Jelen Adatvédelmi Tájékoztató célja, hogy bemutassa az ekoLogisztika Kft. által kezelt személyes adatok kezelésének módját, célját, jogalapját, valamint az érintetteket megillető jogokat.
A szolgáltató elkötelezett az adatvédelem iránt, így különösen fontosnak tartja a 2016/679. sz. Európai Általános Adatvédelmi Rendelet (GDPR) szabályainak megfelelést az általa kezelt személyes adatok (feladók, partnerek, címzettek és más személyek) kezelése terén.
Az alábbiakban tájékoztatom önt a szolgáltató jogviszonyára vonatkozó adatvédelmi rendelkezésekről.
1. Adatkezelési alapelvek
1.1. Jogszerűség, tisztességes eljárás és átláthatóság:
Az ekoLogisztika Kft. a személyes adatokat jogszerűen és tisztességesen, továbbá az érintettek számára átlátható módon kezeli. Minden adatkezelési műveletre megfelelő jogalappal rendelkezünk (pl. az érintett hozzájárulása, szerződés teljesítése vagy jogszabályi kötelezettség teljesítése), és világos, közérthető tájékoztatást nyújtunk az érintetteknek adataik felhasználásának módjáról és céljáról. Ennek köszönhetően adatkezelésünk kiszámítható és tisztességes; az érintettek számára egyértelműen nyomon követhető, hogy mi történik a személyes adataikkal.
1.2. Célhoz kötöttség:
Társaságunk a személyes adatokat kizárólag előre meghatározott, egyértelmű és jogszerű célból gyűjti, és azokat nem kezeli a gyűjtés céljával össze nem egyeztethető módon. Minden adatkezelési célt már az adatok felvételekor ismertetünk, és az adatok felhasználása ezt követően csak ezen célok elérésére korlátozódik. Például, ha ön megadja elérhetőségi adatait egy csomag kiszállítása érdekében, azokat csak a kiszállításhoz szükséges mértékben használjuk fel, és nem küldünk önnek további tájékoztatást vagy marketinganyagokat az ön előzetes hozzájárulása nélkül.
1.3. Adattakarékosság:
Adatkezelési gyakorlatunk megfelel az adattakarékosság elvének, azaz csak olyan személyes adatokat kérünk be és kezelünk, amelyek az adatkezelés céljai szempontjából megfelelőek és relevánsak, továbbá a szükséges mértékűek. Ügyelünk arra, hogy ne gyűjtsünk se túlzott mennyiségű, se a céltól független adatot; kizárólag a szolgáltatásaink nyújtásához elengedhetetlen információkat kezeljük. Például egy csomag kiszállításához szükségünk van a címére és a nevére, de nem kérjük el a születési dátumát, mivel az nem releváns a szállítás teljesítéséhez.
1.4. Pontosság:
Az ekoLogisztika Kft. folyamatosan gondoskodik arról, hogy a kezelt személyes adatok pontosak és szükség esetén naprakészek legyenek, és minden ésszerű intézkedést megteszünk a cél szempontjából pontatlan adatok haladéktalan törlése vagy helyesbítése érdekében. Amennyiben hibás vagy elavult adatot észlelünk, azt mielőbb frissítjük vagy töröljük. Szükség esetén felvesszük a kapcsolatot az érintettel az adatok pontosítása végett, ezzel is biztosítva, hogy szolgáltatásaink és döntéseink mindig megbízható, helyes információkon alapuljanak.
1.5. Korlátozott tárolhatóság:
A korlátozott tárolhatóság elvét követve személyes adatait csak addig őrizzük meg, amíg az adatkezelés céljának eléréséhez szükséges. A cél megvalósulása (vagy a jogszabályban előírt megőrzési idő letelte) után adatait biztonságosan töröljük vagy anonimizáljuk. Például a szolgáltatás nyújtásához kapcsolódó személyes adatokat a teljesítés befejezését követően csupán a számlázási, garanciális vagy egyéb jogszabályi kötelezettségek teljesítéséhez szükséges ideig tároljuk, majd véglegesen töröljük azokat belső adatmegőrzési szabályzatunkkal összhangban.
1.6. Integritás és bizalmas jelleg:
Személyes adatait úgy kezeljük, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen az adatok megfelelő biztonsága. Társaságunk fejlett adatbiztonsági megoldásokat alkalmaz (például jelszóval védett IT-rendszerek, titkosítás, hozzáférési jogosultságok korlátozása, rendszeres frissítések és biztonsági mentések) a jogosulatlan vagy jogellenes hozzáférés, továbbá a véletlen elvesztés, megsemmisítés vagy sérülés megakadályozása érdekében. Célunk, hogy megelőzzük az adatvédelmi incidenseket és garantáljuk az általunk kezelt személyes adatok bizalmasságát és sértetlenségét minden körülmények között.
1.7. Elszámoltathatóság:
Az ekoLogisztika Kft., mint adatkezelő, teljes mértékben felelős a fenti alapelvek betartásáért, és képes annak igazolására, hogy az adatkezelése megfelel e princípiumoknak. Ennek érdekében folyamatosan nyomon követjük és dokumentáljuk adatkezelési tevékenységeinket (pl. adatkezelési nyilvántartásokat vezetünk, szükség esetén adatvédelmi hatásvizsgálatot végzünk), és rendszeresen oktatjuk munkavállalóinkat az adatvédelmi előírásokról. Az elszámoltathatóság elve biztosítja, hogy Társaságunk bármikor képes legyen igazolni a felügyeleti hatóságok (pl. NAIH) felé: adatkezelési gyakorlatunk maradéktalanul megfelel a GDPR követelményeinek és a jelen tájékoztatóban foglalt elveknek.
2. Fogalommagyarázatok
A jelen tájékoztató alkalmazásában az alábbi fogalmakat a GDPR (az Európai Parlament és a Tanács (EU) 2016/679 rendelete) 4. cikkében foglalt értelmezések alapján, valamint a kapcsolódó jogszabályok figyelembevételével határozzuk meg:
Személyes adat: minden olyan információ, amely egy azonosított vagy azonosítható természetes személyre („érintett”) vonatkozik. Az azonosítható természetes személy az, aki közvetlen vagy közvetett módon azonosítható, különösen valamely azonosító, például név, azonosító szám, földrajzi helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára jellemző egy vagy több tényező alapján.
Érintett: az a természetes személy, akinek a személyes adatait az adatkezelés során kezelik. Ez lehet például a szolgáltatást megrendelő, a címzett vagy a kapcsolattartó.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit. Jelen dokumentumban az adatkezelő az ekoLogisztika Kft.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. A közhatalmi szervek, amelyek valamely egyedi vizsgálat keretében az uniós vagy tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek.
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azok felhatalmazott személyeivel.
Hozzájárulás: az érintett akaratának önkéntes, konkrét, tájékozott és egyértelmű kinyilvánítása, amellyel a rá vonatkozó személyes adatok kezeléséhez félreérthetetlen beleegyezését adja, például nyilatkozat vagy a megerősítést egyértelműen kifejező cselekedet útján.
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Profilalkotás: a személyes adatok automatizált kezelésének bármely olyan formája, amelynek célja bizonyos személyes jellemzők – különösen a természetes személy munkavégzéssel kapcsolatos teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira, érdeklődésére, megbízhatóságára, viselkedésére, tartózkodási helyére vagy mozgására vonatkozó – értékelése.
Adattovábbítás: személyes adatok más természetes vagy jogi személy számára történő közlése, hozzáférhetővé tétele – akár belföldön, akár harmadik ország részére – történhet manuálisan vagy automatizált módon.
Adattörlés: a személyes adatok olyan módon történő megsemmisítése vagy anonimizálása, hogy azok többé ne legyenek visszaállíthatók, az érintett pedig ne legyen azonosítható belőlük.
3. Az adatkezelő adatai
Az adatkezelő neve: ekoLogisztika Kft.
Székhelye: 5552 Kardos, Csabai út 60.
Cégjegyzékszám: 04-09-017785
Adószám: 32827000-2-04
E-mail címe: info@ekologisztika.hu
Telefonos elérhetősége: +36 30 134 2264
Képviselő neve: Varga László - ügyvezető
Az adatkezelő a fenti elérhetőségeken fogadja az adatkezeléssel kapcsolatos megkereséseket.
Az ekoLogisztika Kft. tárhelyszolgáltató partnere:
Rackhost Zrt. (székhely: 6722 Szeged, Tisza Lajos körút 41.)
Az adatkezelő által igénybe vett adatfeldolgozók az alábbi területeken működnek közre:
– Informatikai szolgáltató (szoftver- és tárhelyüzemeltetés)
– Szállítási adminisztrációs rendszer üzemeltetője
– Elektronikus fizetési szolgáltató
– Számlázási és pénzügyi adminisztrációs rendszer kezelője
– IT-biztonsági és rendszerüzemeltető partner
– Könyvelési szolgáltató (számlák nyilvántartása és könyvelése)
Az adatfeldolgozó a megbízás keretei között, az adatkezelő utasításai alapján, csak a szükséges mértékben kezeli a személyes adatokat, külön adatfeldolgozási megállapodás alapján. A konkrét adatfeldolgozó partnereket a jelen tájékoztató 5. fejezete részletezi.
4. Az adatkezelés céljai, jogalapjai, esetei
Az ekoLogisztika Kft. tevékenysége során több különböző esetben kezel személyes adatokat. Az alábbiakban esetenként bemutatjuk az adatkezelés célját, jogalapját, az érintett adatok körét és a megőrzési időtartamot.
4.1. Csomagküldési megrendelés (Deliveo rendszer)
– Adatkezelés célja: A csomagküldési szolgáltatás teljesítése, azaz a küldemény felvételétől a kézbesítéséig tartó folyamat biztosítása. Ide tartozik a postai/futárszolgáltatási szerződés teljesítése, a teljesítés elszámolása és igazolása, továbbá szükség esetén adatszolgáltatás hatóságok részére a jogszabályoknak megfelelően. E cél magában foglalja annak igazolását is, hogy a küldeményt a címzett részére átadták (pl. átvételi elismervény aláírása).
– Jogalap: Az adatkezelés fő jogalapja a szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont), amennyiben a megrendelő természetes személy, vagy a megrendelő jogi személy és egyúttal az adatok kapcsolattartóra vonatkoznak. Utóbbi esetben társaságunk jogos érdeke (GDPR 6. cikk (1) bek. f) pont) az adatkezelés jogalapja, hogy a jogi személy ügyfelünkkel kötött szerződést teljesítsük. Emellett bizonyos adatkezelések jogszabályi kötelezettség teljesítéséhez szükségesek (GDPR 6. cikk (1) bek. c) pont) – ilyen például a jogszabály által előírt adatszolgáltatás hatóságok részére. A kiszállítás során kezelt, a címzettet érintő személyes adatok (pl. név, cím, elérhetőség) kezelése szintén a szolgáltatási szerződés teljesítéséhez szükséges, ha a címzett természetes személy (GDPR 6. cikk (1) bek. b) pont), illetve jogos érdek (GDPR 6. cikk (1) bek. f) pont), ha nem természetes személy címzettről (pl. cég átvevője) van szó.
– Kezelt adatok köre: A megrendelő által megadott, a fuvarozási szolgáltatás teljesítéséhez szükséges adatok. Ide tartoznak különösen:
• Feladó adatai: név, cím (felvételi cím), telefonszám, e-mail cím (magánszemély feladó esetén a saját adatai, cég esetén kapcsolattartó személy adatai)
• Címzett adatai: név, kézbesítési cím, telefonszám, e-mail cím (ha az értesítéshez megadják). A kézbesítés igazolásához továbbá a címzett aláírása, illetve, ha nem a címzett veszi át a csomagot, az átvevő személy neve és a címzettel való kapcsolata is rögzítésre kerülhet
• Egyéb, a szolgáltatás nyújtása során keletkező adatok: csomagazonosító (fuvarlevélszám), a küldemény tartalmára vonatkozó információ (ha a jogszabály előírja vagy a szolgáltatás jellege megkívánja), felvétel és kézbesítés időpontja, valamint a szolgáltatással összefüggő pénzügyi adatok (pl. utánvét összege, fuvardíj)
– Megőrzési idő: A küldeményhez kapcsolódó személyes adatokat a küldemény feladásának évét követő naptári év végéig megőrizzük. Ez a gyakorlat a postai szolgáltatásokról szóló jogszabály (2012. évi CLIX. törvény – Postatörvény) előírásain alapul. Amennyiben ezen időszakon belül jogi eljárás indul vagy igény érvényesítésének szükségessége merül fel, az adatok megőrzési ideje a jogi eljárás időtartamával meghosszabbodik.
