A  Trek, Laierre kerékpárok forgalmazója számára fontos és nagyon komolyan vesszük személyes adataid biztonságára vonatkozó felelősségünket. Elkötelezetten védjük személyes adataidat és átláthatóvá tesszük, hogy milyen információkat gyűjtünk, illetve mire használjuk azokat. Az adatvédelmi jogszabályok európai szintű változásával és az átláthatóság iránti elkötelezettségünkkel összhangban frissítettük adatvédelmi szabályzatunkat a weboldalunkon.

Amennyiben többet szeretnél megtudni, olvasd el a honlapunkon található Adatvédelmi tájékoztatót.

Adatfeldolgozás szabályai

1. Előzmény
• Az EU Parlament és a EU Tanács 2016/679 rendelete alapján, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, a GDPR (General Data Protection Regulation – Általános Adatvédelmi Rendelet) 28.cikkében meghatározottaknak megfelelően rögzíthető az Adatkezelő feladata, az adatfeldolgozási tevékenység szabályai.
• Az adatfeldolgozási tevékenység természetes személyekre vonatkozó személyes adatokra terjed ki, az adatok feldolgozása és kezelése során különös hangsúlyt kell fektetni az Érintettek magánszférájának védelmére és az adatbiztonság követelményeinek megvalósulására.

2. Szerződés tárgya
• Az adatkezelő a megkapott adatok feldolgozása során figyelemmel van a GDPR-ban rögzített alapvető követelményekre.
• Az adatkezelő a személyes adatokat csak a rendelési tevékenységhez, műveletekhez használhatja fel.

3. Adatkezelő jogai és kötelességei
Az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását, hogy csak néhány adatkezelési műveletet említsünk. Az ezt végző személy az Adatkezelő. Az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik, az Adatfeldolgozó. A fontos különbség az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket az adatokon (pl. webtárhely szolgáltatója).
Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.
• Biztosítja, hogy a személyes adatok feldolgozásával feljogosított személyek titoktartási kötelezettséget vállalnak, megfelelő intézkedéseket hoznak.
• Vállalja, hogy legkésőbb 2018.05.25-ig a GDPR 32. cikkében foglalt adatbiztonsági intézkedéseknek megfelel, különösen a továbbított, tárolt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy azokhoz való jogosulatlan hozzáférésből eredő kockázatok csökkentésének.
• Köteles gondoskodni az általa igénybe vett személyek (esetleges alkalmazottak) adatvédelmi felkészítésről, a betartandó adatvédelmi jogszabályi rendelkezések, kötelezettségek tekintetében.
• Köteles gondoskodni az általa kezelt (papíron, elektronikus úton) tárolt adatok megfelelő védelméről. Köteles megakadályozni az illetéktelen személyek által való hozzáférést. A szándékos vagy gondatlan megsértésből eredő kárért teljes felelőséggel tartozik
• A tevékenység folyamán más személy csak az adatkezelő engedélyével dolgozhat az adatokkal, de előtte az adatkezelőt ki kell oktatni a tevékenység jogairól, kötelességéről, titoktartásról.
• az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményeziaz incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot
• személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé. Az adatkezelő indokolatlan késedelem nélkül – ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott – megteszi a bejelentést a felügyeleti hatóságnak
• Az incidenssel érintett személyeket csak akkor kell értesíteni, ha az adatsértés számukra valószínűsíthetően nagy kockázatot jelent

4. Titoktartás
• Az adatkezelő a tevékenység folyamán köteles megtenni azokat a technikai, szervezési, adminisztratív intézkedéseket, kialakítani az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok betartásához szükségesek.
• Az adatkezelőt a tudomására jutott személyes adatokat képező információk megtartása érdekében büntetőjogi felelősség terheli. Bizalmas információk átadására, nyilvánosságra hozatalára nem jogosult (nyilvánosságra hozatalnak minősül a jogosulatlan harmadik személlyel történő közlés is).
• Az adatkezelő a személyes adatokról, iratokról harmadik személy részére betekintést nem ad, nem hozza semmilyen körülmények között harmadik személy tudomására azokat.
• A titoktartási kötelezettség az adatkezelőt határidő nélkül terheli.

