ADATKEZELÉSI TÁJÉKOZTATÓ

A Future Built Korlátolt Felelősségű Társaság

(székhely: 9200 Mosonmagyaróvár, Várallyai György utca 66. B. ép.; cégjegyzékszám: 08-09-022309; adószám: 23478464-2-08; nyilvántartja: a Győri Törvényszék Cégbírósága; képviseli: Dr. Tenk Gábor ügyvezető; az „Adatkezelő”)

mint Adatkezelő által üzemeltetett és fenntartott,

https://www.fannitenk.com/

weboldal látogatóinak, valamint szolgáltatásaink igénybe vevő részére szóló adatkezelési tájékoztatója.

Jelen tájékoztató 2024. 07. 27. napjától hatályos.

1. Az adatkezelő bemutatása és elérhetősége

Cégnév:                                        Future Built Korlátolt Felelősségű Társaság

Székhely:                                       9200 Mosonmagyaróvár, Várallyai György utca 66. B. ép.

Cégjegyzékszám:                           08-09-022309

Adószám:                                      23478464-2-08

Nyilvántartja:                                  a Győri Törvényszék Cégbírósága

Képviseli:                                       Dr. Tenk Gábor ügyvezető

Elektronikus kézbesítési címe:        futurebuilt2020@gmail.com

E-mail címe:                                   futurebuilt2020@gmail.com és hello@fannitenk.com

Telefonszám:                                  +36703417029

Honlap:                                          www.fannitenk.com

a továbbiakban az „Adatkezelő”

2. jogszabályi háttér, alapelvek és fogalmak

Az Adatkezelő az Európai Parlament és az Európai Unió Tanácsának a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelete (a „GDPR”) hatálya alá tartozó gazdasági társaság, amely – figyelemmel különösen a GDPR III. Fejezet 2. szakasz 13.cikkben foglaltakra – a következő tájékoztatást adja.

Adatkezelő az adatkezelése során – figyelemmel különösen a GDPR II. Fejezet 5. cikkben foglaltakra – az alábbi alapelveket követi.

A GDPR II. Fejezet 5. cikk (1) bekezdésben foglaltak szerint a személyes adatok:

1. a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

89. b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

1. c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

1. d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

89. e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a GDPR 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

1. f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

Az Adatkezelő felelős az fentiekben meghatározottak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

A jelen adatkezelési tájékoztató és a GDPR alkalmazásában – tekintettel különösen a GDPR I. Fejezet 4. cikkben foglaltakra – az alábbi fogalmakat a következő tartalommal kell érteni és értelmezni.

A GDPR I. Fejezet 4. cikk 1. alpontja szerint „személyes adat” az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A GDPR I. Fejezet 4. cikk 2. alpontja szerint „adatkezelés” a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

A GDPR I. Fejezet 4. cikk 7. alpontja szint „adatkezelő” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

A GDPR I. Fejezet 4. cikk 8.  alpontja szerint „adatfeldolgozó” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

A GDPR I. Fejezet 4. cikk 9. alpontja szerint „címzett” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy 2016.5.4. HU Az Európai Unió Hivatalos Lapja L 119/33 egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.

A GDPR I. Fejezet 4. cikk 10. alpontja szerint „harmadik fél” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.

A GDPR I. Fejezet 4. cikk 11. alpontja szerint „az érintett hozzájárulása” az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

A GDPR I. Fejezet 4. cikk 12. alpontja szerint „adatvédelmi incidens” a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

A GDPR I. Fejezet 4. cikk 18. alpontja szerint a „vállalkozás” gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.

A GDPR I. Fejezet 4. cikk 23. alpontja szerint „személyes adatok határokon átnyúló adatkezelése” a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket.

3. A személyes adatok kezelésének célja, a kezelt adatok meghatározása, valamint az adatkezelés Jogalapja

A GDPR II. Fejezet 6. cikk (1) bekezdés b) és c) pontjai, míg a szerződésből eredő követelések érvényesítése esetén a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a „Ptk.”) 6:21. §-a – mint jogalapok – alapján az Adatkezelő az azonosítás, kapcsolattartás, kommunikáció, szerződéses kötelezettségek teljesítése és ületi célok céljából kezeli a neveket, e-mail címeket és telefonszámokat, mint személyes adatokat (a GDPR III. Fejezet 2. szakasz 13. cikk (1) bekezdés c) alpontjával összhangban).

