PRIVACY POLICY

Privacy Policy - Scroll down for English version

Adatkezelési tájékoztató

www.annaamelie.com

BEVEZETÉS

A Waldron Sydney András  (székhely: 1184 Budapest Építő utca 2. 5.em. 20 ajtó , adószám: 57512507143, nyilvántartási szám: 56149438) (a továbbiakban: Szolgáltató, adatkezelő) alá veti magát a következő tájékoztatónak.

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) szerint az alábbi tájékoztatást adjuk.

Jelen adatkezelési tájékoztató az alábbi oldalak adatkezelését szabályozza: www.annaamelie.com

Az adatkezelési tájékoztató elérhető az alábbi oldalról: 

- link az adatkezelési tájékoztatóhoz - 

A tájékoztató módosításai a fenti címen történő közzététellel lépnek hatályba.

AZ ADATKEZELŐ ÉS ELÉRHETŐSÉGEI:

Név: Waldron Sydney András E.V.

Székhely: 1184 Budapest Építő utca 2. 5.em. 20 ajtó

E-mail: info@annaamelie.com

FOGALOM MEGHATÁROZÁSOK

1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
3. „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
4. „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
5. „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
6. „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
7. „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

A SZEMÉLYES ADATOK KEZELÉSÉRE VONATKOZÓ ELVEK

A személyes adatok:

1. a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
2. b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
3. c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
4. d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
5. e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
6. f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

Az adatkezelő felelős a fentiek megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

ADATKEZELÉSEK

WEBÁRUHÁZ MŰKÖDTETÉSHEZ KAPCSOLÓDÓ ADATKEZELÉS

1. Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:

Személyes adat	Az adatkezelés célja
Felhasználói név	Azonosítás, a regisztráció lehetővé tétele.
Jelszó	A Felhasználói fiókba történő biztonságos belépést szolgálja.
Vezeték-és keresztnév	A kapcsolatfelvételhez, a vásárláshoz és a szabályszerű számla kiállításához szükséges.
E-mail cím	Kapcsolattartás.
Telefonszám	Kapcsolattartás, a számlázással, vagy a szállítással kapcsolatos kérdések hatékonyabb egyeztetése.
Számlázási név és cím	A szabályszerű számla kiállítása, továbbá a szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése.
Szállítási név és cím	A házhoz szállítás lehetővé tétele.
A vásárlás/regisztráció időpontja	Technikai művelet végrehajtása.
A vásárlás/regisztráció kori IP cím	Technikai művelet végrehajtása.

Sem a felhasználói név, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon.

2. Az érintettek köre: A webshop weboldalon regisztrált/vásárló valamennyi érintett.
3. Az adatkezelés időtartama, az adatok törlésének határideje: A regisztráció törlésével azonnal. Kivéve a számviteli bizonylatok esetében, hiszen a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig meg kell őrizni ezeket az adatokat.

A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.

4. Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő sales és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
5. Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése:

• Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
• tiltakozhat az ilyen személyes adatok kezelése ellen, valamint
• az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.

6. A személyes adatokhoz való hozzáférést, azok törlését, módosítását, vagy kezelésének korlátozását, az adatok hordozhatóságát, az adatkezelések elleni tiltakozást az alábbi módokon tudja érintett kezdeményezni:

- postai úton a 1056 Irányi utca 9. címen,

- e-mail útján az info@annaamelie.com  e-mail címen.

7. Az adatkezelés jogalapja:

7.1. Az érintett hozzájárulása, 6. cikk (1) bekezdés a) pont, az Infotv. 5. § (1) bekezdése,

7.2. Az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Elker tv.) 13/A. § (3) bekezdése:

A szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.

7.3. A számviteli jogszabályoknak megfelelő számlát kiállítása esetén a 6. cikk (1) bekezdés c) pontja.

8. Tájékoztatjuk, hogy

• az adatkezelés az Ön hozzájárulásán alapul.
• köteles a személyes adatokat megadni, hogy tudjuk a rendelését teljesíteni.
• az adatszolgáltatás elmaradása azzal a következményekkel jár, hogy nem tudjuk a rendelését feldolgozni.

AZ IGÉNYBE VETT ADATFELDOLGOZÓK

A harmadik fél adatkezelők a saját nevükben, a saját adatvédelmi szabályzatuknak megfelelően kezelik az általunk közölt személyes adatokat.

Szállítás

1. Adatfeldolgozó által ellátott tevékenység: Termékek kiszállítása, fuvarozás
2. Adatfeldolgozó megnevezése és elérhetősége:

GLS

Munkanapokon 7.00 - 20.00 érhető el.

Telefon: (+36 29) 886 700
Mobil: (+36 20) 890-0660 *

*Nem emelt díjas telefonszám. A hívás díja az adott telefonszolgáltatótól függ.

3. Az adatkezelés ténye, a kezelt adatok köre: Szállítási név, szállítási cím, telefonszám, e-mail cím.
4. Az érintettek köre: A házhozszállítást kérő valamennyi érintett.
5. Az adatkezelés célja: A megrendelt termék házhoz szállítása.
6. Az adatkezelés időtartama, az adatok törlésének határideje: A házhozszállítás lebonyolításáig tart.
7. Az adatfeldolgozás jogalapja: az Ügyfél hozzájárulása, 6. cikk (1) bekezdés a) pontja, az Infotv. 5. § (1) bekezdése.

Online fizetés

1. Adatfeldolgozó által ellátott tevékenység: Online fizetés
2. Adatfeldolgozó megnevezése és elérhetősége:

Stripe Payments UK, Ltd

Székhely: 7th Floor, The Bower Warehouse, 211 Old Street, London EC1V 9NR, United Kingdom

E-mail: info@stripe.com

3. Az adatkezelés ténye, a kezelt adatok köre: Számlázási név, számlázási cím, e-mail cím.
4. Az érintettek köre: A online vásárlást kérő valamennyi érintett.
5. Az adatkezelés célja: Az online fizetés lebonyolítása, a tranzakciók visszaigazolása és a Ügyfelek védelme érdekében végzett fraud-monitoring (visszaélések ellenőrzése).
6. Az adatkezelés időtartama, az adatok törlésének határideje: Az online fizetés lebonyolításáig tart.
7. Az adatfeldolgozás jogalapja: az Ügyfél hozzájárulása, az Infotv. 5. § (1) bekezdése, 6. cikk (1) bekezdés a) pontja, illetve az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

Tárhely-szolgáltató

1. Adatfeldolgozó által ellátott tevékenység: Tárhely-szolgáltatás
2. Adatfeldolgozó megnevezése és elérhetősége:

Shopify Inc. 150 Elgin Street

8th Floor

Ottawa, ON K2P 1L4

Canada

3. Az adatkezelés ténye, a kezelt adatok köre: Az érintett által megadott valamennyi személyes adat.
4. Az érintettek köre: A weboldalt használó valamennyi érintett.
5. Az adatkezelés célja: A weboldal elérhetővé tétele, megfelelő működtetése.
6. Az adatkezelés időtartama, az adatok törlésének határideje: Az adatkezelő és a tárhely-szolgáltató közötti megállapodás megszűnéséig, vagy az érintettnek a tárhely-szolgáltató felé intézett törlési kérelméig tart az adatkezelés.
7. Az adatfeldolgozás jogalapja: az Ügyfél hozzájárulása, az Infotv. 5. § (1) bekezdése, 6. cikk (1) bekezdés a) pontja, illetve az elektronikus kereskedelemi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény 13/A. § (3) bekezdése.