– További információ: Az adatokat elektronikusan a Deliveo futárszolgálati rendszerben rögzítjük és kezeljük. A Deliveo rendszer üzemeltetője a Mav-IT Kft., amely a GDPR értelmében adatfeldolgozóként jár el, míg az ekoLogisztika Kft. marad az adatkezelő. A Mav-IT Kft. a személyes adatokat a mi utasításaink alapján kezeli és biztonságos infrastruktúrát nyújt a tárolásukhoz.
4.2. Számlázás (OTP eBIZ)
– Adatkezelés célja: A szolgáltatás nyújtásáról kiállítandó számla elkészítése, átadása/megküldése a megrendelő részére, valamint a számlázással összefüggő jogszabályi kötelezettségek teljesítése. Ide tartozik különösen az általános forgalmi adóról, illetve a számvitelről szóló törvények által előírt bizonylatkiállítási és megőrzési kötelezettség teljesítése, továbbá a számlák adóhatóság felé történő jelentése.
– Jogalap: Az adatkezelés jogalapja jogi kötelezettség teljesítése (GDPR 6. cikk (1) bek. c) pont), tekintettel arra, hogy a vonatkozó adó- és számviteli jogszabályok előírják számla kiállítását és megőrzését minden teljesített szolgáltatásról. E jogszabályi előírások kötelezik Társaságunkat az érintett személyes adatait tartalmazó bizonylatok (számlák) kiállítására és meghatározott ideig történő megőrzésére.
– Kezelt adatok köre: A számla kiállításához és jogszabályoknak megfelelő tartalmú kibocsátásához szükséges adatok, úgymint a számlafizető neve (magánszemély megrendelő esetén az ön neve), lakcíme/székhelye, valamint szükség esetén adóazonosító jele/adószáma. Emellett a számlán szerepelnek a szolgáltatásra vonatkozó adatok (szolgáltatás megnevezése, díja, teljesítés dátuma stb.), amelyek közvetett módon kapcsolódhatnak önhöz. Amennyiben a számlát elektronikusan küldjük meg, az e-mail címét is kezeljük erre a célra.
– Megőrzési idő: A kiállított számlákat és az azok alapjául szolgáló számviteli bizonylatokat a számvitelről szóló 2000. évi C. törvény előírásainak megfelelően a kiállítástól számított 8 évig megőrizzük. Ez azt jelenti, hogy a számlázással kapcsolatos személyes adatokat legalább nyolc évig kötelesek vagyunk tárolni. Jogszabályi változás vagy hatósági rendelkezés elrendelhet ennél hosszabb megőrzési időt is – például egy adóellenőrzés esetén a számlákat az ellenőrzés lezárásáig meg kell őrizni –, azonban alap esetben a 8 éves időtartamot alkalmazzuk.
– További információ: Az elektronikus számlázási műveleteket az OTP eBIZ online számlázó rendszerén keresztül végezzük. E rendszer üzemeltetője az OTP eBIZ Kft., amely adatfeldolgozóként működik közre a számlaadatok kezelése során. Az OTP eBIZ Kft. részére a számla adatait továbbítjuk (ilyen adattovábbítás például a Nemzeti Adó- és Vámhivatal – NAV – felé történő kötelező adatszolgáltatás, melyet az OTP eBIZ rendszer automatikusan teljesít). Az OTP eBIZ Kft. az adatokat kizárólag a mi utasításainknak megfelelően, a számlázási szolgáltatás biztosítása érdekében és a törvényi előírásoknak megfelelően kezeli.
4.3. Online fizetés (SimplePay)
– Adatkezelés célja: Lehetővé tenni ügyfeleink számára, hogy a szolgáltatás ellenértékét online, bankkártyás fizetéssel egyenlítsék ki. Az online fizetési folyamat során kezelt adatok célja a fizetési tranzakció végrehajtása, visszaigazolása és biztonságos lebonyolítása.
– Jogalap: A fizetéshez kapcsolódó adatkezelés jogalapja a szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont), hiszen a fizetés az ön és társaságunk között létrejött szolgáltatási szerződés része. Az online fizetés választása önkéntes, de ha ezt a módot választja, a fizetési adatok kezelése elengedhetetlen a szerződés teljesítéséhez (a szolgáltatás kifizetéséhez).
– Kezelt adatok köre: A bankkártyás fizetés során ön által megadott adatok: vezetéknév, keresztnév, e-mail cím (és esetlegesen számlázási cím, ha azt a rendszer bekéri a tranzakcióhoz). Ezeket az adatokat a fizetési rendszer a tranzakció azonosítása és visszaigazolása céljából használja fel. Fontos: maga a bankkártya-adatok (kártyaszám, kártyabirtokos neve, lejárati dátum, CVC/CVV kód) kezelése nem nálunk történik – ezen adatokat közvetlenül a fizetési szolgáltató, az OTP Mobil Kft. által üzemeltetett SimplePay rendszer kéri be és dolgozza fel a saját, biztonságos fizetőoldalán. Társaságunk a bankkártya érzékeny adataihoz nem fér hozzá, azokat nem is tárolja.
– Adattovábbítás és külső szereplők: Online fizetés esetén a weboldalunk a fizetés indításakor átirányítja önt a SimplePay biztonságos fizetőfelületére. Az átirányításkor a SimplePay rendszer üzemeltetője, OTP Mobil Kft. részére átadásra kerül az ön vezeték- és keresztneve, e-mail címe, valamint a kártya kibocsátó országának kódja (szükség esetén). Ezen adattovábbítás célja, hogy a fizetési szolgáltató biztosítani tudja a fizetés feldolgozását, ügyfélszolgálati segítséget nyújtson szükség esetén, visszaigazolja a tranzakció sikerességét, és védelmet nyújtson a visszaélések ellen. Felhívjuk a figyelmét, hogy az OTP Mobil Kft. a SimplePay fizetőoldalon megadott személyes adatok tekintetében önálló adatkezelőnek minősül, azaz ezeket az adatokat saját adatkezelési tájékoztatójának megfelelően, a saját felelősségére kezeli. Az ön által a SimplePay oldalon megadott bankkártya-adatokhoz kizárólag az OTP Mobil Kft. fér hozzá, társaságunk nem kapja meg ezeket az adatokat.
– Megőrzési idő: A fizetési tranzakció sikeres lebonyolításáról társaságunk visszaigazolást kap. Az online fizetés tényére és részleteire vonatkozó adatokat (pl. tranzakció azonosítója, időpontja, összege, fizetési mód) a pénzügyi bizonylatokra vonatkozó megőrzési ideig, azaz általában 8 évig őrizzük meg, összhangban a számlamegőrzési kötelezettséggel. Ez praktikusan azt jelenti, hogy a tranzakció adatai a számla részeként vagy ahhoz kapcsolódóan kerülnek megőrzésre a számviteli törvény által előírt ideig. Magukat a bankkártya-adatokat – amint fentebb kiemeltük – semmilyen formában nem tároljuk, azokat kizárólag az OTP Mobil Kft. kezeli a fizetés során.
4.4. E-mailes és telefonos kapcsolattartás
– Adatkezelés célja: Ügyfeleinkkel és érdeklődőkkel való kommunikáció fenntartása és dokumentálása. Ide tartozik egyrészt az általános érdeklődések és megkeresések kezelése (pl. információkérések, ajánlatkérések, panaszok), másrészt a szerződéses kommunikáció (pl. egyeztetés kiszállításról, ügyfélszolgálati segítségnyújtás). Az adatkezelés célja, hogy biztosítsuk az ön megfelelő tájékoztatását, kezeljük a felmerülő kéréseket/panaszokat, valamint szükség esetén bizonyítékkal rendelkezzünk a közöttünk zajló kommunikációról az esetleges jogi igények alátámasztására vagy védelmére.
– Jogalap: Az e-mailen, telefonon vagy egyéb módon (pl. webes űrlapon) történő kapcsolattartás során az adatkezelés jogalapja főszabályként társaságunk jogos érdeke (GDPR 6. cikk (1) bek. f) pont) az üzleti működésünk és ügyfélkiszolgálásunk fenntartásához. Jogos érdekünk fűződik ahhoz, hogy az ön megkereséseire válaszoljunk, problémáit megoldjuk, illetve a kommunikációt később szükség esetén igazolni tudjuk. Amennyiben a kapcsolattartás egy már meglévő szerződés teljesítése vagy ahhoz kapcsolódó ügyintézés részeként történik (pl. kiszállítás egyeztetése, panasz kezelése a szolgáltatással kapcsolatban), úgy az adatkezelés jogalapja a szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont) is lehet.
– Kezelt adatok köre: A kapcsolattartás során az ön által megadott vagy a kommunikációból keletkező adatok. E-mailes megkeresésnél ide tartozik az e-mail címe, neve, valamint az üzenet tartalma és az abban esetleg szereplő további személyes adatok. Telefonos ügyfélszolgálat esetén rögzítjük a hívó fél telefonszámát, a hívás dátumát, időpontját és időtartamát. A hívás tartalmazhatja az ön által elmondott személyes adatokat (például név, cím, panasz leírása stb.). Amennyiben ön más módon (például webes kapcsolatfelvételi űrlapon vagy postai levélben) lép velünk kapcsolatba, az ott megadott adatait és a közlés tartalmát kezeljük személyes adatként, hasonló célból és módon, mint a telefonos vagy e-mailes kommunikáció esetén.
– Megőrzési idő: A telefonos ügyfélszolgálat során hangfelvétel nem készül, így ilyen jellegű adatkezelésre nem kerül sor. Az egyéb kommunikációs adatok (pl. e-mailek, webes űrlapon küldött üzenetek) megőrzési ideje főszabályként legfeljebb 5 év a kommunikáció lezárásától számítva. Ezen időtartam figyelembevételével biztosítjuk, hogy egy esetleges későbbi jogvita vagy reklamáció esetén rendelkezésre álljanak a szükséges információk (5 év megfelel az általános polgári jogi elévülési időnek is). Ha jogi eljárás indul vagy merül fel a kapcsolatfelvétel tárgyában, az adatok megőrzését a peres vagy hatósági eljárás lezárásáig meghosszabbítjuk. E-mailes kommunikáció esetén – amennyiben jogszabály másként nem rendeli – 5 éven belül felülvizsgáljuk a megőrzés szükségességét, és töröljük azokat az adatokat, amelyek megőrzése már nem indokolt.
4.5. Honlap és megrendelő űrlap használata
– Adatkezelés célja: Az ekoLogisztika Kft. weboldalának működtetése, a látogatók által kezdeményezett műveletek (pl. megrendelő űrlap kitöltése, ajánlatkérés) lehetővé tétele, valamint a weboldal használatának monitorozása és biztonságos üzemeltetése. Amikor ön a honlapunkat látogatja, a rendszerünk bizonyos technikai adatokat automatikusan gyűjt a stabil működés és biztonság érdekében – ilyenek például az IP-cím, a böngésző típusa, a látogatás időpontja és időtartama. E technikai adatkezelés célja a honlap megfelelő működésének biztosítása (szervernaplózás, esetleges hibák elhárítása, rosszindulatú hozzáférési kísérletek kivédése), amely adatkezelés társaságunk jogos érdeke (GDPR 6. cikk (1) bek. f) pont).
