Adatvédelmi tájékoztató: GDPR, sütik és érintetti jogok
Ez az adatvédelmi tájékoztató ismerteti, hogy a weboldal üzemeltetője milyen személyes adatokat kezel, milyen célból és jogalapon, meddig őrzi azokat, és milyen jogokkal rendelkezik az érintett a GDPR és a 2011. évi CXII. törvény (Infotv.) alapján.
Ez az adatvédelmi tájékoztató arról tájékoztatja Önt, hogy weboldalunk üzemeltetője milyen személyes adatokat gyűjt és kezel, milyen célból és milyen jogalapon, valamint meddig tárolja azokat. A tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) – amely 2018. május 25-től közvetlenül alkalmazandó minden EU-tagállamban – és a 2011. évi CXII. törvény (Infotv.) az információs önrendelkezési jogról és az információszabadságról alapján készült. Célunk, hogy Ön érthető, áttekinthető formában kapjon képet adatainak sorsáról, és tisztában legyen azzal, milyen jogok illetik meg személyes adatai kapcsán.
Tartalomjegyzék
- Mi az adatvédelmi tájékoztató, és miért kötelező?
- Ki az adatkezelő?
- Milyen személyes adatokat kezelünk, milyen célból és jogalapon?
- Sütik (cookie-k) kezelése
- Meddig őrizzük meg az adatokat?
- Az Ön (érintett) jogai
- Adatbiztonság és adattovábbítás (harmadik felek)
- Jogorvoslat: panasz a NAIH-nál és bírósági út
- Gyakori kérdések (GYIK)
- A tájékoztató hatálya és módosítása
Mi az adatvédelmi tájékoztató, és miért kötelező?
Az adatvédelmi tájékoztató egy olyan kötelező jogi dokumentum, amelyben az adatkezelő – vagyis az, aki meghatározza, hogy milyen személyes adatokat, milyen célból és milyen módon kezel – tájékoztatja az érintetteket (azaz a weboldal látogatóit, felhasználóit) adataik kezelésének körülményeiről. A GDPR 13. és 14. cikke alapján a tájékoztatást az adatgyűjtéssel egyidejűleg, átlátható, közérthető formában kell megadni. Ennek megsértése felügyeleti hatósági bírságot és polgári jogi igényt vonhat maga után.
Fontos megkülönböztetni a tájékoztatás két jogszabályi forrását: a GDPR (EU 2016/679 rendelet) közvetlenül alkalmazandó, tehát törvényi átültetés nélkül is kötelező minden EU-s adatkezelőre; a kiegészítő nemzeti szabály pedig Magyarországon a 2011. évi CXII. törvény (Infotv.), amely az információs önrendelkezési jog és az információszabadság alapelveit fekteti le. A kettő együtt határozza meg, mit kell tartalmaznia ennek a dokumentumnak.
Kikre vonatkozik (érintettek köre)?
Ez az adatvédelmi tájékoztató kiterjed a weboldal minden látogatójára, regisztrált felhasználójára, hírlevél-feliratkozójára és a kapcsolatfelvételi űrlapon keresztül adatait megadó személyre. Az érintett fogalma a GDPR értelmében minden olyan azonosított vagy azonosítható természetes személy, akinek személyes adatait kezeljük.
Ki az adatkezelő?
Az adatkezelő a weboldalt üzemeltető gazdálkodó szervezet, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. Az adatkezelő adatai:
- Cégnév: [CÉGADAT — kitölteni]
- Székhely: [CÉGADAT — kitölteni]
- Cégjegyzékszám / adószám: [CÉGADAT — kitölteni]
- Képviselő: [CÉGADAT — kitölteni]
- Kapcsolattartó e-mail: [CÉGADAT — kitölteni]
A GDPR nem írja elő kötelezően adatvédelmi tisztviselő (DPO – Data Protection Officer) kijelölését minden adatkezelő számára; ez jellemzően a nagyszabású, szisztematikus nyomon követést vagy különleges adatkategóriák kezelését végző szervezeteknél kötelező (GDPR 37. cikk). Amennyiben weboldalunk üzemeltetője adatvédelmi tisztviselőt jelölt ki, annak elérhetősége az alábbi:
Adatvédelmi tisztviselő (DPO) elérhetősége
DPO e-mail: [adatvedelem@CÉGDOMAIN — kitölteni]. Ha nincs kijelölt DPO, az adatvédelmi ügyekben az adatkezelő fenti általános elérhetőségén veheti fel a kapcsolatot.
Milyen személyes adatokat kezelünk, milyen célból és jogalapon?
