Adatkezelési tájékoztató
Részletes tájékoztatás arról, hogy a LélekbőlAlkotva weboldal és webshop milyen személyes adatokat kezel, milyen célból, milyen jogalapon, meddig őrzi meg, kinek továbbíthatja, és hogyan gyakorolhatod az adatvédelmi jogaidat.
A webshop nem kér különleges személyes adatot, személyi igazolvány számot vagy más, a vásárláshoz nem szükséges azonosító okmányadatot. Kérjük, megjegyzésben és üzenetben se küldj egészségügyi, vallási, politikai vagy más érzékeny adatot, ha az ügyintézéshez nem szükséges.
Az adatkezelő adatai
A weboldalon és a webshopban megvalósuló adatkezelések adatkezelője:
A Rackhost Zrt. a tárhelyet, adatbázis-kiszolgálást és levelezési infrastruktúrát biztosítja. Az adatkezelő határozza meg a webshopban végzett adatkezelések célját és lényeges eszközeit.
Adatkezelési elvek és jogalapok
Az adatkezelő a személyes adatokat jogszerűen, tisztességesen és átlátható módon, meghatározott célból, a szükséges mértékben, lehetőség szerint pontosan és csak a szükséges ideig kezeli. A személyes adatok bizalmasságát és sértetlenségét megfelelő technikai és szervezési intézkedésekkel védi.
2.1. Alkalmazott jogalapok
| Jogalap | Mikor alkalmazzuk? | Példák |
|---|---|---|
|
Szerződés teljesítése GDPR 6. cikk (1) b) |
Ha az adatkezelés a szerződés megkötéséhez, teljesítéséhez vagy az érintett kérésére tett szerződéskötést megelőző lépéshez szükséges. | Fiók, kosár, rendelés, fizetési és szállítási ügyintézés, egyedi ajánlatkérés. |
|
Jogi kötelezettség GDPR 6. cikk (1) c) |
Ha jogszabály írja elő az adatok megőrzését vagy továbbítását. | Számlázás, adózási bizonylatok, hatósági megkeresések, fogyasztói panaszok megőrzése. |
|
Jogos érdek GDPR 6. cikk (1) f) |
Ha az adatkezelő vagy harmadik fél jogos érdeke szükségessé teszi az adatkezelést, és az érintett érdekei nem élveznek elsőbbséget. | IT-biztonság, visszaélés-megelőzés, igényérvényesítés, naplózás, ügyfélszolgálat, moderálás. |
|
Hozzájárulás GDPR 6. cikk (1) a) |
Ha az érintett önkéntesen, konkrétan és megfelelő tájékoztatás alapján hozzájárul. | Készletértesítés, értékelés közzététele, opcionális sütik vagy későbbi hírlevél. |
2.2. Kötelező és önkéntes adatok
A kötelező mezőket a felület csillaggal vagy technikai ellenőrzéssel jelöli. Ha a választott funkcióhoz vagy a szerződéshez szükséges adatot nem adod meg, a felhasználói fiók létrehozása, a vendég- vagy bejelentkezett rendelés, a számlázás vagy a szállítás nem teljesíthető. A nem kötelező adat elmaradása nem jár hátránnyal.
2.3. Különleges adatok
A webshop nem kér a GDPR 9. cikke szerinti különleges személyes adatokat és nem kezel büntetőjogi felelősségre vonatkozó adatokat. Az ilyen adatok önkéntes elküldése kerülendő.
Weboldallátogatás, szervernaplók és biztonság
A weboldal megnyitásakor a böngésző és a kiszolgáló között technikailag szükséges adatok kerülhetnek továbbításra és naplózásra.
| Kezelt adatok | Cél | Jogalap | Megőrzés |
|---|---|---|---|
| IP-cím, időpont, kért URL, HTTP státusz, böngésző- és eszközinformáció, hivatkozó oldal, technikai hibainformáció. | A weboldal kiszolgálása, működés ellenőrzése, informatikai biztonság, visszaélés és támadás felismerése. | Jogos érdek – GDPR 6. cikk (1) f). | Főszabály szerint legfeljebb 30 nap; biztonsági eseménynél az ügy lezárásáig és az igényérvényesítéshez szükséges ideig. |
A jogos érdek az online szolgáltatás biztonságos és megbízható működtetése, a jogosulatlan hozzáférés, automatizált támadás, csalás és hibakeresés kezelése. A naplóadatokat nem használjuk közvetlen üzletszerzési profilalkotásra.
Vendégvásárlás, regisztráció és bejelentkezés
4.1. Vásárlás vendégként
A webshopban felhasználói fiók létrehozása és bejelentkezés nélkül, vendégként is lehet kosarat összeállítani és rendelést leadni. A vendégvásárlás során nem keletkezik jelszóval védett felhasználói profil és rendelési előzménylista.