– Jogalap: A honlap puszta meglátogatása során – a szükséges technikai (sütik általi) adatgyűjtést kivéve – jellemzően nem történik olyan adatkezelés, amelyhez az ön hozzájárulása szükséges lenne. Az oldal működéséhez elengedhetetlen adatkezelések (pl. a weboldal biztonságát szolgáló sütik, szervernaplók) jogalapja társaságunk jogos érdeke (GDPR 6. cikk (1) bek. f) pont), hiszen e nélkül a honlap nem tudna biztonságosan működni. Amennyiben a weboldalon űrlapot tölt ki (pl. csomagfeladási megrendelő űrlap, kapcsolatfelvételi űrlap), úgy az ott megadott személyes adatok kezelésének jogalapja már az ön kezdeményezésére történő szerződéskötést megelőző lépések megtétele (GDPR 6. cikk (1) bek. b) pont) vagy az ön hozzájárulása (GDPR 6. cikk (1) bek. a) pont) lehet – attól függően, milyen jellegű űrlapról van szó. Például: ha a csomagküldési megrendelő űrlapon adja meg adatait, az egy szolgáltatási szerződés megkötését megelőző lépés, így a jogalap a szerződés teljesítése. Ha általános üzenetet küld a honlapon, az inkább hozzájáruláson alapul, hiszen önkéntesen adja meg adatait anélkül, hogy szerződés jönne létre. Minden esetben biztosítjuk, hogy az adott űrlapon egyértelmű tájékoztatást kapjon az adatkezelés céljáról és jogalapjáról, mielőtt az adatokat beküldi.
– Kezelt adatok köre: A honlap üzemeltetése során kezelt technikai adatok: IP-cím, böngésző- és eszközazonosítók, a meglátogatott oldalak URL-jei, időbélyegek és sütiazonosítók. Ezek az adatok önmagukban jellemzően nem azonosítják közvetlenül a látogatót, de személyes adatnak minősülhetnek, ha egy konkrét természetes személyhez kapcsolhatók. Az űrlapok kitöltése során az ön által megadott adatok tartalma: név, elérhetőségek (e-mail, telefon), az üzenet vagy megrendelés szöveges tartalma, valamint bármely egyéb személyes információ, amelyet a mezőkben közöl. Megrendelő űrlap esetén tipikusan a csomagküldéshez szükséges adatokat kérjük (lásd a 4.1 pontban), kapcsolatfelvételi űrlap esetén pedig az üzenet megválaszolásához szükséges adatokat (név, e-mail, tárgy, üzenet tartalma stb.).
– Megőrzési idő: A honlap technikai naplóadatait (szerver logok) általában rövidebb ideig, tipikusan néhány hónapig tároljuk, legfeljebb 1 évig a látogatás időpontjától számítva. Erre a weboldal biztonságos működése érdekében van szükség; a régebbi naplófájlokat töröljük, hacsak egy biztonsági incidens kivizsgálása miatt nincs szükség további megőrzésre. A webes űrlapon beküldött személyes adatokat – amennyiben azok nem válnak egy későbbi szerződés részévé – legfeljebb 1 évig őrizzük meg. Ha például ön ajánlatot kér a honlapon, de végül nem veszi igénybe szolgáltatásunkat, az ajánlatkérés során megadott adatait a választ követően legfeljebb egy év elteltével töröljük. Amennyiben az űrlapon indított kommunikáció szerződéskötéshez vagy szolgáltatás igénybevételéhez vezet, az abban megadott adatokat már az ahhoz tartozó adatkezelési eset (pl. csomagküldés vagy számlázás) szerint kezeljük tovább, az ott meghatározott ideig.
4.6. Sütik (Cookie-k) használata
Weboldalunk cookie-kat – magyarul sütiket – alkalmaz a felhasználói élmény javítása és a weboldal bizonyos funkcióinak biztosítása érdekében. A sütik kisméretű adatfájlok, amelyeket a böngésző az ön eszközén tárol. Egyes sütik elengedhetetlenek a honlap működéséhez (pl. bejelentkezés, biztonság), más sütik statisztikai célokat szolgálnak (marketing célú sütiket nem alkalmazunk).
A sütik alkalmazása során bizonyos esetekben személyes adatok kezelése is megvalósulhat, például amikor a sütik online azonosítókat (ilyen lehet az IP-cím vagy egy egyedi sütiazonosító) tárolnak, illetve információt gyűjtenek arról, hogyan használja ön a weboldalt. Az ilyen adatkezelések jogalapja – a nem szükséges sütik tekintetében – az ön hozzájárulása (GDPR 6. cikk (1) bek. a) pont), amelyet a honlapra érkezéskor megjelenő sütikezelési sávban kérünk el. A szükséges (funkcionális) sütik esetében jogos érdek (GDPR 6. cikk (1) bek. f) pont) alapján kezeljük az adatokat, mivel ezek nélkül az oldal nem működne megfelelően.
Fontos: A sütikkel kapcsolatos részletes információkat – az egyes sütik típusát, funkcióját, élettartamát, valamint az ön választási lehetőségeit – jelen tájékoztató egy külön fejezete tartalmazza. Kérjük, olvassa el a sütikezelésről szóló fejezetet is, hogy teljes körű tájékoztatást kapjon a cookie-k használatáról.
5. Adattovábbítások és adatfeldolgozók
5.1 Adattovábbítás harmadik fél részére
Az Adatkezelő harmadik személyek részére személyes adatokat kizárólag meghatározott esetekben továbbít, a vonatkozó jogszabályi keretek között. Ilyen adattovábbításra sor kerülhet különösen az alábbi esetekben:
- Hatósági vagy bírósági megkeresés teljesítése: Amennyiben bíróság, ügyészség vagy más hatóság – ideértve különösen a szolgáltatásainkat felügyelő hatóságokat (pl. postai szolgáltatások hatósági felügyelete, fogyasztóvédelmi hatóság) – hivatalos eljárás keretében megkeresi Társaságunkat, kötelesek vagyunk a kért személyes adatokat rendelkezésre bocsátani. Ilyen adattovábbítás jogalapja a jogi kötelezettség teljesítése (GDPR 6. cikk (1) bekezdés c) pont). Az átadott adatok köre minden esetben az eljárás céljához igazodik, és igyekszünk az adatkérést csak a szükséges mértékre korlátozni. Ilyen hatósági megkeresés például lehet a fogyasztóvédelmi hatóság vizsgálata egy panasz kapcsán, vagy a Nemzeti Média- és Hírközlési Hatóság ellenőrzése postai szolgáltatás felett.
- Jogi igények érvényesítése vagy védelme: Személyes adatok továbbíthatók Társaságunk jogi képviselőjének vagy illetékes bíróságnak annak érdekében, hogy jogi igényeinket érvényesítsük vagy védekezzünk egy jogi eljárásban. Ugyanígy, fizetési késedelem vagy szerződésszegés esetén követeléskezelő cégnek (behajtónak) is átadhatjuk az érintett szükséges adatait (pl. név, elérhetőség, tartozás összege) a tartozás behajtása céljából. E körben az adattovábbítás jogalapja Társaságunk jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont), mivel a szerződéses követelések érvényesítése vagy jogi igények előterjesztése/védelme jogos érdekünk. Az átadott adatok köre minden esetben kizárólag a szolgáltatással összefüggő, feltétlenül szükséges adatokra korlátozódik. (Például követelésbehajtásnál csak a tartozás rendezéséhez szükséges információkat adjuk át.)
- Biztosítási ügyintézés: Amennyiben a szolgáltatás során bekövetkezett káresemény vagy elveszett küldemény miatt biztosítási igény merül fel, a kapcsolódó személyes adatokat (pl. név, elérhetőség, küldemény adatai, kárleírás) továbbíthatjuk az érintett biztosítótársaság részére a kárbejelentés és kárrendezés céljából. Ennek jogalapja szintén a Társaságunk jogos érdeke (GDPR 6. cikk (1) f) pont), mivel a károk rendezése és a szerződésben foglalt szolgáltatás maradéktalan teljesítése üzleti érdekünk, valamint a fogyasztóvédelemből eredő kötelezettségeinknek is eleget teszünk. Ilyen adattovábbítás esetén is csak a szükséges adatokat adjuk át, és a biztosító azokat saját adatvédelmi szabályzata szerint, önálló adatkezelőként kezeli.
- Postai küldemény kézbesítéséhez kapcsolódó adattovábbítás: A szolgáltatásaink jellegéből fakadóan előfordulhat, hogy küldemény kézbesítését alvállalkozó partner végzi. Ilyen esetben a kézbesítéshez szükséges személyes adatokat (pl. címzett neve, címe, elérhetősége) átadjuk a kézbesítést végző futárpartnernek. Ezt a postai szolgáltatásokról szóló törvény (Postatv.) kifejezetten megengedi: a Postatv. 54. § (4) bekezdése alapján a postai szolgáltató átadhatja a kézbesítéshez szükséges személyes adatokat a vele szerződött közreműködő fél (alvállalkozó) részére. Az adatokat az alvállalkozó adatfeldolgozóként az utasításaink szerint, szerződéses kötelezettségek mellett használhatja fel (ld. 5.2 pont). A továbbítás jogalapja ebben az esetben a szerződés teljesítése (GDPR 6. cikk (1) b) pont), hiszen a feladóval kötött szerződéses szolgáltatás (küldemény kézbesítése) teljesítéséhez nélkülözhetetlen az adatok átadása a kézbesítőnek. Az alvállalkozót szigorú titoktartási és adatbiztonsági kötelezettség terheli a Postatv. 56. §-a alapján is, így az átadott adatokat kizárólag a kézbesítés céljára használhatja, és azok védelméről gondoskodnia kell.
Felhívjuk a figyelmet, hogy a fenti esetekben történő adattovábbítások mind a GDPR és az egyéb vonatkozó jogszabályok keretei között valósulnak meg. Személyes adatokat kizárólag jogszabály által meghatározott esetben vagy jogos érdek fennállása esetén továbbítunk harmadik személyeknek, és minden adattovábbításról nyilvántartást vezetünk. Minden ilyen címzettel szemben elvárjuk, hogy az adatokat bizalmasan kezelje, és csak a szükséges ideig tárolja.
5.2 Adatfeldolgozók felsorolása és szerepe
Társaságunk a tevékenysége ellátásához több külső szolgáltatót (adatfeldolgozót) vesz igénybe. Az adatfeldolgozók olyan partnerek, akik az Adatkezelő megbízásából és érdekében, a mi utasításaink szerint kezelnek személyes adatokat egy meghatározott célból. Az adatfeldolgozók az adatok címzettjeinek minősülnek a GDPR szerint, ezért őket – vagy kategóriáikat – az átláthatóság érdekében jelen tájékoztatóban ismertetjük. Az alábbiakban felsoroljuk adatfeldolgozó partnereinket, megjelölve nevüket, az általuk kezelt adatok körét, az adatkezelés célját, valamint az adatkezelés jogalapját is:
– Deliveo (Mav-IT Kft.)
– Kezelt adatok köre: a futárszolgáltatás informatikai rendszerében tárolt és kezelt adatok, így különösen a küldeményfeladás és kézbesítés során szükséges adatok (feladó neve, címe, elérhetősége; címzett neve, címe, elérhetősége; küldemény adatai és az ahhoz tartozó esetleges azonosítók, megjegyzések).
– Adatkezelés célja: a szállítási folyamat nyomon követése és adminisztrációja, fuvarlevelek kezelése, címiratok előállítása, valamint a küldemények kézbesítésének támogatása a Deliveo futárszoftver használatával.
– Jogalap: a szerződés teljesítése (GDPR 6. cikk (1) b) pont).
– OTP eBIZ (OTP Mobil Kft.)
– Kezelt adatok köre: számlázási adatok és bizonylatok a könyvelési/fiókprogramban, ideértve a megrendelő vagy számlafizető nevét, címét, e-mail címét, a számla tartalmát (tétel megnevezése, összegek), valamint a fizetéssel kapcsolatos metaadatokat.
– Cél: elektronikus számlák kiállítása, kiküldése az ügyfelek részére, továbbá a számlák nyilvántartása és archiválása az adó- és számviteli előírásoknak megfelelően.
