátékban résztvevő
személy a hozzájárulási nyilatkozatával kijelenti, hogy a Társaság adatkezelési
szabályzatát megismerte, és a Társaság nyereményjátékkal kapcsolatos felhívásában
rögzített adatkezelési tájékoztatást tudomásul vette.
103. A közösségi médiafelületen működtetett oldalán keresztül szervezett
nyereményjáték felhívásában a Társaság köteles a személyes adat jogosultját - a
nyereményjátékon történő részvételét megelőzően - tájékoztatni
a) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b) arról, hogy a Társaság közösségi médiafelületen működtetett oldalán keresztül
szervezett nyereményjátékban csak abban az esetben vehet részt, ha a Társaság
adatkezeléséhez hozzájárult, illetve e hozzájárulás visszavonhatóságáról;
c) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d) a személyes adatok címzettjeiről, illetve kategóriáiról;
e) a személyes adat tárolásának tervezett idejéről;
f) a személyes adat jogosultját megillető jogokról;
g) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
A tájékoztatást a Társaság a 10. számú melléklet felhasználásával és a
nyereményjáték felhívásába történő hozzáférhetővé tétellel köteles teljesíteni.
104. A Társaság a tájékoztatást tömören és közérthetően köteles megadni a
nyereményjátékon résztvevő személynek. A tájékoztatás megadása mellett a
Társaság köteles a jelen Szabályzatot az általa működtetett honlapon is közzétenni,
illetve a nyereményjátékon résztvevő személy kérésére az érintett elektronikus
kézbesítési címére elektronikus formában megküldeni.
105. A Társaság közösségi médiafelületen működtetett oldalán keresztül
szervezett nyereményjátékában résztvevő személy a hozzájárulási nyilatkozatát
akként adja meg a Társaság részére, hogy a Társaság által a nyereményjáték
felhívásában közzétett adatkezelési tájékoztatót megismerte, megértette és a
nyereményjátékon részt vesz. A személyes adat jogosultja a nyereményjátékon
történő részvétellel (ráutaló magatartással) nyilvánítja ki hozzájárulási nyilatkozatát.
106. A Társaság közösségi médiafelületen működtetett oldalán keresztül
szervezett nyereményjátékában résztvevő személy a Társaság adatkezelési
tájékoztatóját követően önként jogosult eldönteni, hogy a nyereményjátékon való
részvétel tényével hozzájárul-e ahhoz, hogy a Társaság a nyereményjáték során
megadott személyes adatait megismerje és kezelje. A hozzájárulási nyilatkozat akkor
jogszerű, ha az
a) önkéntes;
b) konkrét adatkezelésre vonatkozik;
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
A Társaság a nyereményjátékon résztvevő személy által a nyereményjátékon történő
részvétel tényénél fogva tett hozzájárulási nyilatkozatát az ellenkező bizonyításáig
jogszerűnek tekinti. A hozzájárulás esetleges jogellenességét az érintett bizonyítja.
107. A nyereményjátékban résztvevő személy hozzájárulási nyilatkozatát bármikor
visszavonhatja a Társaságnak címzett ilyen tartalmú nyilatkozatával. A hozzájárulás
visszavonása nem érinti a korábbi adatkezelés jogszerűségét. A hozzájárulás
visszavonásával a Társaság nem jogosult a nyereményjátékon történő részvétel,
nyertessel való kapcsolatfelvétel és a nyeremény átadása céljából kezelni az érintett
személyes adatait. A hozzájárulás visszavonása egyben a nyereményjátékban
történő részvétel (illetve a nyeremény igénylése) jogának a megszűnését is jelenti.
108. A jelen alfejezet szerinti adatkezelések időtartama:
adatkezelés típusa adatkezelés időtartama
hírlevél-szolgáltatással kapcsolatos
adatkezelés
a hírlevél-szolgáltatásra történő
feliratkozástól a szolgáltatás
igénybevételének időtartama
(Felhasználó általi leiratkozásig)
sütikkel kapcsolatos adatkezelés jogszabály eltérő rendelkezése
hiányában a sütik elhelyezésétől
számított 1 év
szerver által végzett naplózás mint
adatkezelés
a honlapra történő látogatástól
kezdődően - jogszabály eltérő
rendelkezése hiányában - 1 év
közösségi médiafelületek által elhelyezett
sütik révén generált statisztikai célú
adatkezelés (állandó fiókkal rendelkező vagy
nem rendelkező Felhasználók esetén
egyaránt)
a közösségi médiafelületeken
működtetett oldalakon keresztüli
közvetett adatkezelés időtartamára a
közösségi médiafelületet fenntartó
személy felhasználási feltételei
tartalmaznak rendelkezést
közösségi médiafelületen működtetett
oldalon szervezett nyereményjátékkal
kapcsolatos adatkezelés
résztvevők esetén a nyereményjáték
időtartama, a nyertes résztvevő
esetén a jogszabályban
meghatározott időtartam
IV/H. [Rendezvényen résztvevő harmadik személyekkel kapcsolatos adatkezelés]
109. A Társaság jogosult megismerni és kezelni azon harmadik személyek egyes
személyes adatait, aki a Társaság által szervezett valamely rendezvényen,
eseményen (így különösen, de nem kizárólagosan az egészségnapon) részt vesznek,
és akik nem a Társaság vezető tisztségviselői, munkavállalói vagy a Társasággal
foglalkoztatásra irányuló egyéb jogviszonyban álló személyek.