- Kezelt adatok: a pénztárban megadott név, email cím, telefonszám, szállítási és számlázási adatok; a rendeléshez kapcsolódó vásárlótípus-jelölés, rendelési azonosító, technikai vendégkosár-azonosító, valamint a vendégrendelés biztonságos megnyitásához használt véletlen token adatbázisban tárolt kriptográfiai lenyomata.
- Cél: a vendégkosár elkülönítése, a rendelés létrehozása és teljesítése, visszaigazolás, számlázás, szállítás, ügyfélszolgálat és a rendeléshez való jogosulatlan hozzáférés megelőzése.
- Jogalap: szerződéskötést megelőző lépések és a szerződés teljesítése – GDPR 6. cikk (1) b); informatikai biztonságnál jogos érdek – GDPR 6. cikk (1) f).
- Megőrzés: a vendégkosár a technikai lejáratig, kiürítésig vagy rendelésig; a létrejött rendelés adatai és a hozzá tartozó tokenlenyomat a rendelési és szerződéses adatok megőrzési idejéig.
A visszaigazoló email a vendégrendelés megtekintésére szolgáló egyedi hivatkozást tartalmazhat. A nyers hozzáférési token nem kerül olvasható formában az adatbázisba; ott annak kriptográfiai lenyomata található. A hivatkozást nem szabad másnak továbbítani.
4.2. Regisztráció és fiókkezelés
A felhasználói fiók létrehozása önkéntes. A fiók a bejelentkezést, a mentett címek, kedvencek és rendelési előzmények használatát, valamint a későbbi vásárlások gyorsabb kitöltését teszi lehetővé.
- Kezelt adatok: vezetéknév, keresztnév, email cím, telefonszám, jelszó biztonságos hash-e, email-igazolási állapot, fiókazonosító, létrehozási és módosítási idő.
- Cél: fiók létrehozása, azonosítás, bejelentkezés, rendelési előzmények és személyre szabott szolgáltatások biztosítása.
- Jogalap: szerződés teljesítése, GDPR 6. cikk (1) b).
- Megőrzés: a fiók fennállásáig; tartós inaktivitás esetén főszabály szerint legfeljebb 5 év után felülvizsgálható és törölhető, ha kötelező megőrzés vagy jogi igény nem indokolja a további kezelést.
4.3. Email-cím megerősítése
Ez az adatkezelés csak a felhasználói fiókot létrehozó személyekre vonatkozik; vendégvásárláshoz regisztrációs email-igazolás nem szükséges.
- Kezelt adatok: email cím, egyszer használatos igazoló token, lejárati idő.
- Cél: az email cím működőképességének és a regisztráció kezdeményezőjének ellenőrzése.
- Jogalap: szerződés teljesítése és jogos érdek a visszaélések megelőzésére.
- Megőrzés: sikeres igazolásig vagy a token lejártáig; a token jellemzően 24 óráig használható.
4.4. Jelszó-visszaállítás
A jelszó-visszaállítás kizárólag regisztrált fiókhoz kapcsolódik.
- Kezelt adatok: email cím, egyszer használatos visszaállítási token és lejárati idő.
- Cél: biztonságos fiók-helyreállítás.
- Jogalap: szerződés teljesítése és jogos érdek.
- Megőrzés: felhasználásig vagy lejáratig; a token jellemzően 1 óráig használható.
A rendszer a jelszót nem visszafejthető formában, kriptográfiai hash-ként tárolja. Az adatkezelő a felhasználó eredeti jelszavát nem ismeri és nem tudja emailben megküldeni.
Profiladatok és mentett címek
Ez a fejezet kizárólag a regisztrált felhasználókra vonatkozik. A felhasználói profil a következő rendelések megkönnyítésére mentett szállítási és számlázási címeket kezelhet. Vendégvásárláskor nem jön létre újrafelhasználható profil vagy mentett címjegyzék; a megadott címadatok az adott rendelés pillanatképében maradnak meg.
- Kezelt adatok: név, cégnév, adószám, ország, irányítószám, település, utca, házszám, emelet/ajtó, alapértelmezett cím jelölése.
- Cél: a pénztár gyorsabb kitöltése, számlázási és szállítási adatok kezelése.
- Jogalap: szerződés teljesítése – GDPR 6. cikk (1) b).
- Megőrzés: a cím felhasználó általi törléséig vagy a fiók megszűnéséig. A korábbi rendelésbe rögzített címadatok a rendelési és számlázási megőrzési idő alatt külön megmaradhatnak.
Céges számlázásnál a cégnév és adószám jogi személyhez kapcsolódhat, de az egyéni vállalkozó neve, címe és adószáma természetes személyhez köthető személyes adatnak minősülhet.
Kosár, kedvencek és kuponhasználat
6.1. Kosár
- Kezelt adatok: regisztrált vásárlónál felhasználói azonosító; vendégnél a PHP munkamenethez kapcsolt véletlen technikai vendégkosár-azonosító és annak adatbázisban tárolt hash-e; továbbá kosárazonosító, termék- és variánsazonosító, mennyiség, rögzített ár, létrehozási és módosítási idő.