– Jogalap: jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont).
– Rackhost Zrt.
– Kezelt adatok köre: honlapunk és IT-rendszereink tárhelyszolgáltatójaként a szerverein tárolódnak mindazon személyes adatok, amelyeket a weboldalunkon, e-mail kommunikáció során vagy egyéb elektronikus úton kezelünk (pl. ügyféladatok, kapcsolatfelvételi adatok, megrendelési adatok, stb.).
– Cél: az informatikai rendszereink biztonságos üzemeltetése, az adatok tárolása és elérhetőségének biztosítása megfelelő szerverháttéren.
– Jogalap: Társaságunk jogos érdeke (GDPR 6. cikk (1) f) pont).
– Microsoft OneDrive (Microsoft Ireland Operations Ltd.)
– Kezelt adatok köre: belső dokumentumaink és adatbázisaink biztonsági mentései, megosztott munkaanyagai, amelyek között előfordulhatnak személyes adatokat tartalmazó fájlok (pl. szerződések, számlák, szállítási bizonylatok digitális másolatai, ügyfél-nyilvántartások).
– Cél: felhőalapú tárhely és biztonsági mentés biztosítása, hogy adatok elvesztése nélkül, bárhonnan elérhető módon tároljuk a fontos dokumentumokat, valamint elősegítsük a belső együttműködést.
– Jogalap: jogos érdek (GDPR 6. cikk (1) f) pont).
– Könyvelő (külső könyvelőiroda)
– Kezelt adatok köre: a pénzügyi-számviteli bizonylatokban és nyilvántartásokban szereplő személyes adatok (pl. ügyfelek neve, címe a számlákon; esetleg kapcsolattartók adatai; munkavállalók bérszámfejtési adatai, ha releváns).
– Cél: Társaságunk törvény által előírt számviteli, adózási feladatainak ellátása, könyvelése és pénzügyi beszámoló készítése.
– Jogalap: jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont).
– Google Analytics (Google LLC)
– Kezelt adatok köre: weboldalunk látogatóihoz kapcsolódó technikai és online azonosítók, úgymint sütik azonosítói, eszköz- és böngésző-információk, anonimizált IP-cím (rövidített formában), továbbá a weboldalon tanúsított felhasználói viselkedésre vonatkozó adatok (pl. meglátogatott oldalak, kattintások, időtartamok).
– Cél: a honlapunk látogatottsági és használati statisztikáinak elemzése, az online szolgáltatásaink fejlesztése és marketingtevékenységünk hatékonyságának mérése.
– Jogalap: jogos érdek (GDPR 6. cikk (1) f) pont).
– OTP SimplePay (SimplePay Zrt.)
– Kezelt adatok köre: a honlapunkon bankkártyás fizetést választó ügyfelek esetében a fizetéshez szükséges adatok kerülnek továbbításra a SimplePay rendszerébe. Ilyen adatok: tranzakció azonosító, fizetendő összeg, a kártyabirtokos neve, e-mail címe, esetleg tranzakcióhoz kapcsolódó számlázási cím. (A bankkártya adatokat közvetlenül a SimplePay kezeli, Társaságunk azt nem látja, csupán a fizetés sikerességéről kapunk visszajelzést.)
– Cél: online bankkártyás fizetési lehetőség biztosítása ügyfeleink számára, a díjak gyors és biztonságos kiegyenlítése érdekében.
– Jogalap: a szerződés teljesítése (GDPR 6. cikk (1) b) pont).
– Jogi képviselő (ügyvéd)
– Kezelt adatok köre: jogi ügyintézés során szükséges személyes adatok (pl. megrendelő vagy címzett neve, elérhetősége, szerződéses dokumentumokban szereplő adatok).
– Cél: Társaságunk jogi érdekeinek képviselete, szerződések előkészítése, tanácsadás és jogérvényesítés.
– Jogalap: jogos érdek (GDPR 6. cikk (1) f) pont), mivel a jogi képviselet a jogi kötelezettségek teljesítését és a társaság működésének védelmét szolgálja.
– Biztosító társaság
– Kezelt adatok köre: kárügyintézéshez kapcsolódó személyes adatok (pl. ügyfél neve, elérhetősége, küldemény vagy kárleírás adatai).
– Cél: biztosítási események kivizsgálása és a károk megtérítése érdekében történő ügyintézés.
– Jogalap: jogos érdek (GDPR 6. cikk (1) f) pont), mivel Társaságunk érdekelt a károk rendezésében, valamint az ügyfelekkel szembeni kötelezettségeinek teljesítésében.
– Hatóságok
– Kezelt adatok köre: hivatalos eljárás során vagy jogszabályi kötelezettség alapján átadott személyes adatok (pl. ügyfél neve, címe, panasz vagy jogvita tárgyát képező információk).
– Cél: jogszabályban előírt adatszolgáltatási kötelezettség teljesítése, hatósági ellenőrzések, panaszkezelés és jogérvényesítés.
– Jogalap: jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont), illetve jogos érdek (GDPR 6. cikk (1) f) pont).
Az adatfeldolgozóink a fenti feladatkörükön kívül más célra nem használhatják fel a rájuk bízott adatokat, és kizárólag a mi utasításainknak megfelelően járhatnak el. Minden adatfeldolgozóval igyekszünk biztosítani, hogy megfelelő technikai és szervezési intézkedésekkel védjék a személyes adatokat (pl. titkosítás, biztonsági mentések, hozzáférés-korlátozás stb.), és azokat bizalmasan kezeljék.
5.3 Az adatfeldolgozási szerződések megléte és tartalma
Társaságunk és adatfeldolgozó partnerei között – a GDPR 28. cikkében foglaltaknak megfelelően – írásban megkötött adatfeldolgozási megállapodások biztosítják a személyes adatok védelmét. Ezek a szerződések jellemzően nem önálló dokumentumok, hanem az adatfeldolgozók saját Általános Szerződési Feltételeiben (ÁSZF) és Adatvédelmi Szabályzataiban rögzített feltételek, amelyeket szolgáltatásuk igénybevételével Társaságunk elfogadott.
Másként fogalmazva, az egyes adatfeldolgozók a saját üzletszabályzatukban és adatkezelési tájékoztatójukban vállalnak kötelezettséget a GDPR előírásainak betartására, és az általunk velük létrejött szerződés (illetve az ÁSZF elfogadása) ezen feltételek mentén szabályozza az adatfeldolgozást.
Fontos hangsúlyozni, hogy minden adatfeldolgozónkkal fennálló szerződés tartalmazza a GDPR 28. cikkében előírt garanciákat és rendelkezéseket. Ezek a dokumentumok tipikusan kitérnek többek között az alábbi elemekre:
– az adatfeldolgozás céljára, természetére és tárgyára, valamint arra, hogy az adatfeldolgozó a személyes adatokat kizárólag a mi céljainkkal összhangban, a mi utasításaink szerint kezelheti;
– az adatfeldolgozás jogalapjára vagy arra a jogviszonyra, amelyben az adatfeldolgozó eljár (például a közöttünk fennálló szolgáltatási szerződés teljesítése érdekében kezeli az adatokat, vagy jogos érdek alapján végez bizonyos technikai műveleteket);
– az adatkezelés időtartamára, illetve a személyes adatok megőrzési idejére (beleértve azt is, hogy a szolgáltatás nyújtása során és befejezésekor meddig tárolhatja az adatokat, és utána köteles-e törölni vagy visszaszolgáltatni azokat);
– a személyes adatok biztonságára vonatkozó előírásokra, így az alkalmazandó technikai és szervezési intézkedésekre (pl. titkosítás, hozzáférés-kezelés, naplózás, biztonsági mentés), melyeket az adatfeldolgozó köteles megtenni a GDPR 32. cikkével összhangban;
– a személyes adatok törlésének vagy visszaadásának módjára a szolgáltatás nyújtásának befejeztével vagy az adatkezelési cél megszűnésekor;
– az adatfeldolgozó kötelezettségére, hogy segítséget nyújtson az Adatkezelőnek az érintetti jogok érvényesítésében, illetve a GDPR-ból eredő további kötelezettségek teljesítésében (például adatvédelmi incidensek bejelentése vagy hatósági megkeresések teljesítése kapcsán);
– a titoktartási kötelezettségre, mely az adatfeldolgozó munkavállalóira és közreműködőire is kiterjed (az adatfeldolgozó garantálja, hogy minden, az adatkezelésben részt vevő személy megfelelő titoktartási nyilatkozatot tesz);
– valamint arra, hogy az adatfeldolgozó további alvállalkozót (további adatfeldolgozót) csak az Adatkezelő előzetes engedélyével vehet igénybe, és köteles biztosítani, hogy az esetlegesen bevont alvállalkozó is ugyanazokat a feltételeket teljesítse.
A fentiek biztosítják, hogy adatfeldolgozó partnereink saját adatkezelési szabályzatuk szerint, de a GDPR keretei között végzik a rájuk bízott műveleteket. Bár Társaságunk egyes esetekben nem kötött külön, egyedi írásos szerződést az adatfeldolgozóval, az általunk elfogadott üzletszabályzatok és adatvédelmi feltételek írásbeli szerződésnek minősülnek a GDPR 28. cikk (9) bekezdése alapján, és ugyanúgy kötelező erővel bírnak.
Ennek megfelelően adatfeldolgozóink tevékenységét folyamatosan figyelemmel kísérjük, és szükség esetén további garanciákat kérünk tőlük. Összefoglalva, Társaságunk kizárólag olyan adatfeldolgozókat vesz igénybe, akik megfelelő garanciákat nyújtanak az adatkezelés biztonságára és a GDPR követelményeinek való megfelelésre. Az adatfeldolgozók listáját és szerepét jelen tájékoztató 5.2 pontja tartalmazza, és a jövőben esetlegesen bekapcsolódó új adatfeldolgozókról az adatkezelési tájékoztatónk frissítésével adunk tájékoztatást. Minden ilyen partnerünkkel szemben elvárás, hogy az általuk kezelt személyes adatokat kizárólag utasításainknak megfelelően, a szerződésben rögzített célra használják, és biztosítsák az érintettek jogainak védelmét az adatfeldolgozás teljes folyamata során.
6. Az adatok tárolásának módja és biztonsága
6.1 Adattárolási helyek
- Rackhost cPanel tárhely: Weboldalunk adatait, a kapcsolatfelvételi űrlapokon keresztül beérkező információkat, valamint e-mail fiókjaink tartalmát és az online megrendelőlap adatait a Rackhost Kft. által biztosított cPanel alapú tárhelyen tároljuk. Ez egy magyarországi szerveren üzemelő szolgáltatás, amely biztonságos infrastruktúrát nyújt, és rendelkezik SMTP funkcióval az e-mailek továbbításához.
- Microsoft OneDrive: Digitális dokumentumainkat (beleértve a szerződéseket, számlákat és egyéb fájlokat) a Microsoft OneDrive felhőszolgáltatásában tároljuk. A OneDrive lehetővé teszi a papírmentes dokumentumkezelést és automatikus biztonsági mentések készítését is, így adatainkról mindig rendelkezésre áll egy friss másolat. A felhőben tárolt adatokhoz csak a megfelelő jogosultsággal rendelkező felhasználók férhetnek hozzá, és a Microsoft mint szolgáltató gondoskodik az adatok titkosításáról és védelméről.
- Deliveo (Mav-IT Kft.): Futárszolgálati tevékenységünk során a küldeményekkel kapcsolatos és ügyféladatokat a Deliveo nevű online futárkezelő rendszerben rögzítjük és kezeljük. Ezt a rendszert a Mav-IT Kft. üzemelteti, amely adatfeldolgozóként jár el a szolgáltatás során. A Mav-IT Kft.-vel kötött szerződés biztosítja, hogy a kiszervezett adatkezelés keretében a személyes adatok védelme megfelelően garantált legyen (pl. titoktartási kötelezettség vállalása, biztonsági intézkedések alkalmazása). A Deliveo rendszerben tárolt adatokhoz kizárólag a szolgáltatás működtetéséhez szükséges módon és mértékben férünk hozzá, a GDPR rendelkezéseivel összhangban.