110. A jelen alfejezet szerinti adatkezelés célja:
a) a Társaság által szervezett rendezvényen, eseményen harmadik személyek
részvételének biztosítása;
b) a Társaság által szervezett rendezvények, események népszerűsítése a
rendezvényekről, eseményekről állókép, mozgókép és/vagy hanganyag által
rögzített személyes adat közzététele útján;
c) a rendezvényen, eseményen a Társaság jogos érdekének védelme;
d) a Társaságot terhelő jogi kötelezettségek teljesítése.
111. A jelen alfejezet szerinti adatkezelés időtartama: a személyes adat jogosultja
részéről történő hozzájárulás megadását követő 5 év. Amennyiben jogszabály ettől
eltérő időtartamot határoz meg, úgy az adatkezelés időtartama e jogszabályban
meghatározott időtartam.
112. A jelen alfejezet szerinti adatkezelés módja: elsődlegesen elektronikus, vagy
arról készített papír alapú nyilvántartás és személyes adatokon végzett elektronikus
vagy papír alapú művelet.
113. A jelen alfejezet szerinti adatkezelés csak abban az esetben jogszerű, ha
ahhoz a Társaság megfelelő jogcímmel rendelkezik. Az elsődleges jogcím az érintett
hozzájárulása.
114. A Társaság a harmadik személy következő személyes adatainak
megismerésére jogosult: képmása, illetve egyéb olyan személyes adata, amely
állóképen, mozgóképen és/vagy hangfelvételen rögzíthető.
115. A Társaság a harmadik személyt a Társaság által szervezett rendezvényen,
eseményen történő részvételt megelőzően köteles tájékoztatni
a) a Társaság, illetve a Társaság képviselőjének nevéről, elérhetőségéről;
b) arról, hogy a Társaság által szervezett rendezvényen, eseményen történő
részvétel feltétele, hogy a rendezvényen, eseményen állóképi, mozgóképi vagy
hangrögzítéssel rögzíthető és megismerhető személyes adatai Társaság általi
megismeréséhez és kezeléséhez hozzájárul, illetve a hozzájárulás
visszavonhatóságáról;
c) az adatkezelés pontos céljáról, jogalapjáról, konkrét terjedelméről;
d) a személyes adat címzettjeiről, illetve kategóriáról;
e) a személyes adat tárolásának tervezett idejéről;
f) a személyes adat jogosultját megillető jogokról;
g) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
A Társaság a tájékoztatást a 11. számú melléklet megfelelő felhasználásával és a
személyes adat jogosultja részére történő hozzáférhetővé tétellel köteles teljesíteni
akként, hogy a Társaság által szervezett rendezvényre, eseményre felhívó tájékoztató
részeként, vagy oda elhelyezett hivatkozás segítségével az hozzáférhetővé teszik. A
Társaság köteles a tájékoztatást és a jelen Szabályzatot is a saját kezelésében lévő
honlapon is nyilvánosság számára hozzáférhető módon közzétenni. A Társaság az
általa szervezett rendezvényen, eseményen külön köteles felhívni a harmadik
személy figyelmét a jelen alfejezet szerinti adatkezelésre.
116. A Társaság a tájékoztatást tömören és közérthetően köteles megadni a
harmadik személynek.
117. A harmadik személy a tájékoztatást követően önként jogosult eldönteni, hogy
a Társaság által szervezett rendezvényen, eseményen részt kíván-e venni, és hozzá
kíván-e járulni személyes adatainak Társaság általi megismeréséhez és kezeléséhez.
A harmadik személy hozzájárulása akkor jogszerű, ha az
a) önkéntes;
b) konkrét adatkezelésre vonatkozik;
c) megfelelő tájékoztatáson alapul; és
d) egyértelmű akaratnyilatkozat.
A Társaság a harmadik személy által tett hozzájárulást az ellenkező bizonyításáig
jogszerűnek tekinti. A hozzájárulás esetleges jogellenességét az érintett bizonyítja.
118. A harmadik személy a hozzájárulási nyilatkozatot az eseményen történő
részvétellel mint ráutaló magatartással adja meg. A tájékoztatás tudatában a
harmadik személy a(z önkéntes) részvétellel kifejezetten hozzájárul ahhoz, hogy a
Társaság képmását, illetve egyéb olyan személyes adatát, amely állókép, mozgókép
és/vagy hangfelvétel útján rögzíthető, a Társaság gazdasági tevékenységének
népszerűsítése céljából megismerje és kezelje, továbbá saját kezelésében áll
honlapján vagy közösségi médiafelületen működtetett oldalán nyilvánosság számára
hozzáférhető módon közzétegye. A harmadik fél hozzájárulási nyilatkozatával azt is
kijelenti, hogy a Társaság adatkezelési tájékoztatóját, az adatkezelés tényét,
jogalapján, az adatkezeléssel érintett adatok körét megismerte és az adatkezelési
tájékoztatóban foglaltakat megértette.
119. A harmadik személy hozzájárulási nyilatkozatát bármikor visszavonhatja a
Társasághoz címzett ilyen tartalmú nyilatkozatával. A hozzájárulási nyilatkozat
visszavonása nem érinti a megelőző adatkezelés jogszerűségét. A hozzájárulási
nyilatkozat visszavonását követően a Társaság nem jogosult a hozzájárulási
nyilatkozattal érintett személyes adat további kezelésére és köteles annak minden
nyilvántartásból történő törlésére. Ennek keretében a Társaság köteles a személyes
adatot tartalmazó és közzétett állóképet, mozgóképet és/vagy hangfelvételt a saját
kezelésében lévő honlapról vagy közösségi médiafelületen működtetett oldaláról
eltávolítani.