- Cél: a kiválasztott termékek megőrzése, a kosár megfelelő vásárlóhoz vagy vendég munkamenethez kapcsolása és a rendelés előkészítése.
- Jogalap: szerződéskötést megelőző lépések – GDPR 6. cikk (1) b); a munkamenet és a visszaélés elleni védelem esetén jogos érdek – GDPR 6. cikk (1) f).
- Megőrzés: a kosár kiürítéséig, rendelésig, a regisztrált fiók törléséig vagy az inaktív kosár technikai lejártáig; a jelenlegi beállítás szerinti lejárat: 1 nap.
A vendégkosár technikai azonosítója önmagában nem tartalmaz nevet, email címet vagy jelszót, de a munkamenettel és a kosár tartalmával összekapcsolva személyes adatnak minősülhet.
6.2. Kedvencek
A kedvencek funkció jelenleg regisztrált és bejelentkezett felhasználóhoz kapcsolódik.
- Kezelt adatok: felhasználói azonosító, termékazonosító, mentés időpontja.
- Cél: a kiválasztott termékek személyes listában történő tárolása.
- Jogalap: szerződés teljesítése – GDPR 6. cikk (1) b).
- Megőrzés: a kedvenc törléséig vagy a fiók megszűnéséig.
6.3. Kupon és kedvezmény
- Kezelt adatok: kuponazonosító és kód, rendelési azonosító, használat időpontja és kedvezmény összege; regisztrált vásárlónál felhasználói azonosító, vendégnél a pénztárban megadott, normalizált email cím SHA-256 eljárással képzett lenyomata.
- Cél: kedvezmény érvényesítése, jogosultság és használati korlát ellenőrzése, ugyanazon kupon jogosulatlan ismételt felhasználásának és más visszaélésnek a megelőzése.
- Jogalap: szerződés teljesítése – GDPR 6. cikk (1) b), valamint a kuponfeltételek betartásához és visszaélés-megelőzéshez fűződő jogos érdek – GDPR 6. cikk (1) f).
- Megőrzés: a kapcsolódó rendelési adatok megőrzéséig, illetve jogvita esetén az igény elévüléséig.
A vendég email-címéből képzett lenyomat álnevesített, nem pedig anonim adat: az eredeti email cím nem kerül a kuponhasználati rekordba, de a lenyomat azonos kuponnál lehetővé teszi az ismételt használat felismerését.
Rendelés, szerződés és teljesítés
A rendelés leadásakor a rendszer a szerződés teljesítéséhez szükséges adatokat a rendelés pillanatában külön rögzíti. Ez regisztrált és vendégvásárlásnál egyaránt biztosítja, hogy a későbbi profilmódosítás vagy munkamenet-megszűnés ne írja át a már létrejött rendelés adatait.
| Adatkategória | Kezelt adatok | Cél |
|---|---|---|
| Azonosítás és kapcsolattartás | Rendelési azonosító, vásárlótípus; regisztrált vásárlónál felhasználói azonosító; vendégnél külön tárolt email cím és a biztonságos rendelésmegtekintési token kriptográfiai lenyomata; továbbá név és telefonszám. | A rendelés azonosítása, visszaigazolás, kapcsolattartás és a rendeléshez való jogosulatlan hozzáférés megelőzése. |
| Szállítás | Szállítási név, ország, irányítószám, település, utca, házszám, emelet/ajtó, telefon; csomagpont/automata neve, címe, azonosítója. | Kézbesítés és nyomkövetés. |
| Számlázás | Számlázási név, cím, cégnév, adószám. | Számlakiállítás és adózási kötelezettségek. |
| Rendelési tartalom | Termékek, variánsok, mennyiség, ár, kedvezmény, szállítási és utánvéti díj, végösszeg. | A szerződés tartalmának bizonyítása és teljesítése. |
| Fizetés és státusz | Fizetési mód, fizetési állapot, határidő, rendelési állapotok, időbélyegek. | Fizetés nyomon követése, rendelés feldolgozása. |
| Megjegyzések és ügyintézés | Vásárlói megjegyzés, adminisztrációs megjegyzés, állapotnapló. | Egyedi kérés teljesítése, belső ügyintézés, jogvita bizonyítása. |
- Jogalap: GDPR 6. cikk (1) b) – szerződés teljesítése; számlázási és hatósági adatoknál GDPR 6. cikk (1) c); igényérvényesítésnél GDPR 6. cikk (1) f).
- Megőrzés: a szerződés teljesítésétől, megszűnésétől vagy törlésétől számított 5 év, illetve jogvita esetén annak jogerős lezárásáig; a számlaadatokra hosszabb kötelező idő vonatkozhat.
A rendelési megjegyzésbe csak a teljesítéshez szükséges információt írd. Ne adj meg más személyre vonatkozó adatot az érintett hozzájárulása vagy megfelelő jogalap nélkül.
