Adatvédelem

 

Hatályos: 2018.05. 25.

 

 

ACH IMPEX Zártkörűen Működő Részvénytársaság

Cégjegyzékszám: 13-10-041421

 

 

Adatvédelmi szabályzata

 

I. BEVEZETÉS 

 

Jelen Adatvédelmi Szabályzat (a továbbiakban: Szabályzat) célja, hogy szabályozza az ACH IMPEX Zrt. személyes adatkezelési folyamatait és biztosítsa az érintettek jogait, eleget téve az alkalmazandó jogszabályi követelményeknek.

 

Az ACH IMPEX Zrt tevékenységének végzése során fokozottan ügyel a személyes adatok védelmére, kiemelten fontosnak tartja ügyfelei információs önrendelkezési jogának tiszteletben tartását, ügyel továbbá a kötelező jogi rendelkezések betartására, a biztonságos és tisztességes adatkezelésre. 

Az ACH IMPEX Zrt. ügyfeleinek személyes adatait bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, amely a biztonságos adatkezeléshez szükséges.

 

Az Adatkezelő adatai: ACH IMPEX Zrt. 

Cégjegyzékszám:13-10-041421

Székhely:2220 Vecsés, Új Ecseri út 2.

Adószám: 24946009-2-13

  

A Nemzeti Adatvédelmi és Információszabadság Hatósághoz történő bejelentés alapján, az Adatkezelő adatkezelés adatvédelmi nyilvántartási azonosító száma: NAIH-71073/2013

 

 

 A jelen Adatvédelmi szabályzat (a továbbiakban: Szabályzat a következő hatályos jogszabályok figyelembevételével készült: 

1995. évi CXIX. tv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről

2001. évi CVIII. tv. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről

2008. évi XLVIII. tv. a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól

2011. évi CXII. tv az információs önrendelkezési jogról és az információszabadságról

2016/679/EU Rendelet (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK Rendelet hatályon kívül helyezéséről- (a továbbiakban: Rendelet)

 

Az Adatkezelő vállalja a jelen Szabályzat betartását és kéri, hogy ügyfelei is fogadják el annak rendelkezéseit. Az Adatkezelő fenntartja magának a jogot, hogy a jelen Szabályzatot megváltoztassa.

Amennyiben a Szabályzat módosítására sor kerül, úgy az Adatkezelő annak aktualizált szövegét nyilvánosan közzéteszi. 

 

 

 

 

  

 

 II. ÉRTELMEZŐ RENDELKEZÉSEK 

  

A Szabályzatban az adatvédelmi szakkifejezések az alábbi jelentéssel bírnak.

  

- Adatállomány: az egy nyilvántartásban kezelt adatok összessége; 

- Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv/szervezet, amely az adatkezelő nevében-jogszabályi kötelezettség vagy szerződéses alapon- személyes adatokat kezel, azokat feldolgozza;

 

- Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik; 

 

- Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

- Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

 

 - Adatmegjelölés: az adat azonosító jelzéssel történő ellátása annak megkülönböztetése céljából; 

- Adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;

 

- Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; 

- Adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges; 

- Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

 

- Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából; 

- Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

 

- Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; 

- Érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy; 

- Harmadik ország: minden olyan állam, amely nem tagállam; 

- Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval; 

- harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak

- Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adat - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez; 

 - Kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja; 

- Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli; 

- Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat; 

 

 - Különleges adat: 

1. a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

2. az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

- Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele; 

- Profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

 

- Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

- Tagállam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; 

 

 - Tiltakozás: az érintett nyilatkozata, amellyel személyes adatának kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adat törlését kéri; 

 

 

 III. ADATKEZELÉSI ALEPELVEK 

 

  

1. Jogszerűség, tisztességes eljárás és átláthatóság

 

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

 

2. Célhoz kötöttség

 

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés. 

 

 

3. Pontosság 

 

A személyes adatoknak pontosnak és  naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. 

 

4. Adattakarékosság

 

A személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. 