V. A személyes adatok jogosultjainak jogai
120. Azokat a természetes személyeket, akinek a személyes adatait a Társaság -
bármely oknál fogva - kezeli, a Társaság adatkezelését illetően a következő
jogosultságok illetik:
a.) tájékoztatáshoz való jog;
b.) helyesbítéshez való jog;
c.) elfeledtetéshez való jog;
d.) adatkezelés korlátozásához való jog;
e.) adathordozhatósághoz való jog;
f.) tiltakozáshoz való jog.
121. A személyes adat jogosultja a jelen fejezetben meghatározott jogát a
Társasághoz eljuttatott kérelmével gyakorolhatja. A személyes adat jogosultja
kérelmét elektronikusan, papír alapon egyetemes postai szolgáltatás
igénybevételével, vagy papír alapon a Társaság székhelyén a Társaság képviseletére
jogosult vezető tisztségviselőjének, munkavállalójának vagy a Társasággal
foglalkoztatásra irányuló jogviszonyban álló egyéb személynek történő átadással
terjesztheti elő.
122. A kérelem átvételére jogosult személy a kérelmet a beérkezését következően
haladéktalanul köteles továbbítani a Társaság adatkezelési felelősének ügyintézés
céljából. A Társaság adatkezelési felelőse a kérelmet - annak kézhezvételét követően
haladéktalanul megvizsgálja - és amennyiben azt állapítja meg, hogy az
nyilvánvalóan alaptalan vagy jogosulatlan személytől érkezett, úgy annak érdemi
megvizsgálását elutasítja. Amennyiben a kérelem nem nyilvánvalóan alaptalan, illetve
jogosult személy terjesztette elő, az adatvédelem felelős a kérelmet érdemben
megvizsgálja. Az adatkezelési felelős a kérelem kézhezvételétől számított legkésőbb
30 napon belül értesíti a kérelmet előterjesztőt a kérelem elbírálásáról (a kérelem
elutasításáról vagy a kérelem teljesítéséről), illetve a megtett, illetve kezdeményezett
intézkedésekről.
V/A. [Helyesbítéshez való jog]
123. Amennyiben a Társaság pontatlanul vagy hiányosan kezeli a személyes adat
jogosultjának valamely személyes adatát, úgy a jogosult kérheti a Társaságot, hogy a
pontatlanul kezelt személyes adatot haladéktalanul helyesbítse, illetve a hiányosan
kezelt személyes adatot haladéktalanul egészítse ki a jogosult által szolgáltatott és
igazolt adatok alapján.
124. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt
meghatalmazottja) a helyesbítés iránti kérelmét a 12. sz. melléklet megfelelő
kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság
részére történő megküldésével terjesztheti elő. Amennyiben a személyes adatot
közokirat (pl. hatósági igazolvány) tartalmazza, úgy a kérelmező köteles felmutatni,
illetve másolatban a Társaság részére átadni a személyes adat tartalmát igazoló
közokiratot.
V/B. [Elfeledtetéshez való jog]
125. A személyes adatok jogosultja jogosult a Társaságtól kérni személyes
adatainak törlését a Társaság valamennyi nyilvántartásából. A Társaság e kérelem
beérkezését követően haladéktalanul törli a törölni kért személyes adatokat, ha az
alábbi indokok egyike fennáll:
a) a személyes adatra nincsen szükség abból a célból, amely az adatkezelés alapját
képezte;
b) a személyes adatok jogosultja adatkezeléshez hozzájáruló nyilatkozatát
visszavonta, és az adatkezelésnek nincs egyéb jogalapja;
c) bebizonyosodik, hogy a személyes adatokat a Társaság jogellenesen kezelte;
d) jogszabályi kötelezettségnél fogva a Társaság köteles a személyes adatok
törlésére.
126. A személyes adat jogosultja a törlés iránti kérelmét a 13. sz. melléklet
megfelelő kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a
Társaság részére történő megküldésével terjesztheti elő.
127. A Társaság a személyes adat törlését megtagadhatja, amennyiben a GDPR
17. cikk (3) bekezdésében meghatározott körülmények valamelyike fennáll.
V/C. [Adatkezelés korlátozásához való jog]
128. A személyes adatok jogosultja jogosult kérni a Társaságot, hogy személyes
adataira vonatkozó adatkezelést korlátozza amennyiben:
a.) a személyes adatok jogosultja vitatja a Társaság által gyűjtött és tárolt személyes
adatai pontosságát, ezen adatok pontosságának vizsgálatára vonatkozó
időtartamra; vagy
b.) a Társaság által végzett adatkezelés jogellenes, és a személyes adatok jogosultja
a gyűjtött és tárolt személyes adatainak törlését ellenzi; vagy
c.) az adatkezelés célja megszűnt, és a Társaságnak nincs szüksége a gyűjtött és
tárolt személyes adatokra, de a személyes adatok jogosultja jogi igénye
előterjesztése, érvényesítése vagy védelme érdekében kéri a további (korlátozott)
adatkezelést; vagy
d.) a személyes adatok jogosultja tiltakozási jogával él, a tiltakozási jog
jogszerűségének kivizsgálásának idejére.
129. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt
meghatalmazottja) a korlátozás iránti kérelmét a 14. sz. melléklet megfelelő
kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság
részére történő megküldésével terjesztheti elő.
130. A korlátozás alá eső személyes adatot a Társaság kizárólag tárolni jogosult. A
korlátozás alá eső személyes adaton adatkezelést végrehajtani a Társaság kizárólag
a jogosult előzetes írásbeli hozzájárulása vagy jogi érdekének előterjesztése,
érvényesítése vagy védelme érdekében, továbbá az Európai Unió vagy tagállama
fontos közérdekéből jogosult.