Egyéb adatfeldolgozó (számlázás):

Online számlázó szolgáltatást nyújtó cég neve: Billingo Technologies Zrt., adószáma: 27926309-2-41, Cégjegyzékszám: 01-10-140802, Székhely: 1133 Budapest, Árbóc utca 6. I. emelet , számlázószoftver neve: Billingo.hu

COOKIE-K (SÜTIK) KEZELÉSE

1. Webáruházakra jellemző cookie-k az úgynevezett „jelszóval védett munkamenethez használt cookie”, „bevásárlókosárhoz szükséges cookie-k” és „biztonsági cookie-k”, melyek használatához nem szükséges előzetes hozzájárulást kérni az érintettektől.
2. Az adatkezelés ténye, a kezelt adatok köre: Egyedi azonosítószám, dátumok, időpontok
3. Az érintettek köre: A weboldalt látogató valamennyi érintett.
4. Az adatkezelés célja: Az ügyfelek azonosítása, a „bevásárlókosár” nyilvántartására és a látogatók nyomon követése.
5. Az adatkezelés időtartama, az adatok törlésének határideje:

Süti típusa	Adatkezelés jogalapja	Adatkezelés időtartama
Munkamenet sütik (session)	Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése	A vonatkozó látogatói munkamenet lezárásáig tartó időszak
Állandó vagy mentett sütik	Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése	az érintett törléséig
Statisztikai, marketing sütik	Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalmi szolgáltatások egyes kérdéseiről szóló 2001. CVIII. törvény (Elkertv.) 13/A. § (3) bekezdése	1 hónap - 2 év

6. 6 Az adatok megismerésére jogosult lehetséges adatkezelők személye: A cookie-k használatával nem kezel személyes adatokat az adatkezelő.
7. Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az érintettnek lehetőségük van a cookie-kat törölni a böngészők Eszközök/Beállítások menüjében általában az Adatvédelem menüpont beállításai alatt.
8. Az adatkezelés jogalapja: Az érintettől hozzájárulás nem szükséges, amennyiben a cookie-k használatának kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás vagy arra az előfizető vagy az Ügyfél által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.
9. További információk a cookie-król: https://www.shopify.com/legal/cookies
10. A legtöbb böngésző, amelyet Ügyfeleink használnak, lehetővé teszi annak beállítását, hogy mely cookie-kat kell menteni és lehetővé teszi, hogy (meghatározott) cookie-k újra törlésre kerüljenek. Amennyiben Ön a cookie mentését meghatározott weboldalakon korlátozza vagy harmadik fél cookie-jait nem engedélyezi, úgy ez bizonyos körülmények között oda vezethet, hogy weboldalunk többé nem használható teljes egészében. Itt talál információkat arra vonatkozóan, hogy a szokásos böngészők esetében hogyan tudja a cookie beállításokat testre szabni:

Google Chrome (https://support.google.com/chrome/answer/95647?hl=hu)

Internet Explorer (https://support.microsoft.com/hu-hu/help/17442/windows-internet-explorer-delete-manage-cookies)

Firefox (https://support.mozilla.org/hu/kb/sutik-engedelyezese-es-tiltasa-amit-weboldak-haszn)

Safari (https://support.apple.com/hu-hu/guide/safari/sfri11471/mac)

GOOGLE ADWORDS KONVERZIÓKÖVETÉS HASZNÁLATA

1. A „Google Ads” nevű online reklámprogramot használja az adatkezelő, továbbá annak keretein belül igénybe veszi a Google konverziókövető szolgáltatását. A Google konverziókövetés a Google Inc. elemző szolgáltatása (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“).
2. Amikor Felhasználó egy weboldalt Google-hirdetés által ér el, akkor egy a konverziókövetéshez szükséges cookie kerül a számítógépére. Ezeknek a cookie-knak az érvényessége korlátozott, és nem tartalmaznak semmilyen személyes adatot, így a Felhasználó nem is azonosítható általuk.
3. Amikor a Felhasználó a weboldal bizonyos oldalait böngészi, és a cookie még nem járt le, akkor a Google és az adatkezelő is láthatja, hogy Felhasználó a hirdetésre kattintott.
4. Minden Google Ads ügyfél másik cookie-t kap, így azokat az Ads ügyfeleinek weboldalain keresztül nem lehet nyomon követni.
5. Az információk – melyeket a konverziókövető cookie-k segítségével szereztek – azt a célt szolgálják, hogy az Ads konverziókövetést választó ügyfeleinek számára konverziós statisztikákat készítsenek. Az ügyfelek így tájékozódnak a hirdetésükre kattintó és konverziókövető címkével ellátott oldalra továbbított felhasználók számáról. Azonban olyan információkhoz nem jutnak hozzá, melyekkel bármelyik felhasználót azonosítani lehetne.
6. Ha nem szeretne részt venni a konverziókövetésben, akkor ezt elutasíthatja azáltal, hogy böngészőjében letiltja a cookie-k telepítésének lehetőségét. Ezután Ön nem fog szerepelni a konverziókövetési statisztikákban.
7. További információ valamint a Google adatvédelmi nyilatkozata az alábbi oldalon érhető el:  www.google.de/policies/privacy/

 

A GOOGLE ANALYTICS ALKALMAZÁSA

1. Ez a honlap a Google Analytics alkalmazást használja, amely a Google Inc. („Google”) webelemző szolgáltatása. A Google Analytics úgynevezett „cookie-kat”, szövegfájlokat használ, amelyeket a számítógépére mentenek, így elősegítik az Ügyfél által látogatott weblap használatának elemzését.
2. Az Ügyfél által használt weboldallal kapcsolatos cookie-kkal létrehozott információk rendszerint a Google egyik USA-beli szerverére kerülnek és tárolódnak. Az IP-anonimizálás weboldali aktiválásával a Google az Ügyfél IP-címét az Európai Unió tagállamain belül vagy az Európai Gazdasági Térségről szóló megállapodásban részes más államokban előzőleg megrövidíti.
3. A teljes IP-címnek a Google USA-ban lévő szerverére történő továbbítására és ottani lerövidítésére csak kivételes esetekben kerül sor. Eme weboldal üzemeltetőjének megbízásából a Google ezeket az információkat arra fogja használni, hogy kiértékelje, hogyan használta az Ügyfél a honlapot, továbbá, hogy a weboldal üzemeltetőjének a honlap aktivitásával összefüggő jelentéseket készítsen, valamint, hogy a weboldal- és az internethasználattal kapcsolatos további szolgáltatásokat teljesítsen.
4. A Google Analytics keretein belül az Ügyfél böngészője által továbbított IP-címet nem vezeti össze a Google más adataival. A cookie-k tárolását a Ügyfél a böngészőjének megfelelő beállításával megakadályozhatja, azonban felhívjuk figyelmét, hogy ebben az esetben előfordulhat, hogy ennek a honlapnak nem minden funkciója lesz teljes körűen használható. Megakadályozhatja továbbá, hogy a Google gyűjtse és feldolgozza a cookie-k általi, az Ügyfél weboldalhasználattal kapcsolatos adatait (beleértve az IP-címet is), ha letölti és telepíti a következő linken elérhető böngésző plugint. https://tools.google.com/dlpage/gaoptout?hl=hu