- OTP eBIZ és OTP SimplePay: Elektronikus számláink kiállításához az OTP eBIZ online számlázó rendszerét használjuk, online fizetések lebonyolításához pedig az OTP SimplePay szolgáltatást. E rendszerekben a számlázási és fizetési adatok a vonatkozó jogszabályi előírások mentén kerülnek tárolásra és megőrzésre (például a számviteli törvény által előírt ideig). Az OTP eBIZ és SimplePay rendszerek banki szintű biztonsági megoldásokat alkalmaznak az adatok védelme érdekében – ideértve a titkosított kapcsolatot és a többtényezős hitelesítést is – így a személyes és pénzügyi adatok biztonságban vannak a feldolgozás során.
- Google Analytics: Weboldalunk látogatottsági és technikai adatait a Google Analytics szolgáltatás segítségével elemezzük. A Google Analytics használata során bizonyos technikai adatok – például az anonimizált IP-cím, böngésző- és eszközinformációk – a Google külföldi (elsősorban amerikai) szerverein kerülnek tárolásra. A Google a GDPR előírásainak megfelelően az IP-címeket még az Európai Unión belül anonimizálja (lerövidíti), és csak kivételes esetben továbbítja a teljes IP-címet az USA-ba. Ennek köszönhetően a Google Analytics csak összesített, személyazonosításra nem alkalmas statisztikai adatokat kezel a weboldal használatáról. Ezeket az információkat kizárólag arra használjuk, hogy a honlap funkcionális működését ellenőrizzük és szolgáltatásainkat fejlesszük; az adatokból az egyes látogatók nem azonosíthatók.
6.2 Elektronikus tárolás és papírmentes működés
Cégünk működése teljes mértékben elektronikus, az adatkezelés és dokumentumkezelés döntő többsége digitális eszközökkel és online rendszereken keresztül zajlik. Minden üzleti folyamatunkat igyekszünk papírmentesen megoldani, ami nemcsak gyorsaságot és hatékonyságot eredményez, hanem adatvédelmi szempontból is előnyös: minimálisra csökken a papíralapon tárolt személyes adatok mennyisége, ezáltal kisebb az illetéktelen hozzáférés vagy elvesztés kockázata.
A vállalkozás kis méretére (egyéni vállalkozói jellegére) tekintettel a személyes adatokhoz való hozzáférés rendkívül korlátozott: az adatkezelőn (cégünk tulajdonosán) kívül más személy nem fér hozzá a tárolt adatokhoz. Nincsenek további munkavállalók vagy adatkezeléssel megbízottak, ezért külön írásos belső hozzáférés-kezelési szabályzatot nem alakítottunk ki. A bizalmasságot így is biztosítja, hogy minden személyes adatot maga az adatkezelő kezel és felügyel.
Papíralapú dokumentumok csak kivételes esetekben merülnek fel – például, ha valamely ügyféllel kötött szerződést írásban, papíron kell rögzíteni. Ilyen esetben is gondoskodunk róla, hogy a papíron tárolt személyes adatokat biztonságosan, zártan tároljuk, és kizárólag a szükséges ideig őrizzük meg. A papíralapú szerződéseket vagy egyéb iratokat mindig célhoz kötötten, időben korlátozottan kezeljük: csak addig tartjuk meg őket, ameddig az adott cél (például a szerződés teljesítése, jogi igény érvényesítése vagy jogszabály által előírt megőrzési idő) indokolja. Ezen időtartam elteltével a fizikai dokumentumokat biztonságosan megsemmisítjük (iratmegsemmisítővel vagy zúzással), illetve szükség szerint visszajuttatjuk az érintettnek. Ezzel biztosítjuk, hogy személyes adat papíron se maradjon tovább a kelleténél hozzáférhető formában.
6.3 Technikai és szervezési intézkedések
Az adatbiztonság garantálása érdekében cégünk a GDPR előírásaival összhangban megfelelő technikai és szervezési intézkedéseket vezetett be. Ezek az intézkedések biztosítják, hogy a kezelt személyes adatokhoz kizárólag arra felhatalmazott személy férjen hozzá, és védelmet nyújtanak az adatok jogosulatlan hozzáférése, megváltoztatása vagy elvesztése ellen. Az alábbiakban összefoglaljuk a legfontosabb biztonsági intézkedéseinket:
- Korlátozott hozzáférés: A tárolt személyes adatokhoz kizárólag az adatkezelő (vállalkozásunk vezetője) fér hozzá, mint egyedüli jogosult. Nincs más alkalmazott vagy harmadik személy, aki a rendszereinkben közvetlenül hozzáférhetne az ügyféladatokhoz. Ez a korlátozás minimalizálja annak esélyét, hogy belső illetéktelen hozzáférés történjen, és teljes ellenőrzést biztosít az adatok felett.
- Jelszavas védelem és kétfaktoros hitelesítés: Az általunk használt összes fontos informatikai fiók és szolgáltatás (beleértve a Microsoft, Apple és Google rendszereket is) erős, egyedi jelszavakkal védett. Emellett, ahol csak lehetséges, kétfaktoros hitelesítést (2FA) is alkalmazunk a bejelentkezések során. Ez azt jelenti, hogy a jelszó mellett egy további azonosítási lépés (például SMS-ben küldött kód vagy mobilalkalmazással generált visszaigazolás) szükséges a hozzáféréshez. A többtényezős azonosítás jelentősen növeli a fiókok biztonságát, így ha esetleg egy jelszó illetéktelen kezekbe kerülne, az önmagában még nem teszi lehetővé a belépést. Mindezek az intézkedések hozzájárulnak ahhoz, hogy a személyes adatokhoz való hozzáférés szigorúan ellenőrzött és védett legyen.
- Adattitkosítás (kriptográfia): Gondoskodunk róla, hogy a személyes adatokat tartalmazó fájlok és adatbázisok megfelelő titkosítással legyenek tárolva, illetve hogy az adatok továbbítása is védett csatornákon történjen. A felhőszolgáltatások (mint a OneDrive) a fájlokat titkosított formában tárolják, így azok akkor sem olvashatók, ha illetéktelen fél hozzáférne a tároló rendszerhez. Hasonlóképpen, e-mail kommunikációnk titkosított protokollon (SSL/TLS) keresztül zajlik, azaz az üzenetek továbbítása során az adatokat kódolva küldjük. Az adatok titkosítása az egyik ajánlott intézkedés az adatbiztonság területén a GDPR szerint is, mivel biztosítja, hogy az érzékeny információk tartalma illetéktelenek számára ne legyen hozzáférhető még akkor sem, ha sikerülne elfogni vagy megszerezni azokat.
- Automatikus mentések: Rendszeres biztonsági mentéseket alkalmazunk az adatvesztés megelőzésére. A OneDrive felhőben tárolt adatokról a szolgáltatás automatikus szinkronizációs és verziókövető mentéseket készít, továbbá az esetlegesen használt egyéb biztonsági mentési megoldások is biztosítják, hogy egy technikai hiba vagy incidens esetén az adatokat vissza lehessen állítani. Ezen intézkedések révén garantáljuk, hogy személyes adatok egy váratlan esemény (pl. hardverhiba vagy rendszerleállás) után is hozzáférhetők és helyreállíthatók legyenek, biztosítva az adatok rendelkezésre állását és integritását.
- Szerver- és hálózati védelem: Weboldalunkat és e-mail szolgáltatásunkat biztosító Rackhost szerverei professzionális IT-biztonsági védelemmel vannak ellátva. A szolgáltató tűzfalakat és egyéb behatolás-megelőző rendszereket alkalmaz, amelyek védik az adatokat a külső támadásoktól. Emellett a szerverhozzáférések szigorúan kontrolláltak és naplózottak, így nyomon követhető minden hozzáférési kísérlet. Cégünk csak titkosított, biztonságos csatornán keresztül éri el a tárhelyen lévő adatokat. A Rackhost mint tárhelyszolgáltató folyamatosan frissíti és karbantartja a szerver-infrastruktúrát, valamint biztosítja a fizikai biztonságot is az adatközpontjában (pl. zárt, őrzött szerverterem), ezzel megelőzve a személyes adatokhoz való jogosulatlan hozzáférést vagy azok sérülését.
- E-mail kommunikáció biztonsága: Az ügyfelekkel folytatott elektronikus levelezésünk során is kiemelt figyelmet fordítunk a biztonságra. E-mailjeinket titkosított SMTP kapcsolaton (TLS – Transport Layer Security) keresztül küldjük és fogadjuk, ami biztosítja, hogy a küldés során az üzenetek tartalma védve legyen az illetéktelen megtekintéstől. Az e-mail fiókjaink hozzáférése szintén jelszóval és szükség esetén kétlépcsős hitelesítéssel védett, ahogy azt fentebb már említettük. Így az elektronikus kommunikáció során közölt személyes adatok (például egy ajánlatkérés során megadott elérhetőségek vagy egyeztetett információk) bizalmassága megőrizhető. Az SMTP protokoll titkosítása ma már alapvető elvárás, és cégünk ennek megfelel, hogy a személyes adatok kommunikáció közbeni biztonságát is garantálja.
- Eszközök védelme: Az adatkezeléshez használt számítástechnikai eszközeink (asztali gép, laptop, okostelefon) korszerű biztonsági beállításokkal rendelkeznek. Cégünk Apple gyártmányú eszközöket használ, amelyek saját beépített védelmi mechanizmusokkal bírnak. Az eszközök mindegyike jelszóval vagy PIN-kóddal védett, és ahol lehetőség van rá, biometrikus azonosítást is alkalmazunk (például ujjlenyomat- vagy arcfelismerés). Az eszközök adattárolóit titkosítjuk (az Apple készülékek esetében ez beépített alapfunkció), így egy elvesztett vagy ellopott eszközön tárolt adatok sem férhetők hozzá a megfelelő feloldó kulcs nélkül. Az eszközök automatikus képernyőzárral vannak ellátva, ami rövid inaktivitás után lezárja a hozzáférést. Emellett rendszeresen telepítjük a gyártó által kiadott biztonsági frissítéseket és javításokat. Fizikai védelem szempontjából is körültekintőek vagyunk: az eszközöket nem hagyjuk őrizetlenül nyilvános helyen, és lopás esetére be van állítva a távoli nyomkövetés és törlés lehetősége. Mindezen óvintézkedések biztosítják, hogy a személyes adatokat tartalmazó eszközök ne válhassanak illetéktelen hozzáférés célpontjává.
Összefoglalva, az ekoLogisztika Kft. minden ésszerű lépést megtesz annak érdekében, hogy a rá bízott személyes adatokat biztonságosan tárolja és kezelje. A felsorolt adattárolási helyek és biztonsági intézkedések garantálják, hogy az adatok védettek legyenek mind a tárolás, mind az átvitel során, megfelelve a hatályos adatvédelmi jogszabályoknak és a GDPR elvárásainak. Ezen intézkedések folyamatos felülvizsgálat alatt állnak, és szükség esetén tovább fejlesztjük őket annak érdekében, hogy lépést tartsunk a technológiai fejlődéssel és az esetlegesen felmerülő új kockázatokkal. Adatbiztonsági gyakorlatunk célja, hogy ügyfeleink nyugodtak lehessenek afelől: adataik jó kezekben, biztonságban vannak nálunk.
7. Az érintettek jogai és azok gyakorlása
7.1. Az érintett jogai
Az adatkezelés során önt, mint érintettet, számos jog megilleti a GDPR 12–23. cikkei alapján. Ezek a jogok biztosítják, hogy ön átlátható tájékoztatást kapjon, ellenőrizhesse személyes adatai kezelését, és szükség esetén élhessen jogaival a személyes adatai védelmében. Az alábbiakban összefoglaljuk az egyes érintetti jogokat és azok tartalmát, közérthető módon kifejtve:
7.1.1. Hozzáféréshez való jog: Ön jogosult visszajelzést kapni tőlünk arra vonatkozóan, hogy kezeljük-e az ön személyes adatait, és ha igen, jogosult ezen adatokhoz hozzáférni. Kérésére tájékoztatást adunk többek között arról, hogy milyen személyes adatait kezeljük, milyen célból és jogalappal, kik a címzettek vagy címzett kategóriák, meddig tároljuk az adatokat, illetve milyen jogai és jogorvoslati lehetőségei vannak. E tájékoztatás keretében egy másolatot is biztosítunk az általunk kezelt személyes adatairól (további másolatokért az adatkezelő adminisztratív költségen alapuló, ésszerű díjat számíthat fel). A hozzáféréshez való jog célja, hogy ön ellenőrizhesse adatkezelési gyakorlatunk jogszerűségét és tájékozódhasson az adatkezelés körülményeiről.