131. Amennyiben a személyes adat korlátozásának feltételei nem állnak fenn, úgy
a Társaság a korlátozást feloldja, és erről előzetesen köteles tájékoztatni a személyes
adatok jogosultját.
V/D. [Adathordozhatósághoz való jog]
132. Az olyan személyes adat vonatkozásában, amelyet a Társaság a személyes
adat jogosultjának hozzájárulása alapján automatizált módon kezel a személyes adat
jogosultja kérheti a Társaságot, hogy az általa rendelkezésre bocsátott személyes
adatait a Társaság elektronikus formátumban - a GDPR 20. cikk (1) bekezdésében
meghatározottak szerint - a rendelkezésére bocsássa.
133. A Társaság a gyűjtött és tárolt személyes adatok elektronikus formában
történő átadásánál köteles figyelemmel lenni arra, hogy a személyes adatok jogosultja
az elektronikus formában átadott gyűjtött és tárolt személyes adatait jogosult átadni
másik adatkezelőnek, vagy a Társaságot felkérni arra, hogy e személyes adatokat
közvetlenül küldje meg másik adatkezelőnek.
134. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt
meghatalmazottja) az adathordozás iránti kérelmét a 15. sz. melléklet megfelelő
kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság
részére történő megküldésével terjesztheti elő.
V/E. [Tiltakozáshoz való jog]
135. A személyes adat jogosultja tiltakozhat a személyes adatainak Társaság általi
adatkezelése ellen, amennyiben a Társaság az adatkezelést a Társaság vagy
harmadik flé jogos érdekének érvényesítése érdekében hajtja végre.
136. A személyes adat jogosultja (vagy képviseletében eljáró és igazolt
meghatalmazottja) a tiltakozás iránti kérelmét a 16. sz. melléklet megfelelő
kitöltésével vagy azzal tartalmilag megegyező nyilatkozat megtételével és a Társaság
részére történő megküldésével terjesztheti elő.
137. A tiltakozó nyilatkozat Társaság általi elfogadását követően a Társaság nem
jogosult az érintett személyes adatot a Társaság vagy harmadik fél jogos érdekének
érvényesítése érdekében kezelni, kivéve, ha a Társaság bizonyítja, hogy az
adatkezelést olyan kényszerítő erejű jogos ok igazolja, amelyek elsőbbséget élvez az
érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyik jogi igények
előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódik
VI. Az Adatkezelési felelős
138. A Társaság valamennyi olyan vezető tisztségviselője, munkavállalója, illetve a
Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy, aki
személyes adatokra vonatkozó adatkezelést folytat (pl. adminisztráció) köteles a jelen
Szabályzat, valamint az adatkezelésre vonatkozó jogszabályok rendelkezéseinek
megtartására.
139. A Társaság adatkezelési rendelkezések megtartásáért felelős és
felhatalmazott személy(a továbbiakban: Adatkezelési felelős) köteles a jelen
Szabályzatban, valamint a jogszabályokban meghatározott adatkezelési
rendelkezések Társaság vezető tisztségviselői, munkavállalói, illetve a Társasággal
foglalkoztatásra irányuló egyéb személyek által történő megtartását biztosítani és
ellenőrizni.
140. A Társaság Adatkezelési felelőse: Bíró Brigitta Melinda (cím: 1118
Budapest, Rétköz utca 7. ) üzletvezetésre jogosult tag.
141. A Társaság Adatkezelési felelősét a Társaság legfőbb szerve választja a
Társaság vezető tisztségviselői, munkavállalói vagy a Társasággal foglalkoztatásra
irányuló jogviszonyban álló egyéb személyek közül; a Társaság Adatkezelési felelőse
jogviszonyának időtartama a vezető tisztségviselői jogviszony, munkaviszony vagy
foglalkoztatásra irányuló egyéb jogviszony időtartamához igazodik. Az Adatkezelési
felelős jogviszonya megszűnik, ha:
a.) vezető tisztségviselői jogviszonya, munkaviszony, foglalkoztatásra irányuló egyéb
jogviszonya megszűnik;
b.) a tisztségről lemond;
c.) meghal;
d.) a Társaság legfőbb szerve a tisztségéből visszahívja;
e.) a Társaság legfőbb szerve a tisztségétől (súlyos kötelezettségszegés okán)
megfosztja.
142. Az Adatkezelési felelős kijelölése alkalmával a Társaság köteles nyilatkozat
tenni arra vonatkozóan, hogy a GDPR és egyéb adatvédelmi jogszabályok
rendelkezéseinek megfelelően nem köteles adatvédelmi tisztviselőt kijelölni. A
Társaság e nyilatkozatát az Adatkezelési felelős kijelöléséről szóló dokumentum
részeként kell megtenni, és egyértelművé kell benne tenni, hogy a kijelölt
Adatkezelési felelős jogállásában nem tekintendő a GDPR 37-39. cikkeiben
meghatározott adatvédelmi tisztviselőnek.
143. Az Adatkezelési felelős e tisztségét e tisztségre vonatkozó kijelölés
elfogadásával, vagy amennyiben ez későbbi, akkor a kijelölésben meghatározott
határnaptól kezdődően tölti be. Az Adatkezelési felelős a kijelölés elfogadásával
egyidejűleg titoktartást köteles vállalni a tisztsége ellátásával kapcsolatosan
tudomására jutott személyes adatok vonatkozásában.