HÍRLEVÉL, DM TEVÉKENYSÉG

1. A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. §-a értelmében Ügyfél előzetesen és kifejezetten hozzájárulhat ahhoz, hogy Szolgáltató reklámajánlataival, egyéb küldeményeivel a regisztrációkor megadott elérhetőségein megkeresse.
2. Továbbá Ügyfél a jelen tájékoztató rendelkezéseit szem előtt tartva hozzájárulhat ahhoz, hogy Szolgáltató a reklámajánlatok küldéséhez szükséges személyes adatait kezelje.
3. Szolgáltató nem küld kéretlen reklámüzenetet, és Ügyfél korlátozás és indokolás nélkül, ingyenesen leiratkozhat az ajánlatok küldéséről. Ebben az esetben Szolgáltató minden - a reklámüzenetek küldéséhez szükséges - személyes adatát törli nyilvántartásából és további reklámajánlataival nem keresi meg a Ügyfelet. Ügyfél a reklámokról leiratkozhat az üzenetben lévő linkre kattintva.
4. Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:

Személyes adat	Az adatkezelés célja	Jogalap
Név, e-mail cím.	Azonosítás, a hírlevélre/akciós kuponokra való feliratkozás lehetővé tétele.	Az érintett hozzájárulása, 6. cikk (1) bekezdés a) pontja. A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (5) bekezdése.
A feliratkozás időpontja	Technikai művelet végrehajtása.
A feliratkozás kori IP cím	Technikai művelet végrehajtása.

5. 5 Az érintettek köre: A hírlevélre feliratkozó valamennyi érintett.
6. Az adatkezelés célja: reklámot tartalmazó elektronikus üzenetek (e-mail, sms, push üzenet) küldése az érintett részére, tájékoztatás nyújtása az aktuális információkról, termékekről, akciókról, új funkciókról stb.
7. Az adatkezelés időtartama, az adatok törlésének határideje: a hozzájáruló nyilatkozat visszavonásáig, azaz a leiratkozásig tart az adatkezelés.
8. Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő sales és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
9. Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése:

• Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
• tiltakozhat az ilyen személyes adatok kezelése ellen, valamint
• az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.

11. A személyes adatokhoz való hozzáférést, azok törlését, módosítását, vagy kezelésének korlátozását, az adatok hordozhatóságát, az adatkezelések elleni tiltakozást az alábbi módokon tudja érintett kezdeményezni:

- postai úton a 1056, Budapest Irányi utca 9. címen,

- e-mail útján az info@annaamelie.com  e-mail címen.

12. Az érintett bármikor, ingyenesen leiratkozhat a hírlevélről.
13. Az adatkezelés jogalapja: az érintett hozzájárulása, 6. cikk (1) bekezdés a) pont, az az Infotv. 5. § (1) bekezdése, és a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény 6. § (5) bekezdése:

A reklámozó, a reklámszolgáltató, illetve a reklám közzétevője – a hozzájárulásban meghatározott körben - a náluk hozzájáruló nyilatkozatot tevő személyek személyes adatairól nyilvántartást vezet. Az ebben a nyilvántartásban rögzített - a reklám címzettjére vonatkozó - adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.

14. Tájékoztatjuk, hogy

• az adatkezelés az Ön hozzájárulásán alapul.
• köteles a személyes adatokat megadni, ha hírlevelet szeretne kapni tőlünk.
• az adatszolgáltatás elmaradása azzal a következményekkel jár, hogy nem tudunk Önnek hírlevelet küldeni.

PANASZKEZELÉS

1. Az adatgyűjtés ténye, a kezelt adatok köre és az adatkezelés célja:

Személyes adat Az adatkezelés célja

Vezeték-és keresztnév Azonosítás, kapcsolattartás.

E-mail cím Kapcsolattartás.

Telefonszám Kapcsolattartás.

Számlázási név és cím Azonosítás, a megrendelt termékekkel kapcsolatosan felmerülő minőségi kifogások, kérdések és problémák kezelése.

2. Az érintettek köre: A webshop weboldalon vásárló és minőségi kifogással élő, panaszt tevő valamennyi érintett.
3. Az adatkezelés időtartama, az adatok törlésének határideje: A felvett kifogásról felvett jegyzőkönyv, átirat és az arra adott válasz másolati példányait a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése alapján 5 évig kell megőrizni.
4. Az adatok megismerésére jogosult lehetséges adatkezelők személye, a személyes adatok címzettjei: A személyes adatokat az adatkezelő sales és marketing munkatársai kezelhetik, a fenti alapelvek tiszteletben tartásával.
5. Az érintettek adatkezeléssel kapcsolatos jogainak ismertetése:

• Az érintett kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és
• tiltakozhat az ilyen személyes adatok kezelése ellen, valamint
• az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.

6. A személyes adatokhoz való hozzáférést, azok törlését, módosítását, vagy kezelésének korlátozását, az adatok hordozhatóságát, az adatkezelések elleni tiltakozást az alábbi módokon tudja érintett kezdeményezni:

- postai úton a 1056, Budapest Irányi utca 9. címen,

- e-mail útján az info@annaamelie.com  e-mail címen.

7. Az adatkezelés jogalapja: az érintett hozzájárulása, 6. cikk (1) bekezdés c) pont, az Infotv. 5. § (1) bekezdése, és a fogyasztóvédelemről szóló 1997. évi CLV. törvény 17/A. § (7) bekezdése.
8. Tájékoztatjuk, hogy

• a személyes adat szolgáltatása szerződéses kötelezettségen alapul.
• a szerződés megkötésének előfeltétele a személyes adatok kezelése.
• köteles a személyes adatokat megadni, hogy panaszát kezelni tudjuk.
• az adatszolgáltatás elmaradása azzal a következményekkel jár, hogy nem tudjuk kezelni a hozzánk beérkezett panaszát.

 

Címzettek, akikkel a személyes adatokat közlik

„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e.

1. Adatfeldolgozók (akik, az adatkezelő nevében végzik az adatkezelést)

Az adatkezelő a saját adatkezelési tevékenységeinek elősegítése céljából, továbbá érintettel kötött szerződés-, illetve a jogszabályok által támasztott kötelezettségeinek teljesítése érdekében adatfeldolgozókat vesz igénybe.

Az adatkezelő nagy hangsúlyt fektet arra, hogy kizárólag olyan adatfeldolgozókat vegyen igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-ban foglalt követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy a jelen szabályzatban foglalt személyes adatokat kizárólag az adatkezelő utasításának megfelelően kezeli.

Az adatfeldolgozó tevékenységeiért az adatkezelő jogi felelősséggel tartozik. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta, vagy azokkal ellentétesen járt el.

Az adatfeldolgozónak az adatok kezelését érintően érdemi döntéshozatala nincsen.

Az adatkezelő az informatikai háttér biztosítására tárhely-szolgáltatót, a megrendelt termékek kiszállítására futárszolgálatot, mint adatfeldolgozót vehet igénybe.