7.1.2. Helyesbítéshez való jog: Ha úgy találja, hogy az általunk kezelt személyes adatai pontatlanok vagy hiányosak, kérheti azok helyesbítését vagy kiegészítését. Kötelesek vagyunk indokolatlan késedelem nélkül javítani a pontatlan adatokat, illetve figyelembe véve az adatkezelés célját, kiegészíteni a hiányos adatokat. A helyesbítés során – amennyiben lehetséges – értesítünk minden olyan címzettet is, akikkel a hibás adatot korábban közöltük, kivéve, ha ez lehetetlen vagy aránytalan erőfeszítést igényel.
7.1.3. Törléshez való jog (az „elfeledtetéshez való jog”): Bizonyos feltételek mellett ön kezdeményezheti, hogy töröljük az önről gyűjtött személyes adatokat. Kérésére indokolatlan késedelem nélkül töröljük a személyes adatait, ha például (a) az adatokra már nincs szükség abból a célból, amiért gyűjtöttük őket; (b) az adatkezelés jogellenes (pl. nem volt megfelelő jogalap); (c) Ön visszavonta a hozzájárulását, vagy tiltakozik az adatkezelés ellen, és nincs más jogalapunk; vagy (d) jogi kötelezettség teljesítése indokolja a törlést. Fontos azonban tudni, hogy a törlési kérelem nem minden esetben teljesíthető: a GDPR több kivételt is megfogalmaz. Ilyen kivétel például, ha az adatkezelés szükséges a véleménynyilvánítás szabadságához, valamely jogi kötelezettség teljesítéséhez, közérdekű archiválási vagy statisztikai célból, illetve jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez. Amennyiben törlési kérelmét teljesítjük, töröljük az összes rendelkezésünkre álló másolatot is, és értesítünk minden olyan címzettet (pl. adatfeldolgozót), akivel az adatot közöltük, kivéve, ha ez lehetetlen vagy aránytalan erőfeszítéssel járna.
7.1.4. Az adatkezelés korlátozásához való jog: Ön kérheti, hogy korlátozzuk a személyes adatai kezelését bizonyos esetekben. Az adatkezelés korlátozása azt jelenti, hogy az adott adatokat csak tároljuk, és csak korlátozott esetekben kezeljük tovább (például az ön hozzájárulásával, vagy jogi igények miatt). Ilyen esetek lehetnek különösen: (a) ha vitatja a személyes adatok pontosságát (ez esetben a korlátozás arra az időtartamra szól, amíg ellenőrizzük az adatok pontosságát); (b) ha az adatkezelés jogellenes, de ön ellenzi az adatok törlését, és ehelyett kéri a felhasználás korlátozását; (c) ha már nincs szükségünk a személyes adatokra az adatkezelés céljából, de ön igényt tart rájuk jogi igényeinek érvényesítéséhez; vagy (d) ha ön tiltakozott az adatkezelés ellen – ez esetben a korlátozás arra az időre érvényes, amíg eldöntjük, hogy a mi jogos indokaink elsőbbséget élveznek-e az ön indokaival szemben. Ha korlátozás alá kerül az adatkezelés, az érintett adatokat megjelöljük, és biztosítjuk, hogy azokat a korlátozás feloldásáig ne használjuk vagy továbbítsuk. A korlátozás feloldása előtt ismét tájékoztatjuk önt. A korlátozás elrendeléséről (és annak későbbi feloldásáról) szintén értesítünk minden címzettet, akikkel az adatokat közöltük, kivéve, ha ez lehetetlen vagy aránytalan erőfeszítést igényel.
7.1.5. Adathordozhatósághoz való jog: Ön jogosult arra, hogy az ön által rendelkezésünkre bocsátott személyes adatokat géppel olvasható, széles körben használt, tagolt formátumban visszakapja, és ezeket az adatokat egy másik adatkezelőnek továbbítsa, vagy – amennyiben technikailag megvalósítható – kérje tőlünk az adatok közvetlen továbbítását egy másik szolgáltatóhoz. Az adathordozhatóság joga elsősorban azon adatokra vonatkozik, amelyeket ön bocsátott rendelkezésünkre és amelyeket az ön hozzájárulása alapján vagy szerződés teljesítése érdekében, automatizált módon kezelünk. Fontos, hogy az adathordozhatóság nem sértheti mások jogait és szabadságait: például, ha egy adat más érintettre is vonatkozik, vagy üzleti titkot képez, e jog gyakorlása nem eredményezheti ezen információk jogellenes közlését. Az adathordozhatósághoz való jog gyakorlása során igyekszünk biztosítani a megfelelő, interoperábilis formátumot (pl. CSV, XML vagy hasonló formátum) a könnyebb adattovábbítás érdekében.
7.1.6. Tiltakozáshoz való jog: Ön bármikor jogosult tiltakozni személyes adatai kezelése ellen, ha az adatkezelés (a) közérdekű feladat végrehajtásához vagy az adatkezelő jogos érdekének érvényesítéséhez szükséges (GDPR 6. cikk (1) e) vagy f) pont szerinti adatkezelés), (b) közvetlen üzletszerzés (direkt marketing) céljából történik, vagy (c) tudományos vagy történelmi kutatás, illetve statisztikai célból történik. Tiltakozás esetén – a direkt marketing miatti tiltakozást kivéve – megvizsgáljuk, hogy van-e olyan kényszerítő erejű jogos okunk az adatkezelésre, amely elsőbbséget élvez az ön jogaival és szabadságaival szemben. Direkt marketing (pl. hírlevél) esetén az ön tiltakozása feltétlenül teljesül, azaz ilyen célból a továbbiakban nem kezeljük az adatait. Egyéb esetekben, ha a tiltakozás megalapozott, személyes adatait töröljük vagy az adatkezelést korlátozzuk; ha pedig nem tudunk eleget tenni a kérésnek, úgy erről – döntésünk indokaival – tájékoztatjuk önt. Felhívjuk figyelmét, hogy ha tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos okunk a folytatásra, akkor személyes adatait nem kezelhetjük tovább. (Ilyen elsőbbséget élvező ok lehet például egy esetleges jogi igényünk érvényesítése vagy védelme.) Tiltakozási jogát automatizált eszközökkel is gyakorolhatja – például beállíthatja, hogy ne rögzítsünk bizonyos adatokat, vagy leiratkozhat hírlevelünkről – de természetesen írásban vagy szóban is jelezheti felénk tiltakozását.
7.1.7. Automatizált döntéshozatal elleni fellépés joga (profilalkotás): Önnek joga van ahhoz, hogy ne legyen alávetve olyan, kizárólag automatizált adatkezelésen alapuló döntésnek, amely joghatással járna vagy önt hasonlóképpen jelentős mértékben érintené. A kizárólag automatizált döntéshozatal – beleértve a profilalkotást – azt jelenti, hogy az ön személyes adatai alapján emberi beavatkozás nélkül hozunk meg döntéseket (például automatikus algoritmus alapján értékeljük az ön hitelképességét vagy munkahelyi teljesítményét). A GDPR értelmében ilyen esetben ön jogosult emberi beavatkozást kérni, az automatizált döntéssel szemben álláspontját kifejteni, és a döntést megkérdőjelezni/vitatni. Társaságunknál jelenleg nem alkalmazunk az önre nézve joghatással bíró, kizárólag automatizált döntéshozatalt; amennyiben a jövőben mégis sor kerülne ilyen eljárásra, arról előzetesen tájékoztatjuk önt a GDPR 13–14. cikkeinek megfelelően, és biztosítjuk a fent említett jogok gyakorlását.
7.2. Az Ön jogainak gyakorlásának módja
Ön a fenti jogaival bármikor élhet. A jogok gyakorlását (kérelmét) társaságunkhoz, mint adatkezelőhöz kell benyújtania. Ezt megteheti írásban postai úton a székhelyünkre küldött levélben, elektronikus úton az adatkezelési tájékoztatóban megadott e-mail címünkön, vagy – ahol alkalmazható – akár szóban (telefonon vagy személyesen) is. Kérjük, hogy kérelme benyújtásakor megfelelően azonosítsa magát (szükség esetén további információkat kérhetünk öntől a személyazonosság megerősítéséhez), hiszen személyes adatokat érintő jogokat csak az érintett személy gyakorolhat. Amennyiben kétség merül fel az ön személyazonosságát illetően, és nem tudjuk önt beazonosítani, sajnos nem áll módunkban teljesíteni a kérelmét.
Kérelmét indokolatlan késedelem nélkül, de legkésőbb a beérkezéstől számított 1 hónapon belül elbíráljuk és megválaszoljuk. A válaszunkban tájékoztatjuk önt az intézkedéseinkről (pl. megadtuk-e a kért információt, megtettük-e a kért intézkedést), illetve, ha valami okból nem tudunk eleget tenni a kérésének, ennek részletes indokairól. Szükség esetén – figyelembe véve a kérelem összetettségét és a hozzánk beérkezett kérelmek számát – ezt az egyhónapos határidőt további legfeljebb 2 hónappal meghosszabbíthatjuk, de ebben az esetben az eredeti egy hónapon belül értesítjük önt a hosszabbítás tényéről és okairól. Ha a kérelmét elektronikus úton (e-mailben) nyújtotta be, igény szerint – és lehetőség szerint – elektronikus úton válaszolunk, kivéve, ha ön másként kéri.
A kérelmek elbírálása és a tájékoztatás díjmentes. Ez azt jelenti, hogy általában nem számítunk fel semmilyen díjat azért, hogy önt a jogai gyakorlása kapcsán információkkal lássuk el, illetve a kért intézkedéseket megtegyük. Kivételes esetben, ha az ön kérelme egyértelműen megalapozatlan vagy túlzó, különösen mert ismétlődő jellege miatt visszaélésnek minősül, jogszabály lehetővé teszi, hogy ésszerű összeget számítsunk fel az adminisztratív költségek fedezésére, vagy megtagadjuk a kérelem teljesítését. Ilyen esetben mindig indokolni fogjuk döntésünket, és bizonyítani tudjuk, hogy a kérelem megalapozatlan vagy túlzó volt.
Ha valamilyen okból nem tudunk eleget tenni az ön kérelmének, erről legkésőbb 1 hónapon belül értesítjük önt, megjelölve a teljesítés elmaradásának okait, valamint tájékoztatjuk önt arról is, hogy panaszt nyújthat be a felügyeleti hatóságnál és bírósági jogorvoslati jogával élhet. Kérjük, vegye figyelembe, hogy jogai gyakorlása érdekében elsősorban hozzánk forduljon, hiszen társaságunk elkötelezett aziránt, hogy minden kérésére és panaszára megoldást találjon. Mi is azt szeretnénk, hogy adatai biztonságban legyenek és az ön rendelkezései érvényesüljenek, ezért a lehető leghamarabb és legmegnyugtatóbban igyekszünk rendezni az adatkezeléssel kapcsolatos problémákat.