A személyes adat fogalma a GDPR szerint minden információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik — legyen az neve, e-mail címe, IP-címe vagy az eszközén tárolt egyedi azonosító. Weboldalunk üzemeltetése során az alábbi adatkategóriák kerülhetnek kezelésre: név, e-mail cím, IP-cím, böngésző- és eszközadatok, sütikből (cookie-kból) származó azonosítók, kapcsolatfelvételkor megadott üzenet tartalma, valamint regisztráció esetén a felhasználói fiókhoz szükséges adatok.
A GDPR 6. cikk (1) bekezdése sorolja fel az adatkezelés lehetséges jogalapjait. Weboldalunkon jellemzően az alábbiak relevánsak:
- Hozzájárulás [GDPR 6. cikk (1) a)] — például hírlevél-feliratkozáshoz, marketing- és statisztikai sütikhez.
- Szerződés teljesítése [GDPR 6. cikk (1) b)] — regisztrált felhasználói fiók vagy előfizetéses szolgáltatás esetén.
- Jogi kötelezettség teljesítése [GDPR 6. cikk (1) c)] — például számviteli, adózási vagy pénzmosás elleni (AML) megőrzési kötelezettség esetén.
- Jogos érdek [GDPR 6. cikk (1) f)] — a weboldal biztonsága, visszaélések megelőzése érdekében, az érdekmérlegelési teszt elvégzése mellett.
Adatkezelési célok táblázata
Az alábbi táblázat összefoglalja az egyes adatkezelési célokat, a kezelt adatok körét, az alkalmazott jogalapot és a megőrzési időt. A cégspecifikus megőrzési határidőket a tényleges üzleti szabályzat határozza meg; ahol az nincs megerősítve, helyőrzőt alkalmazunk.
| Adatkezelés célja | Kezelt adatok | Jogalap (GDPR 6. cikk) | Megőrzési idő |
|---|---|---|---|
| Weboldal üzemeltetése, biztonság | IP-cím, böngésző- és eszközadatok, naplófájlok | Jogos érdek [6. cikk (1) f)] | [MEGŐRZÉSI IDŐ — kitölteni] |
| Kapcsolatfelvétel megválaszolása | Név, e-mail cím, üzenet tartalma | Jogos érdek / szerződéskötés előkészítése [6. cikk (1) b), f)] | [MEGŐRZÉSI IDŐ — kitölteni] |
| Hírlevél küldése, marketing | E-mail cím, név | Hozzájárulás [6. cikk (1) a)] | Hozzájárulás visszavonásáig |
| Regisztráció és felhasználói fiók | Név, e-mail cím, jelszó (titkosítva), fiókadatok | Szerződés teljesítése [6. cikk (1) b)] | Fiók törléséig / [MEGŐRZÉSI IDŐ — kitölteni] |
| Jogi kötelezettség teljesítése (pl. számvitel, AML) | Számlázási adatok, tranzakciós adatok | Jogi kötelezettség [6. cikk (1) c)] | [MEGŐRZÉSI IDŐ — kitölteni] (jogszabályi határidő szerint) |
| Látogatottsági statisztika | Sütiazonosítók, IP-cím, megtekintett oldalak | Hozzájárulás [6. cikk (1) a)] | Süti lejáratáig / [MEGŐRZÉSI IDŐ — kitölteni] |
Sütik (cookie-k) kezelése
A süti (cookie) egy kis szövegfájl, amelyet a weboldal helyez el a felhasználó böngészőjében, és amelyet a böngésző az egyes látogatások során visszaküld a szervernek. Egyes sütik személyes adatnak minősülnek a GDPR értelmében — elsősorban akkor, ha egyedi azonosítót tartalmaznak, amellyel a látogató visszaazonosítható. A sütiket a GDPR és az elektronikus hírközlési szabályok (az ePrivacy-irányelv elvei) egyaránt érintik.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján a sütiket granuláris módon, kategóriánként kell kezelni: a hozzájárulást minden egyes süti-kategóriára külön kell megadni, és a visszavonásnak ugyanolyan egyszerűnek kell lennie, mint a hozzájárulás megadásának. A NAIH bírságolta már azokat a weboldalakat, amelyek nem megfelelő süti-bannerrel — pl. az „elutasítás” gomb elrejtésével — próbáltak meg hozzájárulást kicsikarni.
