1. Bevezető rendelkezések

1.1. A www.tibidabo.hu weboldalt üzemeltető Tibidaboshop Korlátolt Felelősségű Társaság (a továbbiakban: „Adatkezelő”) belső adatkezelési folyamatainak nyilvántartása és az érintettek jogainak biztosítása céljából az alábbi Adatvédelmi szabályzatot (a továbbiakban: „Szabályzat”) alkotja.

1.2. Az Adatkezelő adatai:

• Cégnév: Tibidaboshop Korlátolt Felelősségű Társaság

• Székhely: 1063 Budapest, Bajnok utca 13.

• Képviseli: Rapai Barnabás cégjegyzésre jogosult ügyvezető

• Telefonszám: +36 30 280 6575

• E-mail: info@tibidabo.hu

1.3. Az Adatkezelő a jelen Szabályzattal kíván megfelelni az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: „Infotv.”), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendeletében (a továbbiakban: „GDPR rendelet”) foglalt követelményeknek.

1.4. A Szabályzat célja, hogy az érintettek megfelelő tájékoztatást kaphassanak az Adatkezelő által kezelt, illetve az általa megbízott adatfeldolgozó által feldolgozott adatokról, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatkezelésbe esetlegesen bevont adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről.

1.5. A Szabályzat 2020. március 20. napjától hatályos és kiterjed az Adatkezelőnél folytatott valamennyi olyan folyamatra, amely során a GDPR rendeletben meghatározott személyes adat kezelése megvalósul.

1.6. Az Adatkezelő az eljárásai során kizárólag a hatályos jogszabályok – így jelenleg elsősorban az Infotv. és a GDPR rendelet - alapján végez adatkezelést. Az Adatkezelő személyes adatot kizárólag a GDPR rendeletben meghatározott jogalapra tekintettel végez.

1.7. Az adatkezelés minden szakaszában meg kell felelni a jogalapnak, valamint a célnak és amennyiben az adatkezelés célja megszűnt, vagy az adatok kezelése egyébként jogellenes, az adatok törlésre kerülnek.

1.8. Az Adatkezelő az adat felvétele előtt minden esetben közli az érintettel az adatkezelés célját, valamint az adatkezelés jogalapját.

1.9. Az Adatkezelő nyilvántartást vezet az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket. A bekövetkezett adatvédelmi incidensről az Adatkezelő értesíti az érintetteket és szükség esetén a Nemzeti Adatvédelmi és Információszabadság Hatóságot (a továbbiakban: „Hatóság”) a Hatóság honlapján (www.naih.hu) közzétett „Adatvédelmi Incidensbejelentő Rendszeren” keresztül.

1.10. A papíralapon kezelt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket alkalmazza:

• az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;

• a dokumentumokat jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;

• a folyamatos aktív kezelésben lévő iratokhoz csak a személyes adatok kezelésére illetékesek férhetnek hozzá;

• az Adatkezelő adatkezelést végző munkatársa a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rá bízott adathordozókat elzárja, vagy az irodát bezárja;

• az Adatkezelő adatkezelést végző munkatársa a munkavégzés befejeztével a papíralapú adathordozót elzárja;

• amennyiben a papíralapon kezelt személyes adatok digitalizálásra kerülnek, a digitálisan tárolt dokumentumokra irányadó biztonsági szabályokat alkalmazza az Adatkezelő.

1.11. A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében az Adatkezelő az alábbi intézkedéseket és garanciális elemeket alkalmazza:

• az adatkezelés során használt számítógépek az Adatkezelő tulajdonát képezik, vagy azok fölött tulajdonosi jogkörrel megegyező joggal bír az Adatkezelő;

• a számítógépen található adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval - lehet csak hozzáférni, a jelszavak cseréjéről az Adatkezelő rendszeresen, illetve indokolt esetben gondoskodik;

• amennyiben az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az adatot tartalmazó fájl visszaállíthatatlanul törlésre kerül, az adat újra vissza nem nyerhető;

• a személyes adatokat kezelő hálózaton a vírusvédelemről folyamatosan gondoskodik;

• a rendelkezésre álló számítástechnikai eszközökkel, azok alkalmazásával megakadályozza illetéktelen személyek hálózati hozzáférését;

• személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására kizárólag akkor kerülhet sor, ha az adattovábbítás megfelel a GDPR rendelet 45. cikkében foglaltaknak.

2. Fogalmak

2.1. Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

2.2. Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

2.3. Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

2.4. Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

2.5. Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

2.6. Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

2.7. Egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

3. Az Adatkezelő által folytatott adatkezelések

3.1. Szolgáltatás nyújtása (termék megrendelések teljesítése, személyre szabott étrendtervezés, hírlevél szolgáltatás):

3.1.1. Az adatkezelés célja

Az Adatkezelő szolgáltatásainak igénybevételéhez kapcsolódóan az ügyfél beazonosítása, továbbá a kapcsolattartás, valamint a hírlevél szolgáltatás igénybevétele, személyre szabott étrendtervezés és ehhez kapcsolódóan az étkezési szokásokkal kapcsolatos állapotfelmérés.