7.3. Jogorvoslati lehetőségek
Amennyiben úgy véli, hogy személyes adatai kezelése megsérti a vonatkozó jogszabályokat – különösen a GDPR rendelkezéseit – vagy nem tudtuk kielégítően orvosolni az adatkezeléssel kapcsolatos panaszát, az alábbi jogorvoslati lehetőségek illetik meg önt:
Reméljük, hogy ilyen jogérvényesítésre nem kerül sor, és mindent megteszünk azért, hogy az ön adatvédelmi jogai maradéktalanul érvényesüljenek. Mindazonáltal fontos tudnia, hogy jogai védelmében ezek a lehetőségek rendelkezésére állnak. Arra biztatjuk, hogy először mindig keresse meg társaságunkat bizalommal kérdéseivel vagy problémáival – célunk, hogy békés úton, gyorsan orvosoljuk az esetleges panaszokat, és elkerüljük a hatósági vagy bírósági eljárásokat. Amennyiben azonban szükséges, jogai biztosítása érdekében ne habozzon élni a fenti jogorvoslati lehetőségekkel.
8. Részletes sütikezelési tájékoztató
8.1. A sütik szerepe és alkalmazása a honlapon
Weboldalunk cookie-kat (sütiket) – azaz kis szöveges adatfájlokat – alkalmaz a felhasználói élmény javítása és bizonyos funkciók biztosítása érdekében. Ezeket a sütifájlokat az ön böngészője az ön eszközén tárolja, és alkalmasak lehetnek például a beállítások megjegyzésére vagy anonimizált statisztikai adatok gyűjtésére. Fontos kiemelni, hogy egyes sütik elengedhetetlenek a honlap működéséhez (ilyen például a bejelentkezéshez vagy biztonsághoz szükséges süti), míg más sütik statisztikai célokat szolgálnak – marketing célú sütiket nem alkalmazunk. A sütik önmagukban nem használhatók fel az ön személyének közvetlen azonosítására, csupán az eszközét ismerik fel, azonban bizonyos esetekben – például egyedi azonosítók vagy IP-cím tárolásakor – személyes adatnak minősülhetnek az általuk gyűjtött információk.
Az adatkezelés jogalapja a nem elengedhetetlen sütik (pl. statisztikai sütik) esetén az ön hozzájárulása (GDPR 6. cikk (1) a) pont), amelyet a honlapra érkezéskor megjelenő süti-sávban kérünk el öntől. Ezzel szemben a működéshez szükséges sütik használata Társaságunk jogos érdeke (GDPR 6. cikk (1) f) pont), tekintettel arra, hogy ezek hiányában a weboldal nem működne megfelelően. A sütikkel kapcsolatos részletes információkat – így az egyes sütik típusát, funkcióját, élettartamát, valamint az ön választási lehetőségeit – az alábbiakban ismertetjük.
8.2. A honlapon alkalmazott sütitípusok
Az ekoLogisztika Kft. weboldalán jelenleg az alábbi sütikategóriákat használjuk a látogatók eszközein. Minden sütitípusnál feltüntetjük a célját és jellemzőit.
8.3. Az alkalmazott sütik részletes listája
Az alábbi táblázat tartalmazza a weboldalunk által használt egyes sütiket, azok főbb jellemzőivel. A sütik neve, a hozzájuk tartozó szolgáltató (saját domain vagy harmadik fél), a céljuk, valamint élettartamuk (érvényességi idejük) is feltüntetésre került az átláthatóság érdekében:
Süti neve | Szolgáltató | Célja | Élettartama |
CookieConsent (példa) | ekoLogisztika Kft. (saját) | A sütihozzájárulás megjegyzése; annak rögzítése, hogy a felhasználó elfogadta-e a sütik használatát, így a figyelmeztetés nem jelenik meg újra. | 365 nap (1 év) |
PHPSESSID (munkamenet süti) | ekoLogisztika Kft. (saját) | Munkamenet azonosító süti, amely a böngésző munkamenet idejére tárolódik. Segítségével a honlap emlékszik az ideiglenes információkra (pl. űrlap kitöltés során megadott adatok), és biztosítja a több lépéses folyamatok (pl. online megrendelőlap) működését. | A munkamenet végéig (böngésző bezárásáig) |
_ga | Google (harmadik fél) | Google Analytics statisztikai süti, mely egyedi azonosítót rendel a felhasználóhoz, így megkülönbözteti az egyes látogatókat. Ennek segítségével mérjük a weboldal látogatottságát és használati statisztikáit. Nem gyűjt személyes adatot, csak anonim információkat. | 2 év |
_gid | Google (harmadik fél) | Google Analytics statisztikai süti, mely a felhasználók közötti különbségtételt és az egyes látogatások session azonosítását segíti elő. Rövid távú süti, ami a napi látogatói forgalmat méri. | 24 óra |
_gat | Google (harmadik fél) | Google Analytics statisztikai süti, mely a lekérdezések gyakoriságát korlátozza (throttle). Segít abban, hogy a magas forgalmú oldalaknál se terhelje túl az adatgyűjtés a rendszert. | 1 perc |
NID (reCAPTCHA süti) | Google (harmadik fél) | A Google reCAPTCHA szolgáltatás által beállított süti. Célja a weboldal űrlapjainak védelme spam és visszaélések ellen – megkülönbözteti a valódi felhasználókat a robotoktól. Lehetővé teszi például, hogy a captcha teszt során a rendszer felismerje, hogy korábban járt-e már a látogató Google szolgáltatáson. | ~6 hónap |
rc::a (reCAPTCHA süti) | Google (harmadik fél) | Tartós reCAPTCHA azonosító a felhasználó eszközén, amely a gépi forgalom szűrését szolgálja. Ez a süti hozzájárul a weboldal biztonságához azáltal, hogy észleli a robottevékenységet és megjegyzi, ha egy felhasználó korábban már sikeresen átment a captcha ellenőrzésen. | Tartós (hosszú távú, vagy frissül) |
rc::c (reCAPTCHA süti) | Google (harmadik fél) | Ideiglenes reCAPTCHA süti, amely a böngészési munkamenet során segít valós időben szűrni a kéretlen automatikus kéréseket. Nem tartalmaz személyes információt, csak a kérések technikai elemzésére szolgál. | A munkamenet végéig |
Megjegyzés: A fenti táblázat tájékoztató jellegű felsorolás. Előfordulhat, hogy a Google Analytics és a reCAPTCHA további azonosítókat vagy hasonló technológiákat alkalmaz (pl. helyi tárolás vagy pixelek) a szolgáltatásai működtetése során. Társaságunk folyamatosan frissíti a sütikezelési tájékoztatót, hogy az aktuálisan használt sütikről naprakész információt nyújtson.
8.4. A sütibeállítások kezelése és a hozzájárulás visszavonása
Önnek, mint felhasználónak, jogában áll dönteni a nem szükséges sütik elfogadásáról, illetve később is bármikor módosíthatja sütibeállításait. A weboldalunk első látogatásakor megjelenő süti-értesítő sávban lehetősége van a statisztikai sütik elfogadására (az „OK” gomb megnyomásával), vagy ennek elutasítására/további információ kérésére a „Tudj meg többet” opcióval. Amennyiben a későbbiekben szeretné visszavonni a korábban adott hozzájárulását, azt az alábbi módokon teheti meg:
Szeretnénk hangsúlyozni, hogy a marketing célú sütik hiánya miatt ön a mi honlapunkon elsősorban az alapműködéshez és anonim statisztikákhoz használt sütikkel találkozik. Bízunk benne, hogy a fentiek alapján átlátható képet kapott a sütik kezeléséről. Amennyiben további kérdése merül fel a sütik használatával kapcsolatban, forduljon bizalommal hozzánk az adatvédelmi tisztviselőnk vagy ügyfélszolgálatunk elérhetőségein. Mi pedig folyamatosan dolgozunk azon, hogy weboldalunk sütikezelése megfeleljen a hatályos jogszabályoknak és az ön elvárásainak, biztosítva ezzel adatai biztonságát és a kellemes böngészési élményt.
9. Adatvédelmi incidensek kezelése
9.1 Az adatvédelmi incidens fogalma
Adatvédelmi incidensnek minősül minden olyan biztonsági esemény, amely a személyes adatok bizalmasságát, sértetlenségét vagy rendelkezésre állását érinti, és ennek következtében a kezelt személyes adatok véletlenül vagy jogellenesen megsemmisülnek, elvesznek, megváltoznak, jogosulatlanul nyilvánosságra kerülnek, illetve az azokhoz való jogosulatlan hozzáférés megvalósul. Egyszerűbben fogalmazva: adatvédelmi incidens történik például akkor, ha illetéktelen személy fér hozzá az általunk kezelt személyes adatokhoz, ha az adatokat véletlenül törlik vagy elveszítik, vagy ha azok kiszivárognak és illetéktelenekhez jutnak. Ilyen esetek mind az adatvédelmi incidens kategóriájába tartoznak.
9.2 Megelőző intézkedések
Társaságunk kiemelt figyelmet fordít arra, hogy a személyes adatok védelmét hatékony megelőző intézkedésekkel garantálja, megelőzve ezzel az adatvédelmi incidensek bekövetkezését. Ennek érdekében szigorúan korlátozzuk a személyes adatokhoz való hozzáférést: csak azok a munkatársak férhetnek hozzá a kezelt adatokhoz, akiknek ez feltétlenül szükséges a munkájukhoz. Technikai oldalról korszerű biztonsági megoldásokat alkalmazunk, ideértve a titkosítást az adatok tárolásánál és továbbításánál, erős jelszavak használatát és rendszeres cseréjét, valamint tűzfalak és vírusvédelmi szoftverek működtetését az illetéktelen behatolások ellen. Lehetővé tesszük továbbá – ahol csak lehetséges – a kétfaktoros hitelesítés (2FA) alkalmazását a fiókok és rendszerek védelmére, és rendszeres adatmentéseket végzünk, hogy egy esetleges adatvesztés esetén az adatok visszaállíthatók legyenek. Mindezen megelőző intézkedések célja az incidensek bekövetkezésének minimálisra csökkentése és az általunk kezelt személyes adatok biztonságának folyamatos szavatolása.
9.3 Észlelés és értékelés
Célunk, hogy az esetleges adatvédelmi incidenseket mielőbb észleljük. Amennyiben ennek ellenére incidens történik, vagy adatbiztonsági esemény gyanúja merül fel, Társaságunk, mint adatkezelő haladéktalanul megkezdi az eset kivizsgálását. (Megjegyezzük, hogy külön adatvédelmi tisztviselőt nem jelöltünk ki; az adatvédelemmel kapcsolatos feladatokat – így az incidenskezelést is – közvetlenül az adatkezelő, azaz társaságunk illetékes vezetője látja el.) Az incidens kivizsgálása során rögzítjük az esemény lényeges körülményeit és azonosítjuk, hogy milyen személyes adatok érintettek.
Ezt követően értékeljük az incidens súlyosságát és lehetséges hatásait. Az értékelés során meghatározzuk, hogy az incidens milyen kockázattal járhat az érintettek jogaira és szabadságaira nézve. Külön figyelmet fordítunk annak megítélésére, hogy az incidens jellegéből adódóan felmerülhet-e magas kockázat az érintettekre nézve (például érzékeny adatok érintettsége vagy nagy számú érintett esetén). Az így elvégzett kockázatelemzés alapján döntünk a további szükséges lépésekről, úgymint a felügyeleti hatóság értesítéséről és az érintett személyek tájékoztatásáról.
9.4 Bejelentési kötelezettség a felügyeleti hatóság felé
Amennyiben a vizsgálat eredménye szerint az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, Társaságunk a GDPR 33. cikkében foglalt kötelezettségnek eleget téve indokolatlan késedelem nélkül, de legkésőbb az incidens tudomásunkra jutásától számított 72 órán belül bejelentést tesz az illetékes felügyeleti hatóságnál. Magyarországon az illetékes hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), így adatvédelmi incidens esetén a NAIH értesítésre kerül a fenti határidőn belül. A bejelentésben ismertetjük az incidens releváns körülményeit és tényeit, beleértve többek között az incidens jellegét, az érintett adatok kategóriáit és becsült mennyiségét, az incidensből eredő lehetséges következményeket, valamint az incidens orvoslására tett vagy tervezett intézkedéseinket.