144. Az Adatkezelési felelős feladatkörei:
a) az Adatkezelési felelős köteles rendszeresen ellenőrzéseket végezni arra
vonatkozóan, hogy a jelen Szabályzat rendelkezéseit a Társaság mindennapi
működése és üzletszerű gazdasági tevékenysége során az arra kötelezettek
megtartják-e;
b) az Adatkezelési felelős köteles megvizsgálni a Társasághoz címzett - a
személyes adatok jogosultjai részéről érkezett - kérelmeket (V. fejezet), és a
nyilvánvalóan nem alaptalan és jogosult személy által előterjesztett kérelmek
esetén köteles megtenni a szükséges intézkedéseket.
c) az Adatkezelési felelős köteles kapcsolatot tartani és együttműködni a
Hatósággal, illetve - szükséges esetén - egyéb tagállami adatvédelmi
hatósággal;
d) az Adatkezelési felelős adatvédelmi incidens lehetőségének felmerülése esetén
köteles azt kivizsgálni és megalapozott lehetőség esetén az incidens által
jelentett kockázatokat megakadályozni vagy mérsékelni, illetve a biztonság
sérülését helyreállítani;
e) az Adatkezelési felelős köteles az olyan adatvédelmi incidens esetén, amely
természetes személy jogaira és szabadságaira kockázatot jelent, bejelentést
tenni a Hatóságnak, vagy - szükség esetén - egyéb tagállami adatvédelmi
hatóságnak; magas kockázat esetén köteles azt bejelenteni a Hatóságnak, vagy
- szükség esetén - egyéb tagállami adatvédelmi hatóságnak, illetve arról
tájékoztatni a személyes adat jogosultját;
f) az Adatkezelési felelős jogosult a Társaság legfőbb szerve irányába javaslattal
élni a Társaság adatkezelési gyakorlatának módosítása vonatkozásában;
g) az Adatkezelési felelős jogosult a jelen Szabályzattal összefüggő mindenkori
jogszabályi módosítások átvezetésére és a jelen Szabályzat változással
egységes szerkezetbe foglalt hatályosított változatának összeállítására és
közzétételére.
VII. Adatbiztonság és az adatok tárolásának rendje
145. A Társaság az adatkezelést úgy hajtja végre, hogy a GDPR, valamint egyéb
adatvédelmi jogszabályok megtartása mellett tiszteletben tartsa a személyes adat
jogosultjának családi és magánélethez való alapvető jogát, egyéb jogait és
szabadságait.
146. A személyes adatok tárolására vonatkozó jelen Szabályzatban meghatározott
rendelkezések egyaránt vonatkoznak a papír alapon, illetve elektronikus formában
tárolt olyan személyes adatra, amelyek nyilvántartási rendszerét részét képezik,
illetve amelyeket a Társaság részben vagy egészben automatizált módon kezel. A
Társaság személyes adatok elektronikus tárolására a Társaság tulajdonában álló
Eszközöket használ; a papír alapú nyilvántartásokat a Társaság tulajdonában vagy
használatában álló olyan ingatlanokban vezeti, amelyeket a Társaság székhelyként,
telephelyként vagy fióktelepként használ.
147. A Társaság által adatkezelés érdekében gyűjtött és tárolt személyes adatok
kizárólag a jelen Szabályzatban, illetve jogszabályban meghatározott célból,
megfelelő jogcímmel kezelhetők.
148. A Társaság által gyűjtött és tárolt személyes adatot olyan módon kell a
Társaságnak megőrizni az adatkezelés idején, hogy illetéktelen személy azokhoz ne
tudjon hozzáférni. A Társaság köteles biztosítani, hogy a gyűjtött és tárolt személyes
adatot
a.) illetéktelen harmadik személy nem ismerheti meg, férhet hozzá;
b.) nem vetik alá jogosulatlan adatkezelésnek;
c.) illetéktelen személy nem változtathatja meg, továbbíthatja, hozhatja
nyilvánosságra, törölheti;
d.) nem továbbítják a jelen Szabályzat VII. pontjától eltérően;
e.) jogosulatlanul nem módosítják, illetve véletlenül vagy jogosulatlanul
megsemmisítik, törlik, teszik hozzáférhetetlenné;
f.) elvesztéstől, sérüléstől megóvja.
149. A Társaság az adatkezelési, valamint ezzel kapcsolatos szervezési
tevékenysége során figyelembe veszi a tudomány és technológia mindenkori állását
és fejlődését. Törekszik arra, hogy az adatbiztonság fenntartása érdekében a lehető
legbiztonságosabb, illetve a kockázat mértékének megfelelő adatbiztonságot
garantáló technológiát alkalmazza a természetes személyek jogainak és
szabadságainak védelme érdekében.
150. A Társaság adatkezelési tevékenységéről nyilvántartást köteles vezet
(Adatkezelési Nyilvántartás) a jelen Szabályzat 17. számú mellékletében
meghatározott minta felhasználásával és a GDPR 30. cikkében meghatározott
rendelkezések tiszteletben tartásával.
VIII. Adatok továbbításának rendje
151. A Társaság nem jogosult az általa kezelt, őrzött személyes adatot más
személynek továbbítani, vagy egyéb formában hozzáférhetővé tenni kivéve
a) amennyiben az adattovábbítást jogszabály írja elő (pl. statisztikai adatgyűjtés;
munkáltatót terhelő adatszolgáltatási kötelezettség) és az adattovábbítás
címzettjeként bíróság, hatóság vagy egyéb szerv a Társaság felé hivatalos
megkeresését eljuttatja;
b) amennyiben az adattovábbításhoz az érintett kifejezett hozzájárulását adta, és az
adattovábbítás címzettje a Társasággal kötelmi jogviszonyban lévő személy,
továbbá az adattovábbítás a személyes adat jogosultja és a Társaság közötti kötelmi
jogviszony teljesítése.