 

5. Korlátozott tárolhatóság

 

A tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

 

6. Integritás és bizalmas jelleg

 

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

 

7. A személyes adatok továbbítása

 

A személyes adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy a Rendelet azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. 

  

Személyes adat az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. 

 

 

8. Nyilvánosságra hozatal

 

A Rendelet közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. 

  

Az érintett hozzájárulását megadottnak kell tekinteni a nyilvánosságra hozatal céljából általa átadott adatok tekintetében. 

  

Az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. Erre a tényre az érintett figyelmét fel kell hívni. 

  

Az érintett a hozzájárulását az Adatkezelővel írásban kötött szerződés keretében is megadhatja a szerződésben foglaltak teljesítése céljából. Ebben az esetben a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbítását, adatfeldolgozó igénybevételét. 

  

A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. 

    

 

IV. AZ ADATKEZELÉS ALAPJAI 

 

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

 

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

 

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

 

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

 

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

 

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

 

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

 

 

1. A weblap látogatóinak adatai esetében 

 

A Felhasználó bejelentkező számítógépének azon adatai kerülnek rögzítésre, melyek az ACH IMPEX Zrt. által nyújtott szolgáltatás igénybe vétele során generálódnak és melyeket a szolgáltató rendszere a technikai folyamatok automatikus eredményeként rögzít. Az automatikusan rögzítésre kerülő adatokat a rendszer a Felhasználó külön nyilatkozata vagy cselekménye nélkül a belépéskor, illetve kilépéskor automatikusan naplózza. Ezen adatok egyéb személyes felhasználói adatokkal – törvény által kötelezővé tett esetek kivételével – össze nem kapcsolhatók. Az adatokhoz kizárólag a szolgáltató fér hozzá.

 

 

Az Adatkezelő az általa üzemeltetett weboldalak látogatásakor sem a felhasználó IP címét, sem más személyes adatot nem rögzít.  

Az Adatkezelő által üzemeltetett weboldalak html kódja webanalitikai mérések céljából független, külső szerverről érkező és külső szerverre mutató hivatkozásokat tartalmazhat. A mérés kiterjed a konverziók követésére is. A webanalitikai szolgáltató személyes adatokat nem, csak a böngészéssel kapcsolatos, az egyes egyének beazonosítására nem alkalmas adatokat kezel.  

Adatvédelmi technikai megoldás leírása (pl.):  

az Adatkezelő a Facebook és a Google AdWords hirdetési rendszerein keresztül ún. remarketing hirdetéseket futtat. Ezek a szolgáltatók cookie-k, webes jelzők és hasonló technológiák használatával gyűjthetnek vagy kaphatnak adatokat az Adatkezelő weboldaláról és egyéb internetes helyekről. Ezen adatok felhasználásával mérési szolgáltatásokat nyújtanak, illetve hirdetéseket tesznek célzottá: ezek a Facebook és a Google partnerhálózatában szereplő további weboldalakon jelenhetnek meg. A remarketing listák a látogató személyes adatait nem tartalmazzák, személyazonosításra nem alkalmasak. 

 

Az Adatkezelő az általa üzemeltetett weboldalakon tett látogatások során egy vagy több cookie-t – azaz egy-egy karaktersorozatot tartalmazó kis fájlt – küld a szolgáltató a látogató számítógépére, amely(ek) révén annak böngészője egyedileg azonosítható lesz. 

 

A cookie-k használatát a felhasználó saját számítógépéről törölni tudja, illetve a böngészőjében eleve megtilthatja alkalmazásukat. Ezek a lehetőségek böngészőtől függően, de jellemzően a Beállítások / Adatvédelem menüpontban érhetőek el.  