Fentiekre tekintettel az Adatkezelő által folytatott adatkezelés szerződések (ideértve különösen de nem kizárólagosan pszichológiai tanácsadás nyújtására szóló megbízási szerződések) teljesítéséhez, valamint a szerződések szerinti szolgáltatásokkal összefüggő ajánlatok megadásához, szerződések megkötésére irányuló jognyilatkozatokhoz szükséges. Az adatkezelés tehát olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Ezekben az esetekben az érintettnek személyes adatokat kell az Adatkezelő rendelkezésére bocsátania annak érdekében, hogy az Adatkezelő a szerződéseket megköthesse illetve teljesíthesse. Amennyiben a jelen bekezdésben meghatározott személyes adatok szolgáltatása nem történne meg, úgy a szerződések létrejötte és teljesítése lehetetlenné válna. A GDPR II. Fejezet 6. cikk (1) bekezdés b) alpontja szerint a személyes adatok kezelése akkor és annyiban jogszerű, amennyiben az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Ezen tájékoztatás a GDPR III. Fejezet 2. szakasz 13. cikk (2) bekezdés e) pontján alapszik, amelynek értelmében az érintett a személyes adat szolgáltatása szerződés megkötésének előfeltétele, melynek hiányában az érintett és az Adatkezelő közti szerződéses jogviszony létrejötte meghiúsulna.

Az érintettek körébe tartoznak az Adatkezelővel telefonon, elektronikus úton történő levelezésen keresztül illetve személyes úton kapcsolatot tartó érintettek, továbbá az Adatkezelővel szerződéses

jogviszonyban álló érintettek is (a GDPR III. Fejezet 2. szakasz 13. cikk (1) bekezdésével összhangban).

Az Adatkezelő az érintettek adatkezelésével kapcsolatos jogaival összefüggésben az érintetteket tájékoztatja továbbá (a GDPR III. Fejezet 2. szakasz 13. cikk (2) bekezdés b) pontjával összhangban), hogy az érintett kérelmezheti az Adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és hogy az érintettnek joga van az adathordozhatósághoz, továbbá a hozzájárulás bármely időpontban történő visszavonásához.

Adatkezelő tájékoztatja továbbá az érintetteket, hogy (a GDPR III. Fejezet 2. szakasz 13. cikk (2) bekezdés c) pontjával összhangban) a személyes adatokhoz való hozzáférést, azok törlését, módosítását, vagy kezelésének korlátozását, az adatok hordozhatóságát az érintett telefonon a +36703417029 telefonszámon, postai úton a 9200 Mosonmagyaróvár, Várallyai György utca 66. B. ép. címen, míg elektronikus levelezés esetében a futurebuilt2020@gmail.com és hello@fannitenk.com e-mail címeken jogosultak kezdeményezni.

Az Adatkezelő nyilatkozik, miszerint (a GDPR III. Fejezet 2. szakasz 13. cikk (2) bekezdés a) pontjával összhangban) az adatkezelés időtartama és egyben az adatok törlésének határideje a hozzá beérkezett nyilatkozatoknak az érintett által törlési kérelméig tart, de legfeljebb 2 év.

Az Adatkezelő nyilatkozik továbbá, miszerint (a GDPR III. Fejezet 2. szakasz 13. cikk (1) bekezdés e) pontjával összhangban) a személyes adatok címzettjei az adatokat az Adatkezelő erre feljogosított munkatársai, akik ezen adatokat a jelen tájékoztató 2. Fejezetében meghatározott alapelvek megtartásával kezelhetik.