Süti-kategóriák táblázata
| Kategória | Cél | Jogalap | Hozzájárulás szükséges? |
|---|---|---|---|
| Szükséges (necessary) | A weboldal alapvető működése (pl. munkamenet-kezelés, kosár, bejelentkezés) | Jogos érdek / a szolgáltatás nyújtása | Nem |
| Funkcionális / preferencia | Felhasználói beállítások megőrzése (pl. nyelv, régió) | Hozzájárulás [GDPR 6. cikk (1) a)] | Igen |
| Statisztikai / analitikai | Látogatottsági adatok gyűjtése, weboldal-teljesítmény mérése | Hozzájárulás [GDPR 6. cikk (1) a)] | Igen |
| Marketing / hirdetési | Személyre szabott reklám, remarketing, látogatói profilozás | Hozzájárulás [GDPR 6. cikk (1) a)] | Igen |
Hogyan kezelhető és vonható vissza a hozzájárulás?
A weboldal első látogatásakor megjelenő süti-tájékoztató panel lehetőséget biztosít arra, hogy Ön kategóriánként elfogadja vagy elutasítsa a sütiket. A beállítások bármikor módosíthatók a weboldalon elérhető süti-preferencia-panelen keresztül. Emellett a legtöbb böngésző (Chrome, Firefox, Safari, Edge) beállításaiban manuálisan is törölhetők és tilthatók a sütik — ez azonban bizonyos funkciók (pl. bejelentkezési munkamenet) korlátozottabb működéséhez vezethet. A hozzájárulás visszavonása nem érinti a visszavonás előtt végzett adatkezelés jogszerűségét (GDPR 7. cikk (3)).
Meddig őrizzük meg az adatokat?
A GDPR 5. cikk (1) bekezdés e) pontja a „korlátozott tárolhatóság” elvét fogalmazza meg: a személyes adatokat csak addig szabad tárolni, amíg az az adatkezelési cél eléréséhez szükséges. Nem mindegy, hogy ez az elv a gyakorlatban mit jelent az egyes adatkategóriák esetében.
Hozzájáruláson alapuló adatok — például hírlevél-feliratkozás, marketing sütik — esetén az adatokat a hozzájárulás visszavonásáig kezeljük. Számviteli bizonylatok és adózási nyilvántartások esetén az adatmegőrzési kötelezettséget a vonatkozó jogszabályok határozzák meg. A konkrét megőrzési határidőket weboldalunk üzemeltetőjének belső szabályzata rögzíti: [MEGŐRZÉSI IDŐ — kitölteni].
A sütik megőrzési ideje süti-kategóriánként eltér: a szükséges sütik általában a munkamenet végéig élnek, míg a statisztikai és marketing sütik több hónapon át is tárolhatók. Pontos lejárati időket a süti-preferencia-panel tartalmaz.
Az Ön (érintett) jogai
A GDPR 15–22. cikke meghatározza azokat a jogokat, amelyek minden érintettet megilletnek. Ezek nem puszta formalitások: az adatkezelőnek aktívan biztosítania kell, hogy Ön valóban képes legyen élni velük.
- Hozzáférési jog [GDPR 15. cikk] — Ön tájékoztatást kérhet arról, hogy milyen adatait kezeljük, és azokról másolatot igényelhet.
- Helyesbítéshez való jog [GDPR 16. cikk] — kérheti a pontatlan vagy hiányos személyes adatainak javítását, kiegészítését.
- Törléshez való jog („elfeledtetés joga”) [GDPR 17. cikk] — bizonyos feltételek teljesülése esetén kérheti adatainak törlését, például ha az adatkezelés célja megszűnt, vagy a hozzájárulását visszavonta.
- Adatkezelés korlátozásához való jog [GDPR 18. cikk] — meghatározott esetekben kérheti, hogy az adatait ne töröljük, de az adatkezelést korlátozzuk.
- Adathordozhatósághoz való jog [GDPR 20. cikk] — hozzájárulás vagy szerződés alapján kezelt adatait géppel olvasható formátumban megkaphatja, és kérheti azok közvetlen átvitelét egy másik adatkezelőhöz.
- Tiltakozáshoz való jog [GDPR 21. cikk] — tiltakozhat a jogos érdeken alapuló adatkezeléssel, illetve a közvetlen üzletszerzési célú adatkezeléssel szemben.
- Hozzájárulás visszavonása [GDPR 7. cikk (3)] — a hozzájáruláson alapuló adatkezelésnél bármikor, egyszerűen visszavonhatja hozzájárulását; ez nem érinti a visszavonás előtti adatkezelés jogszerűségét.
Hogyan gyakorolhatók a jogok?