Fizetés, banki adatok és elektronikus számlázás
8.1. Banki átutalás
Banki átutalás esetén az adatkezelő a rendelési azonosítót, összeget, fizetési státuszt és az üzleti bankszámlán megjelenő tranzakciós adatokat kezeli. A bank a saját adatkezelési szabályai szerint önálló adatkezelőként jár el.
- Cél: a fizetés azonosítása és a szerződés teljesítése.
- Jogalap: GDPR 6. cikk (1) b), valamint adózási bizonylatoknál 6. cikk (1) c).
8.2. Utánvét
Utánvét esetén a fizetendő összeg, címzett és kézbesítési adatok a szállítási szolgáltatóhoz kerülnek. A szállítási szolgáltató az utánvét beszedésével és elszámolásával kapcsolatos adatokat saját jogszabályi és szerződéses kötelezettségei szerint kezeli.
8.3. Számlázz.hu
Az elektronikus számla kiállításához és megküldéséhez a KBOSS.hu Kft. által működtetett Számlázz.hu szolgáltatás kerül igénybevételre. A számlázó rendszer részére a számla kötelező és szükséges adatai – név, cím, cégnév, adószám, email, rendelési tételek és összegek – kerülhetnek továbbításra. A számlaadatok a NAV Online Számla rendszerébe jogszabály alapján továbbíthatók.
- Cél: számla létrehozása, kézbesítése, megőrzése és adatszolgáltatás.
- Jogalap: GDPR 6. cikk (1) c) – jogi kötelezettség.
- Megőrzés: a számla és a kapcsolódó bizonylati adatok főszabály szerint 8 évig, illetve ha az adómegállapításhoz való jog később évül el, az elévülésig.
Szállítás és átvételi helyek
9.1. FoxPost szállítás
FoxPost-szállítás választásakor a kézbesítéshez szükséges adatokat a FoxPost Kft. részére továbbítjuk.
- Adatok: címzett neve, címe vagy választott átvételi helye, telefonja, email címe, csomag- és rendelési hivatkozás, utánvét összege, választott többletszolgáltatások.
- Cél: csomagfeladás, csomagautomatába, csomagpontra vagy címre kézbesítés, címzettértesítés, utánvét, nyomkövetés, reklamáció.
- Jogalap: szerződés teljesítése – GDPR 6. cikk (1) b).
9.2. FoxPost automata, csomagpont és átvételi hely
FoxPost automata, csomagpont vagy más átvételi hely választásakor a kiválasztott átvételi hely azonosítója, neve és címe, valamint a címzett elérhetősége kerül a rendeléshez és a FoxPost adatállományába. Az értesítéshez telefonszám és email cím szükséges lehet.
9.3. Helyi kiszállítás
Saját helyi kiszállítás esetén az adatokat az adatkezelő használja az útvonal, időpont-egyeztetés és átadás céljára; külön futárszolgálat részére adattovábbítás nem történik, kivéve, ha erről a Vásárló előzetes tájékoztatást kap.
Kapcsolatfelvétel, ügyfélüzenetek, ajánlatkérés és panaszkezelés
10.1. Kapcsolati beszélgetések
- Kezelt adatok: név, email, opcionális telefon, tárgy, üzenet tartalma, beszélgetési token, státusz, időpontok és válaszüzenetek.
- Cél: kérdés, ajánlatkérés, egyedi megrendelés, reklamáció vagy ügyfélszolgálati ügy kezelése.
- Jogalap: szerződéskötést megelőző lépések vagy szerződés teljesítése – GDPR 6. cikk (1) b); általános érdeklődésnél és ügyintézési dokumentációnál jogos érdek – 6. cikk (1) f).
- Megőrzés: az ügy lezárásától számított főszabály szerint 1 év; szerződéshez, panaszhoz vagy jogvitához kapcsolódó ügyben a vonatkozó hosszabb idő.
10.2. Fogyasztói panasz
A fogyasztói panaszt, az arra adott választ és a kapcsolódó dokumentációt az adatkezelő a fogyasztóvédelmi szabályok alapján 3 évig őrzi.
10.3. Telefonos és személyes megkeresés
Telefonos ügyintézésnél a hívás hangját az adatkezelő nem rögzíti, kivéve, ha erről külön, előzetes tájékoztatást ad. A szükséges ügyintézési adatokat belső jegyzetben vagy rendelési megjegyzésben rögzítheti.
Készletértesítés és szolgáltatási emailek
11.1. Készletértesítés
- Kezelt adatok: név, email cím, felhasználói azonosító, termék- és variánsazonosító, egyszer használatos token, státusz, IP-cím, böngészőazonosító és időpont.
- Cél: egyszeri értesítés küldése, ha a kiválasztott termék újra elérhető; visszaélés megelőzése és a kérés igazolása.
- Jogalap: hozzájárulás – GDPR 6. cikk (1) a); biztonsági naplózásnál jogos érdek – 6. cikk (1) f).
- Megőrzés: az értesítés elküldéséig vagy a kérés visszavonásáig; a lezárás és küldés igazolása legfeljebb 1 évig.