4. az adatkezelő által igénybe vett adatfeldolgozó

Adatkezelő tevékenysége során a Tárhely.Eu Kft.-t (székhely: 1144 Budapest, Ormánság utca 4. X. em. 241. ajtó; cégjegyzékszám: 01-09-909968; adószám: 14571332-2-42; nyilvántartja: a Fővárosi Törvényszék Cégbírósága; kézbesítési cím: iroda@tarhely.hu) mint adatfeldolgozót veszi igénybe. A Tárhely.Eu Kft. a https://www.fannitenk.com/ weboldal tárhely-szolgáltatója, így az itt nevezett adatfeldolgozó tárhely-szolgáltatási tevékenységet végez Adatkezelő részére. Az adatfeldolgozás jogalapja a GDPR II. Fejezet 6. cikk (1) bekezdés c) és f) alpontjain, továbbá a 2001. évi CVIII törvény (az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről) 13/A. § (3) bekezdésén nyugszik. A GDPR II. Fejezet 6. cikk (1) bekezdés f) alpontja szerinti jogos érdek, illetve az adatfeldolgozó és végzett adatkezelés célja ebben a kontextusban a megjelölt honlap megfelelő és biztonságos módon történő fenntartása, a látogatók számára történő elérhetővé tétele és üzemeltetése. Az adatfeldolgozással érintett adatok körébe esnek a https://www.fannitenk.com/ weboldal látogatóinak és használóinak mint érintettek által megadott személyes adatai. A jelen fejezet szerinti adatkezelés az Adatkezelő és a Tárhely.Eu Kft. mint tárhely-szolgáltató közötti jogviszony megszűnéséig, vagy az érintettnek a Tárhely.Eu Kft. mint tárhely-szolgáltató felé intézett törlési kérelméig tart.

5. Az érintettek jogai

A GDPR III. Fejezet 2. szakasz 15. cikk („Az érintett hozzáférési joga”) értelmében az érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon.

A GDPR III. Fejezet 3. szakasz 16. cikk („A helyesbítéshez való jog”) értelmében az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

A GDPR III. Fejezet 3. szakasz 17. cikk („A törléshez való jog, illetve az elfeledtetéshez való jog”) értelmében az érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az Adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben az itt nevezett jogszabályhelyben meghatározott indokok valamelyike fennáll. Ha az Adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

A GDPR III. Fejezet 3. szakasz 18. cikk („Az adatkezelés korlátozásához való jog”) értelmében az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

1. a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

1. b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

1. c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

21. d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

A GDPR III. Fejezet 3. szakasz 20. cikk („Az adathordozhatósághoz való jog”) értelmében az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná azt az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az itt megjelölt jogszabályhelyben felsorolt feltételek közül bármelyik teljesül. Az adatok hordozhatóságához való jog (1) bekezdés szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

A GDPR III. Fejezet 4. szakasz 21. cikk („A tiltakozáshoz való jog”) értelmében az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

A GDPR III. Fejezet 4. szakasz 22. cikk („Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást”) értelmében az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

A fentiek meghatározottak nem alkalmazandók abban az esetben, ha a döntés:

1. a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

1. b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

1. c) az érintett kifejezett hozzájárulásán alapul.

Az a) és c) pontokban említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

A fentiekben említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

6. Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

A GDPR III. Fejezet 1. szakasz 12. cikkben foglaltakkal összhangban Adatkezelő nyilatkozik, miszerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a GDPR 15-22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri. Ha Az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

7. az adatkezelés biztonsága

A GDPR IV. Fejezet 2. szakasz 32. cikk alapján az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

1. a) a személyes adatok álnevesítését és titkosítását;

1. b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

1. c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

1. d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Az adatkezelő, illetve az adatfeldolgozó a GDPR 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.

Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

A kezelt adatokat Adatkezelő úgy tárolja, hogy azokhoz illetéktelenek ne férhessenek hozzá. Papír alapú adathordozók esetében a fizikai tárolás, irattárazás rendjének kialakításával, elektronikus formában kezelt adatok esetén központi jogosultságkezelő rendszer alkalmazásával. Az adatok informatikai módszerrel történő tárolási módját úgy választja meg Adatkezelő, hogy azok törlése – az esetleg eltérő törlési határidőre is tekintettel – az adattörlési határidő lejártakor, illetve ha az egyéb okból szükséges, elvégezhető legyen. A törlésnek visszaállíthatatlannak kell lennie.