152. A Társaság az ügyfél erre vonatkozó kifejezett nyilatkozatával jogosult az
ügyfél által online vásárlása során megadott személyes adatainak házhosszállítást
végző társaság részére történő továbbítására. Az ügyfél adattovábbításra vonatkozó
hozzájáruló nyilatkozatát a 72 . pontban meghatározott nyilatkozat mellett akként
teljesíti, hogy az online vásárlás véglegesítését megelőzően a házhosszállítási
lehetőségek egyikét kiválasztva a mellette található jelölőnégyzetben jelölést helyez
el. A jelölőnégyzetben történő jelölés elhelyezése az adattovábbításhoz történő
hozzájáruló nyilatkozat megtétele az ügyfél részéről, amelynek tartalma a következő:
„Kijelentem, hogy a Királymajor Patika Bt. adatkezelő (Adatkezelő) adattovábbításra is
kiterjedő adatkezelési tájékoztatójában foglaltakat megértettem, és kifejezetten
hozzájárulok ahhoz, hogy az online vásárlás részeként igényelt házhosszállítás
teljesítése érdekében az online vásárlás során megadott személyes adataimat az
Adatkezelő a házhosszállítást végző társaság részére továbbítsa." A jelölőnégyzetben
elhelyezett jelölés hiányában az a házhosszállításra vonatkozó igényt is tartalmazó
online vásárlás nem véglegesíthető.
153. A Társaság az adattovábbítás jogszerűségének ellenőrzése, valamint az
érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet a jelen Szabályzat
18. sz. mellékletében meghatározott minta alapján, amely tartalmazza a Társaság
által kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját
és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az
adatkezelést előíró jogszabályokban meghatározott egyéb adatokat.
154. A Társaság a 151. a) pontjában meghatározott megkeresésre a
megkeresésben meghatározott terjedelemben, a megkeresés teljesítéséhez
szükséges mértékben biztosítja az általa tárolt személyes adatok továbbítását.
155. A Társaság a 151. b) pontjában meghatározott adattovábbítás szükségessége
esetén köteles tájékoztatni a személyes adat jogosultját
a.) az adattovábbítás címzettjének, valamint képviselőjének nevéről, elérhetőségéről;
b.) arról, hogy az adattovábbítással kapcsolatos tájékoztatás ismeréséhez és az
adattovábbításhoz hozzájárul;
c.) az adattovábbítás pontos céljáról, konkrét terjedelméről;
d.) a személyes adat jogosultját megillető jogokról;
e.) a Hatóságnak címzett panasz, vagy bírósági jogorvoslat előterjesztésének
lehetőségéről.
A személyes adat jogosultja konkrét adattovábbításhoz hozzájáruló nyilatkozatát a 13.
a) pontban meghatározott nyilatkozattal egyidöben is megadhatja, amennyiben e
nyilatkozat megtétele idején a konkrét adattovábbítás szükségessége már ismert.
Adattovábbításra vonatkozó hozzájáruló nyilatkozatát a személyes adat jogosultja a
19. számú mellékletben meghatározott minta alapján köteles megtenni.
156. A Társaság a 151. b) pontjában meghatározott adattovábbítás teljesítése
során kizárólag azon személyes adatok továbbítására jogosult, amely a kötelmi
jogviszony teljesítéséhez elengedhetetlenül fontos és amelynek a továbbításához a
személyes adat jogosultja kifejezett hozzájárulását megadta.
IX. Adatvédelmi incidens esetén követendő protokoll
157. Adatvédelmi incidens - a GDPR 4. cikk 12. pontjával összhangban - a
biztonság olyan sérülése, amely lehet
a) a bizalmasság sérülése, így a továbbított, tárolt vagy más módon kezelt
személyes adat jogosulatlan közlése vagy az ahhoz való jogosulatlan hozzáférés;
b) a hozzáférés sérülése, így a továbbított, tárolt vagy más módon kezelt személyes
adat véletlen vagy jogellenes megsemmisítése, elvesztése;
c) az integritás sérülése, így a továbbított, tárolt vagy más módon kezelt személyes
adat megváltoztatása.
158. Amennyiben a Társaság vezető tisztségviselője, munkavállalója, illetve a
Társasággal foglalkoztatásra irányuló jogviszonyban álló egyéb személy azt
tapasztalja, hogy a Társaság által gyűjtött, tárolt személyes adatok vonatkozásában
fennállhat a biztonság sérülésének a lehetősége, haladéktalanul köteles az
Adatkezelési felelőst erről tájékoztatni (a továbbiakban: Jelzés). Biztonság sérülése
minden olyan körülmény, amelynek eredményeként a Társaság adatkezelő
rendszerében, nyilvántartásaiban sérülés következik be az adatbiztonsági
rendelkezésekkel ellentétes módon. A biztonság sérülése nem jelenti feltétlenül
adatvédelmi incidens bekövetkeztének a tényét is.
159. Az Adatkezelési felelős a Jelzést megtételét követően haladéktalanul köteles
megvizsgálni és értékelni a helyzetet. A vizsgálatnak ki kell terjedni a biztonság
sérülésének lehetőségeként jelzett körülmény valamennyi elemére, illetve a Jelzéssel
érintett valamennyi nyilvántartás, így személyes adatok helyzetének vizsgálatára.