Közösségi oldalak

1. Az adatgyűjtés ténye, a kezelt adatok köre: Facebook/Twitter/Pinterest/Youtube/Instagram stb. közösségi oldalakon regisztrált neve, illetve az Ügyfél nyilvános profilképe.
2. Az érintettek köre: Valamennyi érintett, aki regisztrált a Facebook/Twitter/Pinterest/Youtube/Instagram stb. közösségi oldalakon, és „lájkolta” a Szolgáltató közösségi oldalát, illetve a közösségi oldalon keresztül felvette a kapcsolatot az adatkezelővel.
3. Az adatgyűjtés célja: A közösségi oldalakon, a weboldal egyes tartalmi elemeinek, termékeinek, akcióinak vagy magának a weboldalnak a megosztása, illetve „lájkolása”, követése, népszerűsítése.
4. Az adatkezelés időtartama, az adatok törlésének határideje, az adatok megismerésére jogosult lehetséges adatkezelők személye és az érintettek adatkezeléssel kapcsolatos jogainak ismertetése: Az adatok forrásáról, azok kezeléséről, illetve az átadás módjáról, és jogalapjáról az adott közösségi oldalon tájékozódhat az érintett. Az adatkezelés a közösségi oldalakon valósul meg, így az adatkezelés időtartamára, módjára, illetve az adatok törlési és módosítási lehetőségeire az adott közösségi oldal szabályozása vonatkozik.
5. Az adatkezelés jogalapja: az érintett önkéntes hozzájárulása személyes adatai kezeléséhez a közösségi oldalakon

Ügyfélkapcsolatok és egyéb adatkezelések

1. Amennyiben az adatkezelő szolgáltatásaink igénybevétele során kérdés merülne fel, esetleg problémája lenne az érintettnek, a honlapon megadott módokon (telefon, e-mail, közösségi oldalak stb.) kapcsolatba léphet az adatkezelővel.
2. Adatkezelő a beérkezett e-maileket, üzeneteket, telefonon, Facebook-on stb. megadott adatokat az érdeklődő nevével és e-mail címével, valamint más, önként megadott személyes adatával együtt, az adatközléstől számított legfeljebb 2 év elteltével törli.
3. E tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor adunk tájékoztatást.
4. Kivételes hatósági megkeresésre, illetőleg jogszabály felhatalmazása alapján más szervek megkeresése esetén a Szolgáltató köteles tájékoztatás adására, adatok közlésére, átadására, illetőleg iratok rendelkezésre bocsátására.
5. A Szolgáltató ezen esetekben a megkereső részére – amennyiben az a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

Az érintettek jogai

1. A hozzáférés joga

Ön jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz hozzáférést kapjon.

2. A helyesbítéshez való jog

Ön jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse az Önre vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, Ön jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

3. A törléshez való jog

Ön jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje az Önre vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy Önre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje meghatározott feltételek esetén.

4. Az elfeledtetéshez való jog

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy Ön kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

5. Az adatkezelés korlátozásához való jog

Ön jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:

• Ön vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;
• az adatkezelés jogellenes, és Ön ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;
• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de Ön igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;
• Ön tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e Ön jogos indokaival szemben.

6. Az adathordozhatósághoz való jog

Ön jogosult arra, hogy az Önre vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta (...)

7. A tiltakozáshoz való jog

A jogos érdeken, illetve a közhatalmi jogosítványon, mint jogalapokon alapuló adatkezelések esetében Ön jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a (...) kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

8. Tiltakozás közvetlen üzletszerzés estén

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, Ön jogosult arra, hogy bármikor tiltakozzon az Önre vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha Ön tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

9. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Ön jogosult arra, hogy ne terjedjen ki Önre az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely Önre nézve joghatással járna vagy Önt hasonlóképpen jelentős mértékben érintené.

Az előző bekezdés nem alkalmazandó abban az esetben, ha a döntés:

• Ön és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
• meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely Ön jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
• Ön kifejezett hozzájárulásán alapul.

Intézkedési határidő

Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja Önt a fenti kérelmek nyomán hozott intézkedésekről.

Szükség esetén ez 2 hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított 1 hónapon belül tájékoztatja Önt.

Ha az adatkezelő nem tesz intézkedéseket Ön kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja Önt az intézkedés elmaradásának okairól, valamint arról, hogy Ön panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

Az adatkezelés biztonsága

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

1. a személyes adatok álnevesítését és titkosítását;
2. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
3. fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
5. A kezelt adatokat úgy kell tárolni, hogy azokhoz illetéktelenek ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával.
6. Az adatok informatikai módszerrel történő tárolási módját úgy kell megválasztani, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.
7. A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott szervezet igénybevételével kell a személyes adatoktól megfosztani. Elektronikus adathordozók esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint kell gondoskodni a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről.
8. Az adatkezelő az alábbi konkrét adatbiztonsági intézkedéseket teszi:

A papír alapon kezelt személyes adatok biztonsága érdekében a Szolgáltató az alábbi intézkedéseket alkalmazza (fizikai védelem):

1. A dokumentumokat biztonságos, jól zárható száraz helyiségben helyezni el.
2. Amennyiben a papíralapon kezelt személyes adatok digitalizálására kerül sor, akkor a digitálisan tárolt dokumentumokra irányadó szabályokat kell alkalmazni
3. A Szolgáltató adatkezelést végző munkatársa a munkavégzése során csak úgy hagyhatja el azt a helyiséget, ahol adatkezelés folyik, hogy a rá bízott adathordozókat elzárja, vagy az adott helyiséget bezárja.
4. A személyes adatokat csak az arra jogosult személyek ismerhetik meg, azokhoz harmadik személyek nem férhetnek hozzá.
5. A Szolgáltató épülete és helyiségei tűzvédelmi és vagyonvédelmi berendezéssel vannak ellátva.

 Informatikai védelem

1. Az adatkezelés során használt számítógépek és mobil eszközök (egyéb adathordozók) a Szolgáltató birtokát képezik.
2. A Szolgáltató által hasznát személyes adatokat tartalmazó számítógépes rendszer vírusvédelemmel van ellátva.
3. A digitálisan tárolt adatok biztonsága érdekében a Szolgáltató adatmentéseket és archiválásokat alkalmaz.
4. A központi szerver géphez csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá.
5. A számítógépeken található adatokhoz felhasználónévvel és jelszóval lehet csak hozzáférni.

Az érintett tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

• az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
• az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását.

Adatvédelmi incidens bejelentése a hatóságnak

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Panasztételi lehetőség

Az adatkezelő esetleges jogsértése ellen panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni:

Nemzeti Adatvédelmi és Információszabadság Hatóság

1055 Budapest, Falk Miksa utca 9-11.

Levelezési cím: 1363 Budapest, Pf. 9.

Telefon: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

Zárszó

A tájékoztató elkészítése során figyelemmel voltunk az alábbi jogszabályokra:

• A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (GDPR)(2016. április 27.);
• évi CXII. törvény – az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Infotv.);
• évi CVIII. törvény – az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről (főképp a 13/A. §a);
• évi XLVII. törvény – a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlat tilalmáról;
• évi XLVIII. törvény – a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (különösen a 6.§a);
• évi XC. törvény az elektronikus információszabadságról;
• évi C. törvény az elektronikus hírközlésről (kifejezetten a 155.§a);
• 16/2011. sz. vélemény a viselkedésalapú online reklám bevált gyakorlatára vonatkozó EASA/IABajánlásról;
• A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről.

 

INTRODUCTION

Waldron Sydney András E.V. (1184 Budapest Építő street 2. 5/20, tax number: 57512507-1-42, registration number: 56149438) (hereinafter: Service Provider, data controller) submits to the following information.

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL On the protection of natural persons with regard to the processing of personal data and on the free flow of such data and on the repeal of Regulation 95/46/EC (General Data Protection Regulation) (April 2016) 27.), we provide the following information.

This data management information sheet regulates the data management of the following pages: www.annaamelie.com

The data management information is available from the following page:

https://annaamelie.com/pages/privacy-policy

Amendments to the prospectus will take effect upon publication at the above address.

