Adatvédelmi Nyilatkozat
ADATKEZELÉSI TÁJÉKOZTATÓ
Adatkezelő jelen adatvédelmi tájékoztató közzététele útján tesz eleget az érintettek személyes adatok kezelésére vonatkozó előzetes tájékoztatási kötelezettségének, az általa nyújtott kozmetikai szolgáltatás igénybevétele során felmerülő adatkezeléssel kapcsolatban.
1. Az adatkezelésre vonatkozó jogszabályok
- az Európai Parlament és a Tanács (EU) 2016/679 rendelete,
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
2. Adatkezelő adatai
Adatkezelő tájékoztatja az érintettet, hogy személyes adatainak kezelése körében adatkezelőnek minősül.
Adatkezelő adatai: Név: Szilágyi Hajduová Tímea,
Egyéni vállalkozás neve: Artful Beauty by Szilágyi
Egyéni vállalkozás helye: Kunigunda útja 9., Budapest 1037
E-mail cím: artfulbeautybyszilagyi@gmail.com
Telefonszám: +3670 883 6911
2. A kezelt adatok köre és az adatkezelés célja
Adatkezelő az alábbi adatokat kezeli: érintett neve, email címe, lakcíme.
Az adatkezelés célja:
- név: az adatkezelés célja az érintett beazonosítása, a kozmetikai kezelésre való bejelentkezés lehetővé tétele érdekében,
- email cím: az adatkezelés célja az érintettel való kapcsolattartás, időpont egyeztetés, tájékoztatás nyújtása.
- lackím: az adatkezlés célja az éríntett részére számlakiállítás.
3. Az adatkezelés időtartama
A személyes adatokat adatkezelő csak az adatkezelés céljához szükséges ideig kezeli, és azokat az érintett kérelmére haladéktalanul törli.
4. Az adatkezelés jogalapja:
Az adatkezelés jogalapja az érintett hozzájárulása (Rendelet 6. cikk (1) bekezdés a) pont, az Infotv. 5. § (1) bekezdése).
Az érintett a személyes adatainak kezeléséhez való hozzájárulását a következő formában adhatja meg:
- írásban, személyes adatkezeléshez hozzájárulást adó nyilatkozati formában,
- elektronikus úton, ha az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja, az adatkezelőnek küldött email küldésével. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
5. Az érintett személy adatainak kezelésével összefüggő jogai
Az érintettnek joga van:
- a tájékoztatáshoz az adatkezelés megkezdése előtt,
- arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a jogszabályban rögzített információkhoz hozzáférést kapjon,
- adatainak helyesbítését, törlését kérni, értesítést kapni az adatkezelőtől ennek megtörténtéről,
- az adatkezelés korlátozását kérni, értesítést kapni az adatkezelőtől ennek megtörténtéről,
- az adathordozhatósághoz,
- tiltakozáshoz, ha személyes adatait közérdekű célból, vagy az adatkezelő jogos érdekére hivatkozással kezelik,
- mentesüljön az automatikus döntéshozatal alól, beleértve a profilalkotást,
- a felügyeleti hatóságnál való panasztételhez. Panasztételhez való jogát az érintett az alábbi elérhetőségeken gyakorolhatja: Nemzeti Adatvédelmi és Információszabadság Hatóság, cím: 1055 Budapest, Falk Miksa u. 9-11., Telefon: +36 (1) 39l-1400; Fax:+36( 1)391 -1410.,www:https://www.naih.hu, e-mail: ugyfelszolgalat@naih.hu,
- felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz,
- az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz,
- az adatvédelmi incidensről való tájékoztatáshoz.
6. Adatvédelmi incidens esetén alkalmazandó eljárás
Adatvédelmi incidens a Rendelet értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatvédelmi incidensnek minősül a személyes adatokat tartalmazó eszköz (laptop, mobiltelefon) elvesztése, vagy ellopása, illetve annak minősül az adatkezelő által a titkosított állomány visszafejtésére szolgáló kód elvesztése, hozzáférhetetlenné válása, ransomware (zsarolóvírus) általi fertőzés, amely a váltságdíj megfizetéséig hozzáférhetetlenné teszi az adatkezelő által kezelt adatokat, az informatikai rendszer megtámadása, tévesen elküldött személyes adatokat tartalmazó e-mail, címlista nyilvánosságra hozatala stb.
Az adatvédelmi incidens észlelése esetén Adatkezelő haladéktalanul vizsgálatot folytat le az adatvédelmi incidens azonosítása és lehetséges következményeinek megállapítása céljából. A károk elhárítása érdekében a szükséges intézkedéseket meg kell tenni.
Az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az említett bejelentésben legalább:
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell a kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az Adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a Rendelet 33. cikkében foglalt követelményeknek való megfelelést.
7. Az adatvédelmi incidensről történő tájékoztatás
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket, az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az érintettet nem kell a fentiek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
- az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket - mint például a titkosítás alkalmazása -, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,
- az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg,
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé.
Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a fent említett feltételek valamelyikének teljesülését.
8. Az érintett kérelme esetén alkalmazandó eljárás
Adatkezelő elősegíti az érintett jogainak gyakorlását, az érintett jelen adatkezelési tájékoztatóban is rögzített jogainak gyakorlására irányuló kérelem teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.
Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
Ha Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
Ha az Adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.
9. Az adatbiztonságra vonatkozó rendelkezések
Adatkezelő személyes adatot csak a jelen szabályzatban rögzített tevékenységekkel összhangban, az adatkezelés célja szerint kezelhet.
Adatkezelő az adatok biztonságáról gondoskodik, e körben kötelezettséget vállal arra, hogy megteszi mindazon technikai és szervezési intézkedéseket, amelyek elengedhetetlenül szükségesek az adatbiztonságra vonatkozó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához.
Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.