160. Az Adatkezelési felelős vizsgálata során elsődlegesen azt köteles
megállapítani, hogy a biztonság sérülése ténylegesen megtörtént-e. Amennyiben az
Adatkezelési felelős azt állapítja meg, hogy a biztonság nem sérült, úgy eljárását
megszünteti és a vizsgálata eredményéről jelentést készít a Társaság legfőbb szerve
részére, és azt a jelen Szabályzat 22. sz. mellékletét képező minta szerinti
nyilvánításba bevezeti.
161. Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság
megsérült, úgy másodsorban köteles megvizsgálni, hogy adatvédelmi incidens
történt-e. Amennyiben az Adatkezelési felelős azt állapítja meg, hogy adatvédelmi
incidens nem történt, úgy köteles megtenni mindazon intézkedést, amely a biztonság
helyreállítása érdekében szükséges, továbbá eljárását megszünteti és a vizsgálat
eredményéről jelentést készít a Társaság legfőbb szerve részére, és azt a jelen
Szabályzat 20. sz. mellékletét képező minta szerinti nyilvánításba bevezeti.
162. Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság
sérülésével egyidőben adatvédelmi incidens is történt, úgy köteles harmadsorban
megvizsgálni, hogy az adatvédelmi incidens az érintett személyes adatok
jogosultjainak jogaira és szabadságaira kockázatot jelent-e. Amennyiben azt állapítja
meg, hogy ilyen kockázatot az adatvédelmi incidens nem jelent, úgy köteles megtenni
mindazon intézkedést, amely a biztonság helyreállítása érdekében szükséges,
továbbá eljárását megszünteti és a vizsgálat eredményéről jelentést készt a Társaság
legfőbb szerve részére, és azt a jelen Szabályzat 20. sz. mellékletét képező minta
szerinti nyilvánításba bevezeti.
163. Amennyiben az Adatkezelési felelős azt állapítja meg, hogy a biztonság
sérülésével egyidőben az adatvédelmi incidens kockázatot jelent az érintett
személyes adat jogosultjainak jogai és szabadságaira, úgy az Adatkezelési felelős azt
köteles megvizsgálni, hogy ez a kockázat milyen mértékű. Amennyiben az
adatvédelmi incidens az érintett személyes adat jogosultjai jogaira és szabadságaira
kockázatot jelent, úgy köteles vizsgálata eredményéről jelentést készíteni a Társaság
legfőbb szerve részére, és azt a jelen Szabályzat 20. sz. mellékletét képező minta
szerinti nyilvánításba bevezeti, illetve a Hatóság, vagy - szükség esetén - egyéb
tagállami adatvédelmi hatóság részére bejelenteni.
164. Amennyiben az Adatkezelési felelős 163 . pontban meghatározott vizsgálata
azt állapítja meg, hogy az adatvédelmi incidens az érintett személyes adat jogosultjai
jogaira és szabadságaira magas kockázatot jelent, úgy köteles vizsgálata
eredményéről jelentést készíteni a Társaság legfőbb szerve részére, és azt a jelen
Szabályzat 15. sz. mellékletét képező minta szerinti nyilvánításba bevezeti, illetve a
Hatóság, vagy - szükség esetén - egyéb tagállami adatvédelmi hatóság részére
bejelenteni, továbbá az érintett személyes adatok jogosultjait az adatvédelmi
incidensről tájékoztatni.
165. A Társaság mint adatkezelő az Adatkezelési felelős útján a 163 ., illetve a 164 .
pontokban meghatározott bejelentési kötelezettségét indokolatlan késedelem nélkül,
de legkésőbb az adatvédelmi incidens tudomására jutásától számított 72 órán belül
köteles teljesíteni. A Társaság mint adatkezelő akkor jut az adatvédelmi incidens
tudomására, amikor az Adatkezelési felelős kellő bizonyossággal meg tudja állapítani
a biztonság sérülésének tényét. Az Adatkezelési felelős a biztonság sérülése ténye
megállapítását követően haladéktalanul köteles értékelni a helyzetet.
166. Amennyiben az Adatkezelési felelős a 165 . pontban jelzett 72 órán belül nem
tudja lefolytatni a 163 - 164 . pontokban jelzett vizsgálatát, úgy köteles a határidőn belül
megtenni a bejelentését, illetve tájékoztatását, és vizsgálatát köteles tovább folytatni.
Amennyiben a 163 - 164 . pontokban meghatározott vizsgálat eredménye az
Adatkezelési felelős rendelkezésére áll, úgy arról kiegészítő bejelentést/kiegészítő
tájékoztatást vagy módosító bejelentést/módosító tájékoztatást köteles tenni.
167. Az Adatkezelési felelős a 163 - 164 . pontokban meghatározott bejelentési
kötelezettség a Hatóság által rendszeresített elektronikus űrlap kitöltésével, illetve
Hatóságnak történő megküldésével, vagy egyéb tagállami adatvédelmi hatóság
esetén ezen hatóság, illetve tagállami jog által meghatározott ormában köteles
teljesíteni. A bejelentésben az Adatvédelmi felelős a Társaság képviseletében a
következő adatokat köteles megadni:
a) az adatvédelmi incidens típusa;
b) az adatvédelmi incidenssel érintett személyes adatok jogosultjainak kategóriája;
c) az adatvédelmi incidenssel érintett személyes adatok jogosultjainak (közelítő)
száma;
d) az adatvédelmi incidenssel érintett személyes adatok típusa;
e) az adatvédelmi incidenssel érintett személyes adatok (közelítő) száma.
168. Az Adatkezelési felelős a különböző adattípusban tartozó személyes adatokat
érintő adatvédelmi incidensről külön-külön bejelentéseket köteles tenni.