A papír alapú adathordozókat iratmegsemmisítő segítségével, vagy külső, iratmegsemmisítésre szakosodott szervezet igénybevételével fosztja meg a személyes adatoktól Adatkezelő. Elektronikus adathordozók esetében az elektronikus adathordozók selejtezésére vonatkozó szabályok szerint gondoskodik Adatkezelő a fizikai megsemmisítésről, illetve szükség szerint előzetesen az adatoknak a biztonságos és visszaállíthatatlan törléséről.

Fentiekre tekintettel az Adatkezelő az alábbi konkrét adatbiztonsági intézkedéseket foganatosítja.

A papíralapon kezelt személyes adatok biztonsága, továbbá a digitálisan tárolt adatok biztonsága érdekében az Adatkezelő az alábbi fizikai és digitális védelmi intézkedéseket alkalmazza:

A dokumentumokat biztonságos, jól zárható száraz helyiségben helyezi el. Amennyiben a papíralapon kezelt személyes adatok digitalizálására kerül sor, akkor a digitálisan tárolt dokumentumokra irányadó szabályokat alkalmazza Adatkezelő. Az Adatkezelő adatkezelést végző munkatársa a munkavégzése során csak úgy hagyhatja el azt a helyiséget, ahol adatkezelés folyik, hogy a rá bízott adathordozókat elzárja, vagy az adott helyiséget bezárja. Az adatkezelés során informatikai eszközök az Adatkezelő tulajdonát képezik. Az Adatkezelő által használt személyes adatokat tartalmazó informatikai rendszer vírusvédelemmel van ellátva. Az informatikai rendszerhez csak megfelelő jogosultsággal és csakis az arra kijelölt személyek, megfelelő felhasználónévvel és jelszóval férhetnek hozzá.

8. Az érintett tájékoztatása az adatvédelmi incidensről

A GDPR IV. Fejezet 2. szakasz 34. cikk szerint, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, Az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

A fentiekben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a GDPR 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

Az érintettet nem kell a fentiekben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

1. a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

1. b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

1. c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fentiekben említett feltételek valamelyikének teljesülését.

9. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak

A GDPR IV. Fejezet 2. szakasz 33. cikk szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

A fentiek szerinti bejelentésben legalább:

1. a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

1. b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

1. c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

1. d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

10. Felülvizsgálat kötelező adatkezelés esetén

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 5. § (5) bek. alapján, ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

11. panasztétel

Az érintett az Adatkezelő esetleges jogsértése ellen a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (1055 Budapest, Falk Miksa utca 9-11.; levelezési cím: 1363 Budapest, Pf. 9.; telefonszám: +36 -1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu) tehet panaszt.

12. jogszabályi környezet

Adatkezelő az alábbi jogszabályok figyelembevételével végzi adatkezelését:

• a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR),
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény – (Info tv.),
• a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.),
• az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény – (Eker tv.),
• az elektronikus hírközlésről szóló 2003. évi C. törvény – (Ehtv),
• a fogyasztóvédelemről szóló 1997. évi CLV. törvény (Fogyv tv.),
• a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény. (Pktv.),
• a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Grtv.).

13. Az adatkezelési tájékoztató közzététele és módosítása

Adatkezelő fenntartja magának a jogot jelen adatkezelési tájékoztató módosítására, amelyről az érintetteket megfelelő módon tájékoztatja. Az adatkezeléssel kapcsolatos információk közzététele a https://www.fannitenk.com/ weboldalon történik.