További információ a Google és a Facebok adatvédelmi irányelveiről az alábbi elérhetőségeken olvasható: 

http://www.google.com/privacy.html és https://www.facebook.com/about/privacy/ 

  

2. Hírlevél 

  

Az Adatkezelő az általa üzemeltetett honlapok hírleveleire való feliratkozóknak (más néven VIP tagoknak) általában havonta, de hetente legfeljebb két alkalommal újdonságokat, híreket és üzleti ajánlatokat tartalmazó online hírleveleket és elektronikus úton direkt marketing üzeneteket kézbesít. A hírlevélre való feliratkozáshoz a név és e-mail cím megadása kötelező, ami elengedhetetlen az üzenetek kézbesítéséhez.  

A hírlevélre való feliratkozással a feliratkozó az adatkezeléshez kifejezetten hozzájárul.

Az adatokat mindaddig kezeljük, ameddig azok törlését az érintett nem kéri. A leiratkozás lehetőségét minden hírlevélben egy közvetlen link biztosítja. A megadott személyes adatok valódiságáért a felhasználó felel.  

  

  

3. Kvízjáték 

  

Az Adatkezelő az általa üzemeltetett honlapokon kvízjátékokat hirdethet meg. Egy kvízjátékban egy személy egyszer vehet részt. Ennek ellenőrzése céljából az Adatkezelő elkéri a játékos nevét, e-mailcímét és telefonszámát, amelyhez a résztvevő azok megadásával kifejezetten hozzájárul az adatkezeléshez. A nyereményekről, a nyertesek személyéről az e-mail címeiken értesíti valamennyi játékost, azokat is, akik nyereményben nem részesülnek.  A megadott telefonszámon a nyertest értesíti, illetve ezen keresztül kéri el a nyertes további adatait, amelyek az esetleges tárgynyeremény kiszállításához szükségesek.  

A kvízjátékosok adatait  az adott év utolsó napjától számított 5 évig, illetve jogszabályi kötelezettség esetén az abban rögzített ideig őrizzük meg. 

  

 

 V.  AZ ADATKEZELÉS BIZTONSÁGA 

 

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

 

a) a személyes adatok álnevesítését és titkosítását;

 

b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

 

c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

 

d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

 

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

 

 

Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre az uniós vagy a magyar jog kötelezi őket.

 

A személyes adatok tárolásának módja

 

Az ACH IMPEX Zrt. számítástechnikai rendszerei és más adatmegőrzési helyei a székhelyén, valamint a vonatkozó szerverein találhatóak meg.

Az ACH IMPEX Zrt.  a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott informatikai eszközöket úgy választja meg és üzemelteti, hogy a kezelt adat:

az arra feljogosítottak számára hozzáférhető;

hitelessége és hitelesítése biztosított;

változatlansága igazolható;

a jogosulatlan hozzáférés ellen védett

legyen.

 

Az ACH IMPEX Zrt. az adatokat megfelelő intézkedésekkel védi különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A ACH IMPEX Zrt. olyan műszaki, szervezési és szervezeti intézkedésekkel gondoskodik az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

Az ACH IMPEX Zrt. informatikai rendszere és hálózata védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépvírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az ACH IMPEX Zrt gondos eljárása és ellenőrzése ellenére előfordulhat, hogy tisztességtelen külső támadás éri a rendszert, amelyre ráhatása nincs és abból eredő kártérítési felelőssége nem áll fenn. 

 

Az érintett személyes adatainak védelmére az ACH IMPEX Zrt. megfelelő információbiztonsági szabályozást tart hatályban, amely leírja az adatbiztonsági alapelvek alkalmazásának módjait és feltételeit.

 

Az ACH IMPEX Zrt. 