3.1.2. Az adatfeldolgozó személye:

A személyes adatok adatfeldolgozó részére történő átadásáról az érintettet előzetesen tájékoztatni kell.

Az Adatkezelő kizárólag olyan adatfeldolgozókat vesz igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Az adatfeldolgozó az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe.

Az adatfeldolgozó és bármely, az Adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy az érintett személyes adatait kizárólag az Adatkezelő utasításának megfelelően kezelheti.

3.1.3. Az adatkezelés jogalapja

Az Adatkezelő a Szabályzat 3. pontjában rögzített adatkezelés vonatkozásában az érintett hozzájárulása [GDPR rendelet 6. cikk (1) bekezdés a) pont és 9. cikk (2) bekezdés a) pont] alapján, illetve az Adatkezelő és az érintett közötti szerződés teljesítéséhez kapcsolódóan [GDPR rendelet 6. cikk (1) bekezdés b) pont] végzi az adatkezelést.

3.1.4. Kezelt adatok köre

• Az Adatkezelő és az érintett (ügyfél) között a szolgáltatás igénybevételére vonatkozó szerződés létrehozásához kapcsolódóan felvételre kerülő személyes adatok: név, telefonszám, továbbá e-mail cím és szállítási cím.

• A személyre szabott étrendtervezés körében felvételre kerülő különleges adatok: többek között az érintett egészségügyi előélete, étkezési szokásai, az érintett testsúlya, az esetleges káros szenvedélyei, a szűrővizsgálatokon való részvétellel kapcsolatos adatok, az érintett kórtörténete, az érintett családi kórtörténete, a rendszeres gyógyszerszedéssel kapcsolatos adatok.

A GDPR rendeletben rögzített adattakarékosság követelményének megfelelően történik az adatkezelés. Azonos jogalap és cél esetén csak kivételesen indokolt esetben lehet újból felvenni a korábban már kezelt adatot.

3.1.5. Az adatkezelés időtartama

Amennyiben az adatkezelés jogalapja az érintett hozzájárulása, abban az esetben az érintett által közölt visszavonásig vagy az érintett által kérelmezett törlésig.

A fenti esetet kivéve az adott személyes adat vonatkozásában létrejött polgári jogi jogviszonyhoz kapcsolódó igény elévüléséig.

Az adatok törléséről az Adatkezelő az érintettet értesíti, mely értesítésről szóló igazolást (például tértivevény, email) az Adatkezelő további 5 (öt) évig megőrzi az adatok törlésének igazolása céljából.

3.1.5 A személyes adatok megosztása harmadik személyekkel

Az általunk gyűjtött személyes adatokat megoszthatjuk szerződéses partneri viszonyban lévő társaságokkal vagy cégekkel, szolgáltatókkal amelyek a nevünkben végeznek el bizonyos feladatokat továbbá egyéb más szervezetekkel is. Ezen harmadik felek mindenekelőtt abban támogatnak bennünket, hogy Önnek egyre jobb minőségben nyújthassuk Szolgáltatásainkat, ideértve például magát az online vásárlást, az elektronikus direkt marketinget (pl. testreszabott hírleveleink), továbbá ezek a cégek segítenek nekünk abban, hogy javíthassunk szolgáltatásainkon és így még jobban az Ön igényeihez igazíthassuk marketinges kommunikációnkat.

Ezek a cégek csak azokat az adatokat kezelik, amelyek fenti feladatoknak az elvégzéséhez és az utasításaink teljesítéséhez szükségesek (részletesen lásd alább). Amikor ezekkel a cégekkel osztunk meg személyes adatokat, utasítjuk őket az adatok biztonságos kezelésére, és arra, hogy nem használhatják az Ön személyes adatait saját marketinges céljaikra kivéve, ha Ön ahhoz külön hozzájárult.

4. Az adatkezeléssel kapcsolatos jogérvényesítési lehetőség

4.1. Az Adatkezelő kiemelt figyelmet fordít az érintettek személyes adatainak megfelelő szintű védelmére és biztonságára. Az adatbiztonság keretében az Adatkezelő törekszik arra, hogy megfelelően megvédje az érintett magánszféráját.

4.2. Az érintettnek lehetősége van írásban panasszal élni az Adatkezelő sérelmesnek ítélt adatkezelési gyakorlatával kapcsolatban.

4.3. Az Adatkezelő az érintett által írásban közölt panasz kézhezvételétől számított 1 (egy) hónapon belül választ küld az érintett részére.

4.4. Az érintett panasszal fordulhat továbbá a Hatósághoz az alábbi elérhetőségeken:

• Nemzeti Adatvédelmi és Információszabadság Hatóság

• Postacím: 1530 Budapest, Pf.: 5.

• Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c

• Telefon: +36 (1) 391-1400

• Fax: +36 (1) 391-1410

• E-mail: ugyfelszolgalat@naih.hu

• Honlap: https://naih.hu

4.5. Az érintett a jogainak megsértése esetén az Adatkezelő ellen bírósághoz fordulhat.