14. Cookie-k, azaz sütik kezelése

A sütik (cookie-k) olyan kisméretű adatfájlok, amelyek a weboldalon keresztül a weboldal használatával kerülnek az érintett informatikai eszközére úgy, hogy azokat az érintett internetes böngészője menti le és tárolja el. A leggyakrabban használt internetes böngészők (Chrome, Firefox, stb.) többsége alapbeállításként elfogadja és engedélyezi a sütik letöltését és használatát, az viszont már érintettől függ, hogy a böngésző beállításainak módosításával ezeket visszautasítja vagy letiltja, illetve az érintett a már a számítógépen lévő eltárolt sütiket is tudja törölni.  A sütik használatáról az egyes böngészők „súgó” menüpontja nyújt bővebb tájékoztatást.

Vannak olyan sütik, amelyek nem igénylik az érintett előzetes hozzájárulását. Ezekről a https://www.fannitenk.com/ weboldal az érintett első látogatásának megkezdésekor ad rövid tájékoztatást, ilyenek például a hitelesítési, multimédia-lejátszó, terheléskiegyenlítő, a felhasználói felület testreszabását segítő munkamenet-sütik, valamint a felhasználó-központú biztonsági sütik.

A hozzájárulást igénylő sütikről – amennyiben az adatkezelés már az oldal felkeresésével megkezdődik – az Adatkezelő az első látogatás megkezdésekor tájékoztatja az érintettet és kéri az érintett hozzájárulását. Az Adatkezelő nem alkalmaz és nem is engedélyez olyan sütiket, amelyek segítségével harmadik személyek az érintett hozzájárulása nélkül adatot gyűjthetnek.

A sütik elfogadása nem kötelező, az Adatkezelő azonban nem vállal azért felelősséget, ha sütik engedélyezése hiányában a weboldal esetleg nem az elvárt módon működik.

A https://www.fannitenk.com/ weboldal statisztikai illetve marketing sütiket alkalmaz, ezek esetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés a) pontján alapszik. Az adatkezelés időtartama 1 hónaptól 2 évig terjed.

A https://www.fannitenk.com/ weboldal állandó vagy mentett sütiket is alkalmaz, ezek esetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontján alapszik. Az adatkezelés az érintett általi törlésig tart, vagy a meghatározott érvényességi idővel rendelkező (azaz állandó, mentett) sütik törléséig, de legkésőbb érvényességi idejük lejáratáig tárolódnak az informatikai rendszeren.

A https://www.fannitenk.com/ weboldal ún. munkamenet sütiket, vagy egyéb, a honlap működéséhez elengedhetetlenül szükséges sütiket is alkalmaz, ezek esetében az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontján alapszik. Az adatkezelés időtartama ebben az esetben az adott munkamenet befejezéséig tartó időszak.

A fentiekben meghatározott cookie-k, azaz sütik esetében az érintettek körébe tartoznak a https://www.fannitenk.com/ weboldal látogatói és felhasználói. Az adatkezelés célja a felhasználók és látogatók azonosítása, nyomon követése, továbbá az adott felhasználóra mint érintettre szabott működés biztosítása. Az ezekkel összefüggő személyes adatokat kizárólag az adatkezelő ismerheti meg.

A honlap az alábbi partner cookie-kat (sütiket), illetve más hasonló programokat használja:

• Google AdWords remarketing, e-DM retargeting és display/banner retargeting és search remarketing szolgáltatásai, amelyekkel kapcsolatos adatvédelmi irányelvek a https://support.google.com/google-ads/answer/2407785?hl=en linken találhatóak;
• Google Analytics szolgáltatása, amellyel kapcsolatos cookie (süti) vonatkozású tudnivalók a https://tools.google.com/dlpage/gaoptout?hl=hu oldalon találhatók; és a
• Facebook szolgáltatása, amellyel kapcsolatos cookie (süti) vonatkozású tudnivalók a https://www.facebook.com/privacy/policies/cookies/ linken találhatók; és a
• az Instagram szolgáltatása, amellyel kapcsolatos cookie (süti) vonatkozású tudnivalók a https://privacycenter.instagram.com/policies/cookies/ linken találhatók.

15. adatvédelmi tisztviselő

A GDPR IV. Fejezet 4. szakasz 37. cikk alapján adatvédelmi tisztviselő kijelölésére nem került sor.

Kelt: Budapesten, 2024.07.27. napján.