5. Adatbiztonság
• Az adatbiztonsági követelményrendszer a személyes adatok védelmére technikai és személyi intézkedésekkel valamint fizikai és informatikai megoldásokkal történő támogatást jelenti.
• Az adatkezelés és adatfeldolgozói tevékenysége során az adatvédelmi szabályoknak és joggyakorlatnak megfelelően jár el.
• A személyes adatok tárolása védett, korlátozott hozzáférésű gépen történik, az adatkezelő minden szükséges technikai és szervezési intézkedést megtesz az érintett adatainak elvesztése, más célra való felhasználása, illetéktelen személy általi megismerése, nyilvánosságra hozatala, megváltoztatása vagy törlése ellen.
• Gondoskodnak a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről.
• Az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helységben helyezik el és gondoskodnak a fizikai védelemről is.
• A különböző nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

6. Az érintettek jogai
A GDPR megerősíti az érintettek jogait, így biztosítja számukra a tájékoztatáshoz való jogot a róluk kezelt adatokkal kapcsolatban, bizonyos esetekben garantálja az adatokhoz való hozzáférést, és az esetlegesen helytelen adatok kijavítására is lehetőséget biztosít.
Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”
• Tájékoztatáshoz való jog: megfelelő méretű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az adatkezelő az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ, stb.) – a GDPR pontosan meghatározza a szükséges információk körét. A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be, mondjuk, valaki elküldi egy barátja önéletrajzát a HR-osztálynak – úgy az első lehetséges időpontban.
• Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
• Adatok helyesbítésének kérése: az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre – megjegyezzük, hogy az adatok pontosságáért az adatkezelőt terheli a felelősség, így célszerű időről időre ellenőrizni azok pontosságát
• Törléshez való jog: az érintett bármikor kérheti adatai törlését. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek. Ennek célja az, hogy – hacsak annak jogi vagy ésszerű akadálya nincs – az érintett adat „tűnjön el” a fellelhető adatbázisokból.
• Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását – például egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már, de az adatalany azt mégis szeretné.
• Adathordozhatósághoz való jog: az érintett kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Azaz megkönnyíti az adatkezeléssel érintett helyzetét, hogy személyes adatait egyik adatkezelőtől a másikhoz vigye át. Bár ez a jog jól hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban.
• Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez.
Milyen hivatalokat kell kötelezően megjeleníteni az adatvédelmi tájékoztatóban?
Azt kell megjelölni, hogy panasz esetén hová fordulhat az érintett, így a kompetens bíróság és a NAIH elérhetőségét kell feltüntetni annak részletezése mellett, hogy milyen jogsértés esetén melyikhez lehet fordulni
-Adatvédelmi információk közzététele (hozzájárulás és adatvédelmi tájékoztató)
Hozzájárulás
az adatok gyűjtésének, és a hozzájárulás beszerzésének és rögzítésének módját. Az érintettek részére biztosítani kell a lehetőséget, hogy ugyanolyan egyszerű legyen visszavonni a hozzájárulásukat, mint megadni azt. A személyes adatok kezeléséhez kifejezett és egyértelmű hozzájárulás, azaz az érintett egyértelmű megerősítő cselekedete szükséges, a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.
Adatkezelési tájékoztató
tájékoztatás tartalmát, aminek ki kell terjednie az adatkezelés jogalapjára, az adatok megőrzésének idejére, valamint arra, hogy az érintettek panaszt tehetnek a nemzeti adatvédelmi hatóságnál, ha úgy érzik, hogy az Ön szervezete nem megfelelően kezeli a személyes adataikat.
Személyes adatok kezelése és besorolása
Mindenképpen szükséges dokumentálnia, hogy milyen személyes adatokat kezel, honnan/kitől gyűjtötte azokat, és kivel osztja meg.

7. Egyéb rendelkezések
Az adatkezelő köteles a munkatársainak, alkalmazottaknak tájékoztatást tartani az adatkezelésről, szabályokról.