A hozzájárulás az értesítés előtt bármikor visszavonható az adatvédelmi email címen. A visszavonás nem érinti a korábbi adatkezelés jogszerűségét.
11.2. Tranzakciós emailek
Az email-igazolás, jelszó-visszaállítás, rendelés-visszaigazolás, utalási adatok, fizetési visszaigazolás, rendelési állapot, számla, elállás és adatvédelmi kérelem visszaigazolása nem marketingüzenet, hanem a fiók vagy szerződés működéséhez kapcsolódó értesítés.
11.3. Hírlevél
A webshop jelenleg nem működtet általános marketing-hírlevelet. Ha a jövőben hírlevél indul, az kizárólag külön, önkéntes hozzájárulással történhet, és a tájékoztató a szolgáltatás indulása előtt frissítésre kerül.
Termékértékelések és moderálás
- Kezelt adatok: felhasználói azonosító, termékazonosító, opcionális rendelési azonosító, csillagszám, szöveges értékelés, beküldési idő, moderálási állapot és moderáló admin azonosítója.
- Nyilvánosan megjelenő adat: a név rövidített formája, csillagszám, értékelés szövege és dátuma.
- Cél: vásárlói tapasztalat megosztása, termékek értékelése, jogsértő vagy spam tartalom moderálása.
- Jogalap: közzétételnél hozzájárulás – GDPR 6. cikk (1) a); moderálásnál és visszaélés-megelőzésnél jogos érdek – 6. cikk (1) f).
- Megőrzés: a hozzájárulás visszavonásáig, az értékelés törléséig vagy a termékoldal megszűnéséig; elutasított értékelés és moderálási bizonyíték legfeljebb 1 évig.
A hozzájárulás visszavonása esetén az értékelés nyilvános megjelenítését megszüntetjük, kivéve, ha más jogalap indokolja egy minimális bizonyítási adat átmeneti megőrzését.
Sütik, munkamenet és böngészőoldali tárolás
A süti kis adatfájl, amelyet a weboldal a böngészőben tárol. A működéshez feltétlenül szükséges sütik nélkül a bejelentkezés, a vendégkosár elkülönítése, a biztonsági ellenőrzés, a kosár és az űrlapkezelés nem működhet megfelelően.
| Eszköz | Cél és tartalom | Jogalap | Időtartam |
|---|---|---|---|
| PHP munkamenet-süti jellemző név: PHPSESSID |
A munkamenet azonosítása, bejelentkezés, CSRF-védelem, regisztrált vagy vendégkosár működése és az űrlapok kezelése. Vendégnél a szerveroldali munkamenet egy véletlen kosárazonosítóhoz kapcsolódhat. A süti nem tartalmazza közvetlenül a jelszót, a teljes profilt vagy a teljes rendelési adatokat. | A kifejezetten kért elektronikus szolgáltatás technikai biztosítása; GDPR 6. cikk (1) b) és f). | A böngésző munkamenetéig vagy a szerveroldali lejáratig, jelenleg körülbelül 8 óra. |
| sessionStorage | Például a bejelentkezés utáni visszatérési oldal ideiglenes megjegyzése. | Szerződés teljesítése és a felhasználó által kért funkció biztosítása. | Az adott böngészőlap vagy böngészési munkamenet bezárásáig. |
| Opcionális sütik | Statisztikai, marketing- vagy kényelmi célú, nem feltétlenül szükséges sütik, ha később ilyen szolgáltatás kerül bevezetésre. | Előzetes hozzájárulás – GDPR 6. cikk (1) a). | A süti beállítása szerint; a hozzájárulás bármikor visszavonható. |
A szükséges sütik letiltása a webshop alapfunkcióinak működését megakadályozhatja. A nem szükséges sütik elutasítása nem akadályozhatja a webshop alapvető használatát.
Külső betűkészletek és tartalomszolgáltató hálózatok
14.1. Google Fonts
A weboldal egyes oldalai a Google Fonts szolgáltatásból tölthetnek be betűkészleteket. A látogató böngészője ilyenkor közvetlenül a Google szerveréhez kapcsolódik, és technikailag továbbítja az IP-címet, a kért erőforrás URL-jét, a böngésző- és operációsrendszer-adatokat, valamint a hivatkozó oldalt. A Google tájékoztatása szerint a Google Fonts API nem helyez el sütit és az adatokat nem használja célzott hirdetési profil létrehozására.
- Cél: egységes tipográfia és technikailag optimalizált betűkészlet-kiszolgálás.
- Jogalap: jogos érdek – GDPR 6. cikk (1) f), az adattakarékos megvalósítás rendszeres felülvizsgálata mellett.
14.2. cdnjs / Cloudflare
Egyes nyílt forráskódú stílus- vagy JavaScript-fájlok a cdnjs szolgáltatásból tölthetők be, amelyet a Cloudflare infrastruktúrája szolgál ki. A hálózati kapcsolat során IP-cím, időpont, kért fájl, böngésző- és technikai fejlécadat kerülhet a szolgáltatóhoz.