Jogait írásban, az adatkezelő fent megadott e-mail címén érvényesítheti. Az adatkezelő a GDPR 12. cikke értelmében indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül válaszol. Szükség esetén — az ügy összetettségére tekintettel — ez a határidő legfeljebb két hónappal meghosszabbítható, amelyről az adatkezelő előzetesen tájékoztatást ad. A tájékoztatás főszabályként díjmentes; ismétlődő vagy megalapozatlan kérelmek esetén azonban méltányos díj számítható fel.
Adatbiztonság és adattovábbítás (harmadik felek)
A GDPR 32. cikke alapján az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket alkalmazni a személyes adatok védelme érdekében, figyelembe véve az adatkezelés természetét, körülményeit és kockázatait. Weboldalunk üzemeltetője az alábbi intézkedéseket alkalmazza: SSL/TLS titkosítás az adatátvitel védelmére (HTTPS kapcsolat), hozzáférés-korlátozás (személyes adatokhoz csak az arra jogosult munkatársak férhetnek hozzá), valamint rendszeres biztonsági felülvizsgálat és naplózás.
Weboldalunk harmadik fél szolgáltatókkal (adatfeldolgozókkal) is együttműködik — például tárhelyszolgáltatóval, analitikai és e-mail marketing platformmal, esetleg hirdetési hálózatokkal. Ezek az adatfeldolgozók kizárólag az adatkezelő utasításai szerint járnak el, és az adatkezelővel kötött adatfeldolgozói szerződésben vállalnak kötelezettséget az adatok bizalmas kezelésére. A konkrét adatfeldolgozók listája: [ADATFELDOLGOZÓK — kitölteni].
Amennyiben adattovábbítás történik az Európai Gazdasági Térségen (EGT) kívüli országba, arra kizárólag a GDPR V. fejezete szerinti garanciák megléte esetén kerülhet sor — például az Európai Bizottság megfelelőségi határozata alapján, vagy az általános szerződési feltételek (SCCs) alkalmazásával.
Jogorvoslat: panasz a NAIH-nál és bírósági út
Ha Ön úgy ítéli meg, hogy a személyes adatainak kezelése megsérti a GDPR-t vagy a 2011. évi CXII. törvényt (Infotv.), panasszal fordulhat a magyar felügyeleti hatósághoz:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Honlap: https://naih.hu
Elérhetőségek (telefon, e-mail, postacím): a mindenkori aktuális adatok a NAIH hivatalos honlapján találhatók — kérjük, az ott megadott adatokat tekintse irányadónak, mivel ezek időről időre változhatnak.
A NAIH vizsgálja az adatkezelési panaszokat, és szükség esetén hatósági eljárást indíthat, amelynek eredménye bírság, adatkezelés felfüggesztése vagy törlési kötelezettség is lehet. Ezzel párhuzamosan Ön bíróság előtt is érvényesítheti jogait (GDPR 79. cikk), és az adatkezelés jogsértése esetén kártérítési igényt terjeszthet elő (GDPR 82. cikk). Mielőtt azonban a NAIH-hoz vagy bírósághoz fordulna, célszerű először közvetlenül megkeresni az adatkezelőt az adatvédelmi tájékoztatóban megadott elérhetőségeken, mivel a legtöbb adatvédelmi kérdés közvetlenül, rövid határidőn belül rendezhető.
Gyakori kérdések (GYIK)
A tájékoztató hatálya és módosítása
Ez az adatvédelmi tájékoztató [HATÁLY DÁTUMA — kitölteni] napjától hatályos, és a weboldal valamennyi látogatójára, felhasználójára és hírlevél-feliratkozójára vonatkozik. A weboldal üzemeltetője fenntartja a jogot, hogy a tájékoztatót — a jogszabályi változásokra, az alkalmazott technológiák módosítására vagy a saját adatkezelési gyakorlat változására tekintettel — bármikor módosítsa. A lényeges változásokról az adatkezelő a weboldalon közzétett értesítéssel vagy közvetlen e-maillel tájékoztatja az érintetteket. Az adatvédelmi tájékoztató és az érintetti jogok részleteiről bővebb információ érhető el a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján: https://naih.hu.
Felelős játék — 18+: Weboldalunk kizárólag 18 éven felüli nagykorú látogatóknak szól. Ha Ön vagy valaki a környezetében segítségre szorul a szerencsejátékkal kapcsolatban, kérjük, keresse fel a felelős játék segélyvonalait és erőforrásait. A szerencsejáték kockázatokkal jár; mindig csak annyit játsszon, amennyit megengedhet magának.