 

- az adatokat megfelelő intézkedésekkel védi a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés ellen,

- a személyes adatokat bizalmas adatként minősíti és kezeli, a munkavállalókkal a személyes adatok kezelésére vonatkozóan titoktartási kötelezettséget ír elő,

- a személyes adatokhoz való hozzáférést jogosultsági szintek megadásával korlátozza,

- az informatikai rendszereket tűzfallal védi és vírusvédelemmel látja el,

- az elektronikus adatfeldolgozást, nyilvántartást számítógépes program útján végzi, amely megfelel az adatbiztonsági követelményeinek. A program biztosítja, hogy adatokhoz csak célhoz kötötten, ellenőrzött körülmények között csak azon személyek férjenek hozzá, akiknek a feladataik ellátása érdekében erre szükségük van,

- a személyes adatok védelme érdekében gondoskodik az elektronikus úton folytatott bejövő és kimenő kommunikáció ellenőrzéséről,

- biztosítja az adatok és azokat hordozó eszközök, iratok megfelelő fizikai védelmét,

- a folyamatban lévő munkavégzés, feldolgozás alatt lévő iratokhoz csak az illetékes ügyintézők férhetnek hozzá, a személyzeti, a bér- és munkaügyi és egyéb személyes adatokat tartalmazó iratokat biztonságosan elzárva kell tartani.

1. Webáruházak, e-kereskedelem 

 

Társaságunk kereskedelmi tevékenysége keretében esetenként természetes személyeket érintő adatokat  is kezel. 

  

Ezzel összefüggésben – a kereskedelmi ügylet és az ebből következő számviteli és adójogi (így különösen a számlák kiállítására vonatkozó) kötelezettségei teljesítése érdekében az alábbi körbe tartozó információkat szerzi be, tartja nyilván:   

  

- kereskedelmi okokból (például a korábbi rendelések és utánrendelések) 

- adójogi okokból (például számlázási adatok) 

- marketing- és utánkövetési célokkal (e-mail címek, stb.) 

  

2. Marketing, hírlevél 

 

Társaságunk marketing tevékenysége keretében természetes személyeket érintő adatokat kezel. 

Ezzel összefüggésben az alábbi körbe tartozó információkat szerzi be, tartja nyilván:   

  

- e-mail címek, 

- név, felhasználói név, 

- hozzájáruló nyilatkozatok, 

  

 

3. Munkáltatói adatkezelés

 

Társaságunk munkáltatói és foglalkoztatói minőségében természetes személyeket érintő adatokat is kezel. 

  

A Munka Törvénykönyve (munkaviszony), illetve a Polgári Törvénykönyv (munkavégzésre irányuló egyéb jogviszonyok és vállalkozási szerződések kapcsán), valamint a személyi jövedelemadóról szóló törvényben rögzített kifizetői (adóelőleg megállapítása, levonása, stb.) előírásainak betartása érdekében az alábbi kategóriákba tartozó adatokat tartja nyilván: 

  

- munkajogi okokból felmerülő adatok

- megbízások, szerződések kapcsán felmerülő adatok

- kifizetői feladatokkal összefüggésben felmerülő adatok

 

 

VI. AZ ADATVÉDELMI INCIDENS

 

1. Bejelentése a felügyeleti hatóságnak

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

 

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

 

A bejelentésnek legalább az alábbiakat tartalmaznia kell:

 

- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

 

- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

 

- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

 

- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

 

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a Rendelet követelményeinek való megfelelést.

 

 

2. Az érintett tájékoztatása az adatvédelmi incidensről

 

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

 

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét.

 

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

 

- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

 

- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

 

- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

 

Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fenti feltételek valamelyikének teljesülését.

 

 

VII.  AZ ÉRINTETTEK JOGAI 

 

1.Törléshez való jog 

 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

 

a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

 

b) az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

 

c) az érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett tiltakozik az adatkezelés ellen;

 

d) a személyes adatokat jogellenesen kezelték;

 

e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

 

f) a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

 

Az ACH IMPEX Zrt  az adatközléstől számított  5 év elteltével-  törli a személyes adatokat, kivéve azon eseteket, amelyben jogszabály vagy szerződés hosszabb megőrzési időt ír elő.

 

 

 

2. A helyesbítéshez való jog

 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

 

3. Az adatkezelés korlátozásához való jog

 

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

 

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

 

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

 

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

 

 

4. Az adathordozhatósághoz való jog

 

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha:

 

a) az adatkezelés hozzájáruláson, vagy a szerződésen alapul; és

 

b) az adatkezelés automatizált módon történik.