- Cél: gyors és megbízható erőforrás-kiszolgálás.
- Jogalap: jogos érdek – GDPR 6. cikk (1) f).
Adatvédelmi szempontból a legkisebb adattovábbítással járó megoldás a betűkészletek és JavaScript-könyvtárak saját Rackhost tárhelyről történő kiszolgálása. Ha ez megtörténik, a jelen fejezetet frissíteni kell.
Címzettek, adatfeldolgozók és önálló adatkezelők
Az adatkezelő csak a célhoz szükséges adatot és csak a szükséges címzett részére adja át. Az adatfeldolgozó az adatkezelő utasításai alapján jár el; egyes szolgáltatók saját jogi kötelezettségeik tekintetében önálló adatkezelők is lehetnek.
| Szolgáltató / címzett | Szerep és szolgáltatás | Átadott vagy hozzáférhető adatok |
|---|---|---|
|
Rackhost Zrt. 6722 Szeged, Tisza Lajos körút 41. info@rackhost.hu |
Tárhely-, adatbázis-, domain- és email-infrastruktúra; adatfeldolgozó. | A tárhelyen és adatbázisban tárolt adatok, emailforgalom, technikai naplóadatok és biztonsági mentések a szolgáltatás nyújtásához szükséges mértékben. |
|
KBOSS.hu Kft. – Számlázz.hu 1031 Budapest, Záhony utca 7. info@szamlazz.hu |
Elektronikus számlázás, számlaarchiválás és NAV-adatszolgáltatás; adatfeldolgozó és egyes jogi kötelezettségei tekintetében önálló adatkezelő. | Számlázási név és cím, cégnév, adószám, email, termék- és díjadatok, számlaazonosítók. |
|
FoxPost Kft. 1097 Budapest, Könyves Kálmán körút 12-14. dpo@foxpost.hu |
Csomagszállítás, csomagautomata, csomagpont, nyomkövetés, címzettértesítés és utánvét; a postai szolgáltatás tekintetében önálló adatkezelő. | Név, cím vagy átvételi hely, telefon, email, csomagazonosító, utánvét összege, kézbesítési események. |
| Google LLC / Google Ireland Limited | Google Fonts betűkészlet-kiszolgálás. | IP-cím, kért erőforrás, böngésző- és hivatkozási fejlécadatok. |
| Cloudflare, Inc. / cdnjs | Nyílt forráskódú webes erőforrások CDN-kiszolgálása. | IP-cím, időpont, kért fájl, technikai fejlécadatok. |
| OTP Bank Nyrt. és a fizetésben részt vevő bankok | Átutalás és pénzforgalmi szolgáltatás; önálló adatkezelők. | Számlatulajdonos, bankszámla, összeg, közlemény, tranzakció időpontja és azonosítója. |
| Nemzeti Adó- és Vámhivatal | Jogszabályon alapuló számla-adatszolgáltatás és hatósági ellenőrzés. | A jogszabályban meghatározott számlaadatok. |
| Hatóságok, bíróságok, jogi vagy könyvelési közreműködők | Jogi kötelezettség, hatósági megkeresés vagy igényérvényesítés esetén. | Csak a konkrét eljáráshoz szükséges adatok. |
Adattovábbítás az Európai Gazdasági Térségen kívülre
A Rackhost, a Számlázz.hu és a magyarországi FoxPost-szolgáltatás alapvetően magyarországi vagy EGT-n belüli szolgáltatást nyújt. Külső globális szolgáltatók – különösen Google, Cloudflare és aktív bankkártyás fizetés esetén Stripe-csoporttagok – közreműködése során az adatok az EGT-n kívüli országban is hozzáférhetővé válhatnak.
Ilyen adattovábbítás csak a GDPR V. fejezete szerinti garancia mellett történhet, így különösen megfelelőségi határozat, EU–USA Adatvédelmi Keretrendszer, általános szerződési feltételek vagy más megfelelő garancia alapján.
A külső erőforrások saját tárhelyre költöztetése csökkenti a harmadik országbeli adattovábbítások számát és adatvédelmi kockázatát.
Megőrzési idők összefoglalása
A megőrzési idő lejárta után az adat törlésre, anonimizálásra vagy – ha jogi kötelezettség indokolja – elkülönített, korlátozott hozzáférésű megőrzésre kerül.