THE DATA MANAGER AND ITS CONTACTS:

Name: Waldron Sydney András

Headquarters: 1184 Budapest Építő street 2. 5/20

Email: info@annaamelie.com 

TERM DEFINITIONS

1. "personal data": any information relating to an identified or identifiable natural person ("data subject"); a natural person can be identified directly or indirectly, in particular on the basis of an identifier such as name, number, location data, online identifier or one or more factors relating to the physical, physiological, genetic, mental, economic, cultural or social identity of the natural person identifiable;
2. "data management": any operation or set of operations performed on personal data or data files in an automated or non-automated manner, such as collection, recording, organization, segmentation, storage, transformation or change, query, insight, use, communication, transmission, distribution or otherwise by making available, coordinating or connecting, limiting, deleting or destroying;
3. "data controller": the natural or legal person, public authority, agency or any other body that determines the purposes and means of processing personal data independently or together with others; if the purposes and means of data management are determined by EU or member state law, the data controller or the special aspects regarding the designation of the data controller may also be determined by EU or member state law;
4. "data processor": the natural or legal person, public authority, agency or any other body that processes personal data on behalf of the data controller;
5. "recipient": the natural or legal person, public authority, agency or any other body to whom or to which the personal data is communicated, regardless of whether it is a third party. Public authorities that have access to personal data in accordance with EU or Member State law in the context of an individual investigation are not considered recipients; the management of said data by these public authorities must comply with the applicable data protection rules in accordance with the purposes of data management;
6. "consent of the data subject": the voluntary, specific and clear declaration of the will of the data subject based on adequate information, with which the data subject indicates by means of a statement or an act clearly expressing the confirmation that he gives his consent to the processing of personal data concerning him;
7. "data protection incident": a breach of security that results in the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or unauthorized access to, personal data transmitted, stored or otherwise handled.

PRINCIPLES REGARDING THE HANDLING OF PERSONAL DATA

Personal data:

1. a) it must be handled legally and fairly, as well as in a transparent manner for the data subject ("legality, fair procedure and transparency");
2. b) it is collected only for specific, clear and legitimate purposes, and they are not handled in a way that is incompatible with these purposes; in accordance with Article 89 (1), further data processing for the purpose of archiving in the public interest, for scientific and historical research purposes or for statistical purposes is not considered incompatible with the original purpose ("purpose limitation");
3. c) they must be appropriate and relevant from the point of view of the purposes of data management, and must be limited to what is necessary ("data economy");
4. d) they must be accurate and, if necessary, up-to-date; all reasonable measures must be taken to promptly delete or correct personal data that is inaccurate for the purposes of data processing ("accuracy");
5. e) it must be stored in a form that allows the identification of the data subjects only for the time necessary to achieve the goals of personal data management; personal data may be stored for a longer period only if the personal data will be processed in accordance with Article 89 (1) for the purpose of archiving in the public interest, for scientific and historical research purposes or for statistical purposes, the rights of the data subjects and subject to the implementation of appropriate technical and organizational measures required to protect your freedoms ("limited storage capacity");
6. f) must be handled in such a way that adequate security of personal data is ensured by the application of appropriate technical or organizational measures, including protection against unauthorized or illegal processing, accidental loss, destruction or damage of data ("integrity and confidentiality").

The data controller is responsible for compliance with the above, and must also be able to prove this compliance ("accountability").

DATA MANAGEMENT

DATA MANAGEMENT RELATED TO THE OPERATION OF THE WEB STORE

1. The fact of data collection, the scope of processed data and the purpose of data management:

Personal data	Purpose of data management
Username	Identification, enabling registration.
Password	It is used for secure access to the User account.
Surname and first name	It is required for making contact, making purchases and issuing legal invoices.
E-mail address	Keeping in touch.
Phone number	Keeping in touch, more effectively negotiating questions related to invoicing or delivery.
Billing name and address	Issuing the regular invoice, as well as creating the contract, defining its content, amending it, monitoring its performance, invoicing the resulting fees, and asserting related claims.
Shipping name and address	Enabling home delivery.
Date of purchase/registration	Execution of a technical operation.
The IP address at the time of purchase/registration	Execution of a technical operation.

Neither the username nor the e-mail address need to contain personal data.

2. Scope of stakeholders: All stakeholders registered/purchased on the webshop website.
3. Duration of data management, deadline for deletion of data: Immediately upon cancellation of registration. Except in the case of accounting documents, as this data must be kept for 8 years based on § 169 (2) of Act C of 2000 on accounting.

The accounting documents directly and indirectly supporting the bookkeeping (including ledger accounts, analytical and detailed records) must be kept in legible form for at least 8 years, in a way that can be retrieved by reference to the accounting records.

4. Person of the possible data controllers entitled to access the data, recipients of the personal data: Personal data can be handled by the sales and marketing staff of the data controller, in compliance with the above principles.
5. Description of the rights of data subjects related to data management:

• The data subject may request from the data controller access to personal data relating to him, their correction, deletion or restriction of processing, and
• you can object to the processing of such personal data, as well as
• the data subject has the right to data portability and to withdraw consent at any time.

6. The data subject can initiate access to personal data, their deletion, modification or limitation of processing, portability of data, objection to data processing in the following ways:

- by post at 1184 Budapest Építő street 2. 5/20

- by e-mail at the e-mail address info@annaamelie.com

Legal basis for data management:

7.1. Consent of the data subject, Article 6 (1) point a), Infotv. § 5, paragraph (1),

7.2. CVIII of 2001 on certain issues of electronic commerce services and services related to the information society. Act (hereinafter: Elker Law) 13/A. Section (3):

For the purpose of providing the service, the service provider may process the personal data that is technically absolutely necessary for the provision of the service. If the other conditions are the same, the service provider must choose and in any case operate the tools used in the provision of services related to the information society in such a way that personal data is only processed if this is absolutely necessary for the provision of the service and the fulfillment of other objectives defined in this law necessary, but also in this case only to the extent and for the necessary time.

7.3. In case of issuing an invoice in accordance with the accounting legislation, point c) of Article 6 (1).

8. We inform you that

• data processing is based on your consent.
• must provide personal data so that we can fulfill your order.
• Failure to provide data will result in us not being able to process your order.

DATA PROCESSORS REQUIRED

The third-party data controllers handle the personal data provided by us on their own behalf, in accordance with their own data protection regulations.

Transport

1. Activity provided by the data processor: Delivery of products, transport
2. Name and contact information of the data processor:

GLS General Logistics Systems Hungary Csomag-Logisztikai Kft.

2351 Alsónémedi
GLS Európa u. 2.
info@gls-hungary.com

(+36 29) 886 700

(+36 20) 890-0660

3. The fact of the data management, the scope of the managed data: Delivery name, delivery address, telephone number, e-mail address.
4. Scope of stakeholders: All stakeholders requesting home delivery.
5. Purpose of data management: Delivery of the ordered product to your home.
6. Duration of data management, deadline for data deletion: It lasts until the home delivery is completed.
7. Legal basis for data processing: the Customer's consent, Article 6 (1) point a), Infotv. Paragraph (1) of § 5.