169. Az Adatkezelési felelős nem köteles bejelentést tenni, amennyiben az
adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes
személyek jogaira és szabadságaira. A kockázat fennállására vonatkozó értékelést az
Adatkezelési felelős az eset összes körülményének figyelembevételével köteles
teljesíteni. Azt a körülményt, hogy az adatvédelmi incidens a természetes személyek
jogaira és szabadságaira kockázattal nem jár, bizonyítani és jelentésbe foglalni,
valamint a biztonság helyreállítása érdekében szükséges intézkedéseket megtenni
köteles.
170. Az Adatkezelési felelős a 164 . pontban meghatározott tájékoztatási
kötelezettségét indokolatlan késedelem nélkül köteles teljesíteni a 21. számú
mellékletben meghatározott minta felhasználásával. A kockázat jellegének
értékelésére a 163 - 164 . pontokban meghatározott vizsgálata során - az eset összes
körülményére tekintettel - az Adatkezelési felelős köteles. Ennek keretében az
Adatkezelési felelős köteles figyelembe venni többek között:
a) az adatvédelmi incidens típusát;
b) az adatvédelmi incidenssel érintett személyes adat típusát;
c) az adatvédelmi incidenssel érintett személyes adat érzékenységét;
d) az adatvédelmi incidenssel érintett személyes adatok mértékét;
e) az adatvédelmi incidenssel érintett természetes személy kiszolgáltatottságát.
Az adatvédelmi incidens révén a természetes személy jogaira és szabadságaira
vonatkozó kockázat akkor magas, ha azzal a személyes adat jogosultját fizikai,
anyagi és nem anyagi értelemben kár érheti.
171. Az Adatkezelési felelős a következőkről köteles tájékoztatni a személyes adat
jogosultjait:
a) az adatvédelmi incidens ténye, jellege;
b) az Adatkezelési felelős neve és elérhetőségei;
c) az adatvédelmi incidens lehetséges következményei;
d) az adatvédelmi incidens eredményeként elállt magas kockázat mérséklésére és
az incidens előtti állapot helyreállítására a Társaság mint adatkezelő által igénybe
vett eszközök.
172. Az Adatkezelési felelős a tájékoztatását a személyes adatok jogosultjai által
(köz)érthető és egyszerű megfogalmazással, releváns nyelven és késedelem nélkül
köteles megtenni olyan kommunikációs csatornán, amelyen az Adatkezelési felelős
értékelése alapján a tájékoztatás a leghamarabb megérkezik a személyes adatok
jogosultjaihoz. Az Adatkezelési felelős egyszerre akár több kommunikációs formát is
igénybe vehet a tájékoztatási kötelezettség teljesítése érdekében.
173. Az Adatkezelési felelős a személyes adatok jogosultjainak szóló tájékoztatást
akkor mellőzheti, ha
a) az adatvédelmi incidens a személyes adatok jogosultjainak jogaira és
szabadságaira magas kockázatot nem jelent, mert például a jogosulatlan
harmadik személlyel közölt személyes adathoz e személy hozzáférni (titkosítás
okán) nem tud, és az adatkezelő birtokában van az érintett személyes adatokról
másolat;
b) az adatvédelmi incidens lehetőségéről való tudomásszerzést követően
haladéktalanul megtett intézkedések eredményeként a magas kockázat
lehetősége fel sem került;
c) az adatvédelmi incidens eredményeként előállt kockázat egyéb okból nem
tekinthető magasnak.
174. Az Adatkezelési felelős a 163 - 164 . pontokban meghatározott bejelentési és
tájékoztatási kötelezettsége teljesítésével egyidőben, a vizsgálat eredményének
megismerését követően haladéktalanul köteles megtenni minden intézkedést, amely a
biztonság sérülését és az adatvédelmi incidenst megszünteti. Ennek keretében az
Adatkezelési felelős - lehetőségeihez és a körülményekhez képest - köteles az
adatvédelmi incidensben érintett személyes adatok integritását, hozzáférhetőségét,
és bizalmasságát helyreállítani. Az Adatkezelési felelős a megtett intézkedéseiről
jelentést köteles készíteni a Társaság ügyvezetése részére a jelen Szabályzat 22. sz.
mellékletében meghatározott minta felhasználásával.
X. Jogorvoslat
175. Amennyiben a személyes adat jogosultja a személyes adatai kezelése
vonatkozásában azt tapasztalja, hogy a Társaság megsérti az adatvédelmi
jogszabályokban meghatározottakat, úgy jogai védelme érdekében jogorvoslati
kérelemmel fordulhat a területileg illetékes bírósághoz, vagy a Nemzeti Adatvédelmi
és Információszabadság Hatósághoz.
176. A Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségei:
Székhely: 1125 Budapest, Szilágyi Erzsébet fasor 22/C.
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
Elektronikus elérhetőség: ugyfelszolgalat@naih.hu
Weboldal: http://naih.hu
XI. Záró rendelkezések
177. A jelen Szabályzat 2018. május 25. napjától hatályos. A Szabályzatot a
hatályba lépését követően keletkező, illetve olyan már fennálló jogviszonyokra kell
alkalmazni, amelyekben adatkezelés 2018. május 25. napját követően történik.
178. A jelen Szabályzat hatályba lépéséről, illetve annak alkalmazásáról a
Társaság köteles minden ügyfelét, illetve a Társasággal egyéb jogviszony
létesítő természetes személy figyelmét felhívni, illetve a jelen Szabályzatot
számukra köteles elérhetővé tenni.
Budapest, 2018. május 24.
Eleven Patika
Korlátolt felelősségű Társaság