| Adatkezelés | Fő megőrzési idő / törlési feltétel |
|---|---|
| Webszerver- és biztonsági naplók | Főszabály szerint 30 nap; incidensnél az ügy lezárásáig. |
| Munkamenet és CSRF-token | A munkamenet végéig vagy körülbelül 8 óráig. |
| Email-igazolási token | Felhasználásig vagy jellemzően 24 órás lejáratig. |
| Jelszó-visszaállítási token | Felhasználásig vagy jellemzően 1 órás lejáratig. |
| Felhasználói fiók | Törlésig; tartós inaktivitásnál főszabály szerint 5 év után felülvizsgálható. |
| Mentett címek, kedvencek | Felhasználói törlésig vagy a fiók megszűnéséig. |
| Regisztrált vagy vendégkosár és technikai kosárazonosító | Jelenlegi technikai beállítás szerint 1 nap, illetve kiürítésig, rendelésig vagy kézi törlésig. |
| Vendég kuponhasználati email-lenyomat | A kapcsolódó rendelési és kuponhasználati adatok megőrzési idejéig, illetve jogvita esetén az igény elévüléséig. |
| Vendégrendelés biztonsági tokenjének hash-e | A kapcsolódó rendelési és szerződéses adatok megőrzési idejéig. |
| Rendelési és szerződéses adatok | Főszabály szerint a teljesítéstől vagy megszűnéstől számított 5 év; jogvita esetén annak lezárásáig. |
| Számla és adóbizonylat | Főszabály szerint 8 év, illetve az adómegállapításhoz való jog későbbi elévülése esetén addig. |
| Fogyasztói panasz | 3 év. |
| Általános kapcsolatfelvétel | Az ügy lezárásától számított főszabály szerint 1 év; szerződés vagy jogvita esetén hosszabb. |
| Készletértesítés | Küldésig vagy visszavonásig; a lezárt kérés technikai bizonyítéka legfeljebb 1 év. |
| Közzétett értékelés | Törlésig, hozzájárulás-visszavonásig vagy a termékoldal megszűnéséig. |
| Elutasított értékelés, moderálási napló | Legfeljebb 1 év. |
| Adatvédelmi kérelem és válasz | Az ügy lezárásától számított 5 év, az elszámoltathatóság és igényérvényesítés miatt. |
| Anonimizált statisztika | Időkorlát nélkül, ha természetes személyhez már nem kapcsolható. |
Az érintett jogai
18.1. Tájékoztatás és hozzáférés
Kérheted annak megerősítését, hogy kezelünk-e rólad személyes adatot, és ha igen, hozzáférést kérhetsz az adatokhoz, az adatkezelés céljához, kategóriáihoz, címzettjeihez, megőrzési idejéhez, az adatok forrásához és a jogaidhoz. Másolatot is kérhetsz.
18.2. Helyesbítés
Kérheted a pontatlan adat helyesbítését és a hiányos adat kiegészítését. Regisztrált felhasználóként a profilban több adat közvetlenül is módosítható; vendégrendelés adatainak javítását a rendelési azonosító megadásával kérheted.
18.3. Törlés
Kérheted a személyes adat törlését, ha az adatkezelés célja megszűnt, visszavonod a hozzájárulást és nincs más jogalap, jogosan tiltakozol, vagy az adatkezelés jogellenes. A törlési jog nem korlátlan: nem törölhető az adat, ha jogi kötelezettség, jogi igény előterjesztése, érvényesítése vagy védelme indokolja a megőrzést.
18.4. Korlátozás
Kérheted az adatkezelés korlátozását például akkor, ha vitatod az adat pontosságát, az adatkezelés jogellenes, de törlés helyett korlátozást kérsz, vagy az adat jogi igényhez szükséges.
18.5. Adathordozhatóság
A hozzájáruláson vagy szerződésen alapuló, automatizált adatkezelésnél kérheted, hogy az általad megadott adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapd, vagy – ha technikailag megvalósítható – más adatkezelőnek továbbítsuk.
18.6. Tiltakozás
Jogos érdeken alapuló adatkezelés ellen a saját helyzeteddel kapcsolatos okból tiltakozhatsz. Ilyenkor az adatkezelést megszüntetjük, kivéve, ha kényszerítő erejű jogos okot vagy jogi igényt tudunk igazolni. Közvetlen üzletszerzés ellen bármikor, indokolás nélkül tiltakozhatsz.
18.7. Hozzájárulás visszavonása
A hozzájárulás bármikor visszavonható. A visszavonás nem érinti az azt megelőző adatkezelés jogszerűségét.
18.8. Válaszadási határidő és azonosítás
A kérelmet indokolatlan késedelem nélkül, főszabály szerint a beérkezéstől számított egy hónapon belül megválaszoljuk. Összetett vagy nagy számú kérelem esetén ez további két hónappal meghosszabbítható; erről egy hónapon belül tájékoztatást adunk.
Ha megalapozott kétség merül fel a kérelmező személyazonosságával kapcsolatban, a jogok védelme érdekében arányos azonosítást kérhetünk. Azonosító okmány teljes másolatát csak kivételesen és a szükséges adatok kitakarásával kérjük.
18.9. Díj
A kérelem teljesítése főszabály szerint díjmentes. Nyilvánvalóan megalapozatlan vagy ismétlődő jelleg miatt túlzó kérelem esetén észszerű díj számítható fel vagy a kérelem teljesítése megtagadható, amelynek indokát az adatkezelő igazolja.
18.10. Panasz és bírósági jogorvoslat
Panasz benyújtása mellett bírósághoz is fordulhatsz. A pert választásod szerint az adatkezelő székhelye vagy a saját lakóhelyed/tartózkodási helyed szerinti törvényszék előtt is megindíthatod a vonatkozó jogszabályok szerint.