Online payment

1. Activity provided by data processor: Online payment
2. Name and contact information of the data processor:

Stripe Payments UK, Ltd

Headquarters: 7th Floor, The Bower Warehouse, 211 Old Street, London EC1V 9NR, United Kingdom

Email: info@stripe.com

3. The fact of the data management, the scope of the managed data: Billing name, billing address, e-mail address.
4. Scope of stakeholders: All stakeholders requesting an online purchase.
5. Purpose of data management: Online payment processing, transaction confirmation and fraud monitoring for the protection of Customers.
6. Duration of data management, deadline for data deletion: Lasts until the online payment is completed.
7. Legal basis for data processing: the Customer's consent, Infotv. Section 5 (1), Article 6 (1) point a) and CVIII of 2001 on certain issues of electronic commerce services and services related to the information society. Act 13/A. (3) of §

Hosting provider

1. Activity provided by data processor: Storage service
2. Name and contact information of the data processor:

Shopify Inc. 150 Elgin Street

8th Floor

Ottawa, ON K2P 1L4

Canada

3. Fact of data management, scope of managed data: All personal data provided by the data subject.
4. Scope of stakeholders: All stakeholders who use the website.
5. Purpose of data management: Making the website available and operating it properly.
6. Duration of data management, deadline for data deletion: Data management lasts until the termination of the agreement between the data manager and the storage provider, or until the deletion request addressed to the storage provider by the data subject.
7. Legal basis for data processing: the Customer's consent, Infotv. Section 5 (1), Article 6 (1) point a) and CVIII of 2001 on certain issues of electronic commerce services and services related to the information society. Act 13/A. (3) of §

Other data processor (invoicing):

Name of the company providing online invoicing services: Billingo Technologies Zrt., tax number: 27926309-2-41, company registration number: 01-10-140802, headquarters: 1133 Budapest, Árbóc utca 6. I. floor, invoicing software name: Billingo.hu

MANAGEMENT OF COOKIES

1. Cookies typical for online stores are the so-called "cookie used for a password-protected session", "cookies required for the shopping cart" and "security cookies", the use of which does not require prior consent from the data subjects.
2. The fact of the data management, the scope of the managed data: Unique identification number, dates, times
3. Scope of stakeholders: All stakeholders visiting the website.
4. Purpose of data management: Identification of customers, registration of the "shopping basket" and follow-up of visitors.
5. Duration of data management, deadline for data deletion:

Cookie type	Legal basis for data management	Data handling duration
Session cookies	CVIII of 2001 on certain issues of electronic commercial services and information society services. Act (Elkertv.) 13/A. (3) of §	The relevant until the end of the visitor session lasting period
Persistent or saved cookies	CVIII of 2001 on certain issues of electronic commercial services and information society services. Act (Elkertv.) 13/A. (3) of §	until the data subject is deleted
Statistical and marketing cookies	CVIII of 2001 on certain issues of electronic commercial services and information society services. Act (Elkertv.) 13/A. (3) of §	1 month - 2 years

6. The person of the possible data controllers entitled to access the data: The data controller does not manage personal data through the use of cookies.
7. Description of data processing rights of data subjects: The data subject has the option to delete cookies in the Tools/Settings menu of browsers, usually under the settings of the Data Protection menu item.
8. Legal basis for data management: Consent from the data subject is not required if the sole purpose of using cookies is the transmission of information via an electronic communication network or if the service provider absolutely needs it to provide a service related to the information society specifically requested by the subscriber or the Customer.
9. More information about cookies: https://www.shopify.com/legal/cookies
10. Most browsers used by our Customers allow you to set which cookies should be saved and allow (certain) cookies to be deleted again. If you limit the saving of cookies on certain websites or do not allow third-party cookies, this may lead to the fact that our website can no longer be used in its entirety under certain circumstances. Here you can find information on how to customize cookie settings for standard browsers:

Google Chrome ( https://support.google.com/chrome/answer/95647?hl=hu )

Internet Explorer ( https://support.microsoft.com/hu-hu/help/17442/windows-internet-explorer-delete-manage-cookies )

Firefox ( https://support.mozilla.org/hu/kb/sutik-engedelizeze-es-tiltasa-amit-weboldak-haszn )

Safari ( https://support.apple.com/hu-hu/guide/safari/sfri11471/mac )

USE OF GOOGLE ADWORDS CONVERSION TRACKING

1. The data controller uses the online advertising program called "Google Ads", and also uses Google's conversion tracking service within its framework. Google conversion tracking is an analytics service of Google Inc. (1600 Amphitheater Parkway, Mountain View, CA 94043, USA; "Google").
2. When a User accesses a website through a Google ad, a cookie required for conversion tracking is placed on their computer. The validity of these cookies is limited and they do not contain any personal data, so the User cannot be identified by them.
3. When the User browses certain pages of the website and the cookie has not yet expired, both Google and the data controller can see that the User has clicked on the ad.
4. Each Google Ads customer receives a different cookie, so they cannot be tracked through the websites of Ads customers.
5. The information - obtained with the help of conversion tracking cookies - serves the purpose of creating conversion statistics for Ads' customers who choose conversion tracking. In this way, clients are informed about the number of users who click on their ad and are redirected to a page with a conversion tracking tag. However, they do not get access to information that could identify any user.
6. If you do not want to participate in conversion tracking, you can refuse this by disabling the installation of cookies in your browser. After that, you will not be included in the conversion tracking statistics.
7. Further information and Google's privacy policy are available at www.google.de/policies/privacy/

USE OF GOOGLE ANALYTICS

1. This website uses Google Analytics, a web analytics service provided by Google Inc. ("Google"). Google Analytics uses so-called "cookies", text files that are saved on your computer, thus facilitating the analysis of the use of the website visited by the Customer.
2. The information created by cookies related to the website used by the Customer is usually sent to and stored on one of Google's servers in the USA. By activating IP anonymization on the website, Google shortens the Customer's IP address beforehand within the member states of the European Union or in other states that are parties to the Agreement on the European Economic Area.
3. The full IP address is transmitted to a Google server in the USA and shortened there only in exceptional cases. On behalf of the operator of this website, Google will use this information to evaluate how the Customer used the website, to prepare reports related to website activity for the website operator, and to provide additional services related to website and Internet use.
4. Within the framework of Google Analytics, the IP address transmitted by the Customer's browser is not combined with other Google data. The Customer can prevent the storage of cookies by setting his browser accordingly, but please note that in this case, not all functions of this website may be fully usable. You can also prevent Google from collecting and processing the Customer's website usage data (including IP address) through cookies by downloading and installing the browser plugin available at the following link. https://tools.google.com/dlpage/gaoptout?hl=en

NEWSLETTER, DM ACTIVITY

1. XLVIII of 2008 on the basic conditions and certain limitations of economic advertising activity. Pursuant to § 6 of the Act, the Customer may give prior and express consent to the Service Provider's advertising offers and other mailings using the contact information provided during registration.
2. In addition, the Customer may, bearing in mind the provisions of this information, consent to the Service Provider handling his personal data necessary for sending advertising offers.
3. The Service Provider does not send unsolicited advertising messages, and the Customer can unsubscribe from the sending of offers free of charge without limitation or justification. In this case, the Service Provider will delete all personal data necessary for sending advertising messages from its records and will not contact the Customer with further advertising offers. The customer can unsubscribe from advertisements by clicking on the link in the message.
4. The fact of data collection, the scope of processed data and the purpose of data management:

Personal data	Purpose of data management	Legal basis
Name, e-mail address.	Identification, enabling subscription to the newsletter/discount coupons.	The consent of the data subject, Article 6, paragraph 1, point a). XLVIII of 2008 on the basic conditions and certain limitations of economic advertising activity. § 6 (5) of the Act.
Date of subscription	Execution of a technical operation.
IP address at the time of registration	Execution of a technical operation.