Ha a bejelentés valamilyen elháríthatatlan ok miatt nem történne meg 72 órán belül, a késedelem indokait is mellékeljük a hatóságnak küldött jelentésben. Megjegyezzük, hogy amennyiben az incidens olyan csekély súlyú, hogy valószínűsíthetően egyáltalán nem jár kockázattal az érintettekre nézve (azaz bagatell incidens), akkor a GDPR alapján nincs hatósági bejelentési kötelezettség – ilyen esetben is dokumentáljuk azonban az incidenst, és indokolt esetben megtesszük a szükséges belső intézkedéseket.
9.5 Érintettek tájékoztatása
Az adatvédelmi incidensek kezelése során kiemelten fontos szempont az érintett természetes személyek jogainak védelme és az átláthatóság. Ennek érdekében, ha az incidens jellegéből adódóan magas kockázat merül fel az érintettek jogaira és személyes adataira nézve, Társaságunk indokolatlan késedelem nélkül tájékoztatja az érintetteket az incidensről. A tájékoztatást a lehető legrövidebb időn belül, az incidens körülményeinek kivizsgálását követően tesszük meg, közérthető formában.
Az érintetteknek szóló értesítés tartalmazza az incidens lényegének ismertetését (milyen esemény történt, és hogyan érinti a személyes adatokat), megjelöljük benne, hogy milyen személyes adatok kerültek veszélybe vagy sérültek az incidens során, és tájékoztatást adunk arról is, hogy milyen intézkedéseket tettünk vagy tervezünk az incidens következményeinek enyhítésére és az újbóli előfordulás megelőzésére. Szükség szerint javaslatokat is adunk az érintetteknek azzal kapcsolatban, hogy ők maguk milyen lépéseket tehetnek adataik védelme érdekében (például jelszócsere, figyelmeztetés a gyanús e-mailekre stb.). Ezzel biztosítjuk, hogy az érintettek megfelelő információ birtokában legyenek, és megtehessék a saját adataik biztonságát érintő szükséges óvintézkedéseket. Fontos: Amennyiben Társaságunk megfelelő technikai védelmi intézkedéseket alkalmazott (például titkosítás), és ezek az intézkedések az érintettekre leselkedő kockázatot ténylegesen semlegesítették, vagy a későbbi intézkedések biztosítják, hogy a magas kockázat már nem áll fenn, a GDPR 34. cikkével összhangban elhagyható az érintettek közvetlen tájékoztatása. Ilyen esetben is közzé tehetünk azonban nyilvános közleményt az incidensről, vagy más hasonló intézkedést hozhatunk annak érdekében, hogy az érintettek információhoz jussanak.
9.6 Dokumentáció
Társaságunk minden adatvédelmi incidensről belső nyilvántartást vezet az elszámoltathatóság elvének megfelelően. Ez a belső adatvédelmi incidens-nyilvántartás tartalmazza az egyes incidensek alapvető adatait és körülményeit, így különösen az incidens leírását (mi történt és mikor), az érintett személyes adatok körét, az incidenssel érintettek számát (ha releváns), az incidens feltételezhető hatásait, valamint az incidens orvoslására és a jövőbeni hasonló esetek megelőzésére tett intézkedéseinket. E dokumentáció célja, hogy bármikor igazolni tudjuk: megfeleltünk a vonatkozó jogszabályi kötelezettségeknek, az incidenseket megfelelően kezeltük, és levontuk a szükséges tanulságokat. Az adatvédelmi incidensek belső nyilvántartását és az azokhoz kapcsolódó dokumentumokat kérés esetén rendelkezésre bocsátjuk a felügyeleti hatóság számára, azonban azokat a nyilvánosság felé nem tesszük közzé.
10. Adatvédelmi hatásvizsgálat és tervezés
10.1 Az adatvédelmi hatásvizsgálat (DPIA) célja
Az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment, DPIA) a GDPR által előírt eszköz a magas kockázatú adatkezelések előzetes felmérésére. A GDPR 35. cikk (1) bekezdése szerint akkor kell DPIA-t végezni, ha egy tervezett adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A hatásvizsgálat célja feltárni az adatkezelés jellegét, megvizsgálni annak szükségességét és arányosságát, valamint azonosítani a személyes adatok kezeléséből eredő kockázatokat és elősegíteni azok csökkentését megfelelő intézkedésekkel. Ezzel a DPIA biztosítja, hogy a kockázatokat már az adatkezelés megkezdése előtt kezeljük, és eleget tegyünk a GDPR előírásainak a beépített adatvédelem és az elszámoltathatóság elve mentén.
10.2 Hatásvizsgálati kötelezettség vizsgálata
Az ekoLogisztika Kft. áttekintette a jelenlegi adatkezelési tevékenységeit abból a szempontból, hogy szükséges-e adatvédelmi hatásvizsgálat elvégzése. Megállapítottuk, hogy a cég jelenlegi tevékenységei nem minősülnek olyan adatkezelésnek, amely valószínűsíthetően magas kockázattal járna, így a GDPR 35. cikk szerinti DPIA elvégzése jelenleg nem kötelező. A vállalkozás kis méretű, alkalmazott nélkül működik, és csupán alapvető személyes adatokat kezel az áruszállítás és futárszolgálat teljesítéséhez, különleges kategóriájú adatokat egyáltalán nem gyűjt. Mindezek következtében az adatkezelés korlátozott körű és nem nagymértékű, ezért nem esik a kötelező hatásvizsgálat tipikus esetei alá (mint amilyenek például a nagy mennyiségű különleges adat kezelése vagy a nyilvános helyek rendszeres megfigyelése). A GDPR preambuluma (91) pontja is alátámasztja, hogy ha az adatkezelés nem nagyszabású – például egy szolgáltató csak a saját ügyfelei adatait kezeli korlátozott mértékben –, akkor nem indokolt DPIA lefolytatása. Az ekoLogisztika Kft. adatkezelései ilyen jellegűek, így jelenleg nincs szükség adatvédelmi hatásvizsgálatra.
10.3 Elköteleződés a jövőre nézve
Az ekoLogisztika Kft. elkötelezett amellett, hogy a jövőben minden új vagy megváltozott adatkezelési cél esetén újból megvizsgálja a DPIA szükségességét. Az adatkezelőnek folyamatosan értékelnie kell a tevékenységéből eredő kockázatokat, hogy időben felismerje, ha egy új adatkezelés valószínűsíthetően magas kockázattal járhat. Ennek megfelelően, ha a vállalkozás új adatkezelésbe kezd vagy a meglévő adatkezelés célját jelentősen módosítja, először felmérjük, hogy szükséges-e hatásvizsgálat. Magas kockázat azonosítása esetén elvégezzük a DPIA-t, és amennyiben a kockázatokat a rendelkezésre álló technológiákkal és intézkedésekkel nem lehet elfogadható szintre mérsékelni, akkor az adatkezelés megkezdése előtt konzultálunk a felügyeleti hatósággal (NAIH). E kötelezettség összhangban áll a GDPR 36. cikkével, amely előírja az előzetes konzultációt a felügyeleti hatósággal, ha a hatásvizsgálat elfogadhatatlanul magas fennmaradó kockázatot tár fel. Ez a proaktív megközelítés garantálja, hogy a jövőben is megfeleljünk az adatvédelmi előírásoknak és minimalizáljuk az érintettekre leselkedő kockázatokat.
10.4 Beépített és alapértelmezett adatvédelem
A vállalkozás adatkezelési gyakorlataiban érvényesíti a „Privacy by Design” (beépített adatvédelem) és „Privacy by Default” (alapértelmezett adatvédelem) elveit. Ez azt jelenti, hogy már a rendszerek és folyamatok tervezésekor beépítünk minden szükséges technikai és szervezési intézkedést annak érdekében, hogy az adatvédelmi követelmények teljesüljenek, és a megfelelő garanciák biztosítva legyenek. A beépített adatvédelem elve alapján az adatkezelés teljes életciklusa során figyelembe vesszük az adatvédelem szempontjait – például az adattakarékosság és az adatok biztonsága – és ezeknek megfelelően alakítjuk ki a folyamatokat. Az alapértelmezett adatvédelem pedig biztosítja, hogy kezdettől fogva csak olyan személyes adatokat kezeljünk, amelyek az adott célhoz feltétlenül szükségesek, mind az adatmennyiség, a kezelés terjedelme, a tárolás időtartama, mind pedig a hozzáférhetőség szempontjából. Így garantáljuk, hogy a lehető legkevesebb adatot és csak a szükséges ideig kezeljük, továbbá az adatokat alapértelmezetten úgy védjük, hogy azok ne válhassanak jogosulatlan személyek számára hozzáférhetővé. Ezen elvek következetes alkalmazásával az ekoLogisztika Kft. minimalizálja az adatvédelmi kockázatokat és biztosítja az érintettek magánszférájának tiszteletben tartását.
11. Az adatvédelmi tájékoztató módosítása
11.1 A módosítás indokai
Az ekoLogisztika Kft. fenntartja a jogot jelen Adatvédelmi Tájékoztató tartalmának módosítására. A módosításra különösen az alábbi esetekben kerülhet sor:
– ha a hatályos adatvédelmi vagy egyéb jogszabályok megváltoznak
– ha a felügyeleti hatóság (NAIH) vagy bíróság új elvárásokat, gyakorlati irányelveket fogalmaz meg
– ha társaságunk új szolgáltatást vezet be, vagy a meglévő szolgáltatás adatkezelési folyamatai módosulnak
– ha új adatkezelési cél, jogalap vagy eszköz kerül bevezetésre (pl. új honlapfunkció, új rendszer, új online platform)
– ha új adatfeldolgozó vagy adatkezelő vonódik be a szolgáltatás nyújtásába
– ha az általunk kezelt adatok kategóriája, mennyisége vagy megőrzési ideje jelentősen változik
– ha az adatkezelés kockázatai megváltoznak, és indokolttá válik azok újraértékelése
A módosítás célja minden esetben az, hogy Társaságunk adatkezelési tevékenysége teljeskörűen megfeleljen a hatályos jogszabályi és szakmai előírásoknak, és biztosítsa az érintettek személyes adatainak megfelelő védelmét.
11.2 Értesítés az érintettek felé
A módosított Adatvédelmi Tájékoztatót Társaságunk minden esetben közzéteszi a saját honlapján (www.ekologisztika.hu), és az elérhető az alábbi menüpontban: Adatvédelem.
A módosítás tényére – annak jelentőségétől függően – az alábbi módokon hívjuk fel az érintettek figyelmét:
– figyelemfelhívás a weboldal főoldalán, süti-sávban vagy az online megrendelő felületen
– szükség esetén közvetlen értesítés e-mailben, ha az adatkezelés természete, célja vagy jogalapja lényegesen megváltozik
– tájékoztatás a módosítás dátumáról és lényegéről a dokumentum bevezető szakaszában
A módosításokkal kapcsolatos értesítési kötelezettség során az ekoLogisztika Kft. figyelembe veszi a GDPR 12. cikkében előírt átláthatósági követelményt, valamint a 13. és 14. cikkekben meghatározott tartalmi minimumokat.
A tájékoztatás célja, hogy az érintettek mindig naprakészen ismerjék meg a rájuk vonatkozó adatkezelési feltételeket, és jogaikat ennek megfelelően gyakorolhassák.
11.3 A módosítás hatályba lépése
A módosított Adatvédelmi Tájékoztató a dokumentumban megjelölt naptól, ennek hiányában a közzététel napjától lép hatályba.
A dokumentum mindenkori verziója az alábbiakat tartalmazza:
– a kiadás dátuma
– a hatályba lépés napja
– (amennyiben indokolt) a módosítások rövid összefoglalása vagy indokolása
Társaságunk a korábban hatályos dokumentumokat archiválja, azonban ezeket a nyilvánosság számára nem tesszük közzé. Kérés esetén azonban a korábbi változatokat az adatkezelő visszakereshető módon dokumentálja.
Fontos kiemelni, hogy a módosítások nem érintik visszamenőlegesen azokat az adatkezelési műveleteket, amelyeket a módosítást megelőzően, a korábbi tájékoztató alapján végeztünk. Ezekre továbbra is a módosítás előtti rendelkezések irányadóak.