Adatvédelmi kérelem online benyújtása
Az alábbi űrlappal hozzáférési, helyesbítési, törlési, korlátozási, hordozhatósági vagy tiltakozási kérelmet küldhetsz. A sikeres beküldésről emailes átvételi visszaigazolást kapsz.
Biztonsági okból az űrlap elküldése nem törli automatikusan a fiókot, a vendégrendelést vagy más rendelési adatokat. A kérelem teljesítése előtt ellenőrizzük a kérelmező jogosultságát és a kötelező megőrzési időket.
Adatbiztonság és adatvédelmi incidens
20.1. Alkalmazott intézkedések
Az adatkezelő a kockázatokhoz igazodó intézkedéseket alkalmaz, különösen:
- TLS/HTTPS titkosított adatátvitel;
- jelszavak egyirányú kriptográfiai hash-elése;
- CSRF-tokenek, munkamenet-kezelés és jogosultságellenőrzés;
- előkészített adatbázis-lekérdezések és bemeneti validálás;
- adminisztrációs hozzáférés korlátozása és naplózása;
- frissítések, biztonsági mentések és hozzáférés-visszavonás;
- az adatfeldolgozók szerződéses és biztonsági feltételeinek ellenőrzése.
Az internetes adattovábbítás teljes kockázatmentessége nem garantálható, de az adatkezelő észszerű és arányos intézkedésekkel törekszik a jogosulatlan hozzáférés, módosítás, elvesztés és nyilvánosságra kerülés megelőzésére.
20.2. Adatvédelmi incidens
Adatvédelmi incidens lehet a személyes adatok véletlen vagy jogellenes megsemmisülése, elvesztése, megváltoztatása, jogosulatlan közlése vagy hozzáférhetővé válása. Az adatkezelő az incidenst dokumentálja, kivizsgálja, kockázatot értékel, és ha a GDPR feltételei fennállnak, a NAIH részére lehetőség szerint 72 órán belül bejelenti. Magas kockázat esetén az érintetteket is indokolatlan késedelem nélkül tájékoztatja.
Gyermekek személyes adatai
A webshop nem kifejezetten gyermekeknek szól, és a rendelés leadása nagykorú, cselekvőképes személy számára készült. Kiskorú csak törvényes képviselő közreműködésével használhatja a vásárlási funkciókat.
Ha tudomásunkra jut, hogy gyermek személyes adata megfelelő jogalap nélkül került a rendszerbe, az adatot a jogi kötelezettségek figyelembevételével töröljük vagy korlátozzuk.
Automatizált döntéshozatal és profilalkotás
A webshop jelenlegi működésében nem történik olyan kizárólag automatizált döntéshozatal, amely az érintettre nézve joghatással járna vagy hasonlóan jelentős mértékben érintené.
A rendszer automatikusan számíthat árat, kedvezményt, szállítási díjat, készletet, fizetési határidőt és rendelési státuszt, de ezek szabályalapú technikai műveletek, és szükség esetén emberi felülvizsgálat kérhető. Aktív bankkártyás fizetésnél a fizetési szolgáltató csalásmegelőzési kockázatelemzést végezhet saját tájékoztatója szerint.
A tájékoztató módosítása
Az adatkezelő a tájékoztatót módosíthatja különösen jogszabályváltozás, hatósági gyakorlat, új adatkezelés, új szolgáltató, technikai fejlesztés vagy megőrzési szabály változása esetén. Az aktuális változat a weboldalon érhető el, a hatálybalépés dátumával és verziószámmal.
Lényeges, az érintettek jogait érdemben befolyásoló változásról – ha az elérhetőségek és a körülmények lehetővé teszik – külön értesítés is küldhető.
Főbb jogforrások és szolgáltatói tájékoztatók
A tájékoztató elkészítésekor különösen az alábbi jogszabályokat és hivatalos adatvédelmi dokumentumokat vettük figyelembe:
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete – GDPR
- 2011. évi CXII. törvény – Infotv.
- 2001. évi CVIII. törvény – elektronikus kereskedelmi szolgáltatások
- 1997. évi CLV. törvény – fogyasztóvédelem
- 2017. évi CL. törvény – adózás rendje
- 2007. évi CXXVII. törvény – általános forgalmi adó
- Nemzeti Adatvédelmi és Információszabadság Hatóság
- Rackhost adatkezelési tájékoztató
- Számlázz.hu adatkezelési tájékoztató
- FoxPost adatvédelmi tájékoztató
- Google Fonts adatvédelmi tájékoztató
- Cloudflare adatvédelmi tájékoztató
A jelen tájékoztató a webshop tényleges adatbázis-mezőihez, rendelési, számlázási, emailküldési, készletértesítési, értékelési és szállítási folyamataihoz igazodik. Új funkció vagy szolgáltató bevezetése előtt adatvédelmi felülvizsgálat szükséges.