5. Scope of stakeholders: All stakeholders who subscribe to the newsletter.
6. Purpose of data management: sending electronic messages containing advertising (e-mail, SMS, push message) to the person concerned, providing information about current information, products, promotions, new functions, etc.
7. Duration of data management, deadline for deletion of data: data management lasts until withdrawal of consent, i.e. until unsubscription.
8. Person of the possible data controllers entitled to access the data, recipients of the personal data: Personal data can be handled by the sales and marketing staff of the data controller, in compliance with the above principles.
9. Description of the rights of data subjects related to data management:

• The data subject may request from the data controller access to personal data relating to him, their correction, deletion or restriction of processing, and
• you can object to the processing of such personal data, as well as
• the data subject has the right to data portability and to withdraw consent at any time.

11. The data subject can initiate access to personal data, their deletion, modification or limitation of processing, portability of data, objection to data processing in the following ways:

- by post to1184 Budapest Építő street 2. 5/20

- by e-mail at the e-mail address info@annaamelie.com.

12. The person concerned can unsubscribe from the newsletter at any time, free of charge.
13. The legal basis for data management: the consent of the data subject, Article 6 (1) point a), the Infotv. Paragraph (1) of Section 5 and XLVIII of 2008 on the basic conditions and certain limitations of economic advertising activities. § 6 (5) of the Act:

The advertiser, the advertising service provider, or the publisher of the advertisement - within the scope specified in the consent - keeps a record of the personal data of the persons who have given their consent. The data recorded in this register - relating to the recipient of the advertisement - can only be handled in accordance with the consent statement, until it is revoked, and can only be transferred to third parties with the prior consent of the person concerned.

14. We inform you that

• data management is based on your consent.
• you must provide personal data if you want to receive a newsletter from us.
• failure to provide data will result in us not being able to send you a newsletter.

COMPLAINT HANDLING

1. The fact of data collection, the scope of processed data and the purpose of data management:

Personal data Purpose of data management

Surname and first name Identification, contact.

E-mail address Contact.

Phone number Contact.

Billing name and address Identification, handling of quality objections, questions and problems arising in connection with the ordered products.

2. Scope of stakeholders: All stakeholders who purchase on the webshop website and complain about quality.
3. Duration of data management, deadline for deletion of data: Copies of the minutes, transcripts and the response to the objection taken in the CLV of 1997 on consumer protection. Act 17/A. § (7) must be kept for 5 years.
4. Person of the possible data controllers entitled to access the data, recipients of the personal data: Personal data can be handled by the sales and marketing staff of the data controller, in compliance with the above principles.
5. Description of the rights of data subjects related to data management:

• The data subject may request from the data controller access to personal data relating to him, their correction, deletion or restriction of processing, and
• you can object to the processing of such personal data, as well as
• the data subject has the right to data portability and to withdraw consent at any time.

6. The data subject can initiate access to personal data, their deletion, modification or limitation of processing, portability of data, objection to data processing in the following ways:

- by post to 11184 Budapest Építő street 2. 5/20

- by e-mail at the e-mail address info@annaamelie.com.

7. Legal basis for data management: consent of the data subject, Article 6 (1) point c), Infotv. Paragraph (1) of Section 5 and CLV of 1997 on consumer protection. Act 17/A. (7) of §
8. We inform you that

• the provision of personal data is based on a contractual obligation.
• the processing of personal data is a prerequisite for the conclusion of the contract.
• must provide personal data so that we can handle your complaint.
• Failure to provide data will result in us not being able to handle your complaint.

 

Recipients with whom personal data is communicated

" recipient ": the natural or legal person, public authority, agency or any other body to whom or to which the personal data is communicated, regardless of whether it is a third party.

1. Data processors (those who perform data management on behalf of the data controller)

The data controller uses data processors in order to facilitate its own data management activities, as well as to fulfill its contractual obligations with the data subject and the obligations imposed by legislation.

The data controller places great emphasis on using only data processors who provide adequate guarantees for the implementation of appropriate technical and organizational measures ensuring compliance with the requirements of the GDPR and the protection of the rights of the data subjects.

The data processor and any person acting under the control of the data processor who has access to personal data shall handle the personal data contained in these regulations exclusively in accordance with the instructions of the data controller.

The data controller is legally responsible for the activities of the data processor. The data processor is only liable for damages caused by data processing if it has not complied with the obligations specifically imposed on data processors specified in the GDPR, or if it has ignored or acted contrary to the legal instructions of the data controller.

The data processor has no meaningful decision-making regarding the management of the data.

The data controller can use a storage service provider to provide the IT background, and a courier service as a data processor to deliver the ordered products.

Community sites

1. The fact of the data collection, the scope of the processed data: Facebook/Twitter/Pinterest/Youtube/Instagram, etc. the name registered on social networking sites and the public profile picture of the Customer.
2. Scope of stakeholders: All stakeholders who have registered on Facebook/Twitter/Pinterest/Youtube/Instagram, etc. on social media sites and "liked" the Service Provider's social media site, or contacted the data controller via the social media site.
3. Purpose of data collection: Sharing, "liking", following and promoting certain content elements, products, promotions or the website itself on social media sites.
4. The duration of the data management, the deadline for the deletion of the data, the identity of the possible data controllers entitled to access the data and the description of the rights of the data subjects related to data management: The data subject can find information about the source of the data, its management, the method of transfer and its legal basis on the given social media page. Data management takes place on social networking sites, so the duration and method of data management, as well as the options for deleting and modifying data, are governed by the regulations of the respective social networking site.
5. The legal basis for data management: the voluntary consent of the concerned person to the processing of his personal data on social networking sites

Customer relations and other data management

1. If a question arises when using our data management services, or if the data subject has a problem, you can contact the data manager using the methods provided on the website (telephone, e-mail, social media sites, etc.).
2. The data controller processes received e-mails, messages, on the phone, on Facebook, etc. data provided, together with the name and e-mail address of the interested party, as well as other voluntarily provided personal data, will be deleted after a maximum of 2 years from the date of data communication.
3. We provide information on data management not listed in this information when the data is collected.
4. The Service Provider is obliged to provide information, communicate and transfer data, and make documents available in the event of an exceptional official inquiry, or in the event of an inquiry by other bodies based on the authorization of the law.
5. In these cases, the Service Provider only releases personal data to the requester - if he has specified the exact purpose and the scope of the data - to the extent and to the extent that is absolutely necessary to achieve the purpose of the request.

Rights of data subjects

1. Right of access

You are entitled to receive feedback from the data controller as to whether your personal data is being processed, and if such data processing is underway, you are entitled to access the personal data and the information listed in the regulation.

2. Right to rectification

You have the right to request that the data controller correct inaccurate personal data concerning you without undue delay. Taking into account the purpose of data management, you are entitled to request the completion of incomplete personal data, including by means of a supplementary statement.

3. The right to erasure

You have the right to request that the data manager delete your personal data without undue delay, and the data manager is obliged to delete your personal data without undue delay under certain conditions.

4. The right to be forgotten

If the data controller has made the personal data public and is required to delete it, it will take reasonable steps, including technical measures, taking into account available technology and the costs of implementation, to inform the data controllers that you have requested the personal data in question the deletion of links or duplicates of these personal data.