 

Az adatok hordozhatóságához való jog fentiek szerinti gyakorlása során az érintett jogosult arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok adatkezelők közötti közvetlen továbbítását.

 

Ez a jog nem érintheti hátrányosan mások jogait és szabadságait.

 

 

5. A tiltakozáshoz való jog

 

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ideértve a profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

 

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

 

Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

 

 

A tiltakozáshoz való jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

 

Ha a személyes adatok kezelésére tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.

 

 

6. A tájékoztatáshoz való jog

 

 A tisztességes és átlátható adatkezelés elve alapján az érintett tájékoztatást kap az adatkezelés tényéről és céljairól. Az adatkezelő olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Az érintettet továbbá a profilalkotás tényéről és annak következményeiről tájékoztatni kell. Ha a személyes adatokat az érintettől gyűjtik, az érintettet arról is tájékoztatni kell, hogy köteles-e a személyes adatokat közölni, valamint hogy az adatszolgáltatás elmaradása milyen következményekkel jár. Ezeket az információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy az érintett a tervezett adatkezelésről jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kapjon. Amikor az ikonokat elektronikus formátumban jelenítik meg, azoknak géppel olvashatóknak kell lenniük.

 

 

 

VII. AZ ADATVÉDELMI NYILVÁNTARTÁS

 

Amennyiben az Adatkezelő belső adatvédelmi felelőst nevez ki, a belső adatvédelmi felelős útján, az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza 

az érintett személyes adatok körét,

az adatvédelmi incidenssel érintettek körét és számát,

az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint

az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. 

Az adatvédelmi és az adattovábbítási nyilvántartás adatainak megőrzésére irányuló - és ennek alapján a tájékoztatási - kötelezettség időtartamát az adatkezelést előíró jogszabály korlátozhatja. E korlátozás körében személyes adatok esetében öt évnél, különleges adatok esetében pedig húsz évnél rövidebb időtartam nem állapítható meg. 

Az Adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 25 napon belül, közérthető formában, az érintett erre irányuló kérelmére írásban megadni a tájékoztatást. E tájékoztatás ingyenes, ha a tájékoztatást kérő a folyó évben azonos adatkörre vonatkozóan tájékoztatási kérelmet az adatkezelőhöz még nem nyújtott be. Egyéb esetekben költségtérítés állapítható meg. A költségtérítés mértékét a felek között létrejött szerződés is rögzítheti. A már megfizetett költségtérítést vissza kell téríteni, ha az adatokat jogellenesen kezelték, vagy a tájékoztatás kérése helyesbítéshez vezetett. 

A valóságnak meg nem felelő személyes adatot az Adatkezelő helyesbíteni köteles. 

 

 

 

VIII. JOGORVOSLAT

 

1. Felügyeleti Hatóság

 

Minden érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet.

 

Jogorvoslati lehetőséggel, panasszal a következő elérhetőségeken lehet élni: 

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság 

Cím:1125 Budapest, Szilágyi Erzsébet fasor 22/c. 

Telefon: 06- 1-391-1400 

Fax: 06-1-391-1410 

E-mail: ugyfelszolgalat@naih.hu 

Weboldal: www.naih.hu 

 

 

Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy az ügyfél jogosult bírósági jogorvoslattal élni.

Az Adatkezelő köteles az adatvédelmi incidenst 72 órán belül bejelenteni a felügyeleti hatóságnak.

 

2. Bírósági jogorvoslat

 

A felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra.

 

Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

 

A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti bíróság előtt kell megindítani.

 

 

3. Az adatkezelővel vagy az adatfeldolgozóval szembeni bírósági jogorvoslathoz való jog

 

Minden érintett bírósági jogorvoslatra jogosult, ha megítélése szerint, a személyes adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet vagy jelen Szabályzat szerinti jogait.

 

Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti bíróság előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti bíróság előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

 

 

 

Kelt: 2018. május 25.

 
Minden jog fenntartva