5. The right to restrict data processing

You have the right to have the data controller restrict data processing at your request if one of the following conditions is met:

• You dispute the accuracy of the personal data, in which case the limitation applies to the period that allows the controller to check the accuracy of the personal data;
• the data processing is unlawful and you object to the deletion of the data and instead request the restriction of its use;
• the data controller no longer needs the personal data for the purpose of data management, but you require them to submit, enforce or defend legal claims;
• You have objected to data processing; in this case, the limitation applies to the period until it is determined whether the legitimate reasons of the data controller take precedence over your legitimate reasons.

6. The right to data portability

You have the right to receive the personal data you have provided to a data controller in a segmented, widely used, machine-readable format, and you have the right to transmit this data to another data controller without hindrance from the data controller whose provided personal data to (...)

7. The right to protest

In the case of data processing based on legitimate interest or public authority as legal grounds, you have the right to object at any time to the processing of your personal data for reasons related to your own situation, including profiling based on the aforementioned provisions.

8. Protest on the evening of direct business acquisition

If personal data is processed for direct business acquisition, you have the right to object at any time to the processing of your personal data for this purpose, including profiling, if it is related to direct business acquisition. If you object to the processing of personal data for direct business purposes, then the personal data may no longer be processed for this purpose.

9. Automated decision-making in individual cases, including profiling

You have the right not to be subject to the scope of a decision based solely on automated data management, including profiling, which would have legal effects on you or would similarly significantly affect you.

The previous paragraph does not apply if the decision:

• It is necessary to conclude or fulfill the contract between you and the data controller;
• it is made possible by EU or member state law applicable to the data controller, which also establishes appropriate measures for the protection of your rights and freedoms, as well as your legitimate interests; obsession
• It is based on your express consent.

Action deadline

The data controller will inform you of the measures taken following the above requests without undue delay, but in any case within 1 month from the receipt of the request.

If necessary, this can be extended by 2 months . The data controller will inform you of the extension of the deadline, indicating the reasons for the delay, within 1 month of receiving the request.

If the data controller does not take measures following your request, it will inform you without delay, but at the latest within one month of the receipt of the request, of the reasons for the failure to take action , as well as the fact that you can file a complaint with a supervisory authority and exercise your right to judicial redress.

Security of data management

The data manager and the data processor implement appropriate technical and organizational measures, taking into account the state of science and technology and the costs of implementation, as well as the nature, scope, circumstances and purposes of data management, as well as the variable probability and severity of the risk to the rights and freedoms of natural persons. , to guarantee a level of data security appropriate to the degree of risk, including, among others, where applicable:

1. pseudonymization and encryption of personal data;
2. ensuring the continuous confidentiality, integrity, availability and resilience of the systems and services used to manage personal data;
3. in the event of a physical or technical incident, the ability to restore access to and availability of personal data in a timely manner;
4. a procedure for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures taken to guarantee the security of data management.
5. The processed data must be stored in such a way that unauthorized persons cannot access them. In the case of paper-based data carriers, by establishing the order of physical storage and filing, in the case of data handled in electronic form, by using a central rights management system.
6. The method of data storage using IT methods must be chosen in such a way that it can be deleted - taking into account the possibly different deletion deadline - at the end of the data deletion deadline, or if necessary for other reasons. The deletion must be irreversible.
7. Paper-based data carriers must be stripped of personal data using a document shredder or an external organization specialized in document destruction. In the case of electronic data carriers, physical destruction must be ensured in accordance with the rules for the disposal of electronic data carriers, and, if necessary, the data must be securely and irretrievably deleted in advance.
8. The data manager takes the following specific data security measures:

In order to ensure the security of personal data handled on a paper basis, the Service Provider applies the following measures ( physical protection ):

1. Place the documents in a safe, well-sealed dry room.
2. If personal data managed on paper is digitized, the rules applicable to digitally stored documents must be applied
3. During the course of his work, the employee of the Service Provider performing data management may only leave the room where data management is taking place by blocking the data carriers entrusted to him or by closing the given room.
4. Personal data can only be accessed by authorized persons, third parties cannot access it.
5. The Service Provider's building and premises are equipped with fire protection and property protection equipment.

IT protection

1. Computers and mobile devices (other data carriers) used during data management are the property of the Service Provider.
2. The computer system containing personal data used by the Service Provider is equipped with virus protection.
3. In order to ensure the security of digitally stored data, the Service Provider uses data backups and archives.
4. The central server machine can only be accessed by persons with appropriate authorization and only those designated for it.
5. Data on computers can only be accessed with a username and password.

Informing the data subject about the data protection incident

If the data protection incident is likely to involve a high risk for the rights and freedoms of natural persons, the data controller shall inform the data subject without undue delay.

In the information provided to the data subject, the nature of the data protection incident must be clearly and comprehensibly described, and the name and contact information of the data protection officer or other contact person providing additional information must be provided; the likely consequences of the data protection incident must be described; the measures taken or planned by the data controller to remedy the data protection incident must be described, including, where applicable, measures aimed at mitigating any adverse consequences resulting from the data protection incident.

The data subject does not need to be informed if any of the following conditions are met:

• the data controller has implemented appropriate technical and organizational protection measures , and these measures have been applied to the data affected by the data protection incident, in particular those measures - such as the use of encryption - that make the personal data unintelligible to persons not authorized to access the personal data data;
• after the data protection incident, the data controller has taken additional measures to ensure that the high risk to the rights and freedoms of the data subject is unlikely to materialize in the future ;
• providing information would require a disproportionate effort . In such cases, the data subjects must be informed through publicly published information, or a similar measure must be taken that ensures similarly effective information to the data subjects.

If the data controller has not yet notified the data subject of the data protection incident, the supervisory authority, after considering whether the data protection incident is likely to involve a high risk, may order the data subject to be informed.

Reporting a data protection incident to the authority

The data controller shall report the data protection incident to the competent supervisory authority pursuant to Article 55 without undue delay and, if possible, no later than 72 hours after becoming aware of the data protection incident, unless the data protection incident is likely to pose no risk to the rights of natural persons and freedoms. If the notification is not made within 72 hours, the reasons justifying the delay must also be attached.

Possibility of filing a complaint

You can file a complaint with the National Data Protection and Freedom of Information Authority against possible violations of the data controller:

National Data Protection and Freedom of Information Authority

1055 Budapest, Falk Miksa utca 9-11.

Mailing address: 1363 Budapest, Pf. 9.

Telephone: +36 -1-391-1400

Fax: +36-1-391-1410

E-mail: ugyfelszolgalat@naih.hu

Final word

During the preparation of the information, we paid attention to the following legislation:

• REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (GDPR) on the protection of natural persons with regard to the processing of personal data and on the free flow of such data and on the repeal of Regulation 95/46/EC (General Data Protection Regulation) 27 April 2016);
• year CXII. Act - on the right to self-determination of information and freedom of information (hereinafter: Infotv.);
• year CVIII Act - on certain issues of electronic commercial services and services related to the information society (mainly § 13/A);
• year XLVII law - on the prohibition of unfair trade practices towards consumers;
• year XLVIII law - on the basic conditions and certain limitations of economic advertising activity (especially § 6);
• XC of the year Act on Electronic Freedom of Information;
• Act C of 2008 on electronic communications (specifically §155);
• 16/2011. s. opinion on the EASA/IA Recommendation on best practices for behavioral online advertising;
• The recommendation of the National Data Protection and Freedom of Information Authority on the data protection requirements of prior information.