Adatkezelési tájékoztató

1. Adatkezelő

Adatvédelmi tisztviselőt nem jelöltünk ki. Adatvédelmi megkeresés: info@oroknozi.hu

2. A tájékoztató célja és hatálya

Leírjuk, hogyan kezeljük a látogatók és vásárlók személyes adatait a GDPR és a vonatkozó magyar jog szerint. A tájékoztató az oroknozi.hu és oroknoziekszer.hu teljes tartalmára és szolgáltatásaira vonatkozik.

3. Kezelési célok, adatkörök, jogalapok, megőrzés

3.1. Megrendelés, szerződéskötés és teljesítés

  • Adatok: név, e-mail, szállítási/számlázási cím, telefonszám, rendeléstartalom, megjegyzések.
  • Cél: szerződés létrehozása és teljesítése, ügyfélszolgálat.
  • Jogalap: GDPR 6. cikk (1) b) (szerződés teljesítése).
  • Megőrzés: polgári jogi igények elévüléséig (5 év). A számlaadatokra lásd 3.2.

3.2. Számlázás és könyvelés

  • Adatok: név/jogi név, cím, adószám (ha szükséges), rendelésazonosítók, számlaadatok.
  • Cél: jogszabályi kötelezettség teljesítése.
  • Jogalap: GDPR 6. cikk (1) c).
  • Megőrzés: 8 év.
  • Számlázó: Billingo (adatfeldolgozóként).

3.3. Fizetés

  • Adatok: rendelésazonosító, összeg, fizetési mód. Kártyaadatokat nem kezelünk, azokat a fizetési szolgáltató kezeli.
  • Cél: ellenérték megfizetése, csalásmegelőzés.
  • Jogalap: GDPR 6. cikk (1) b) és 6. cikk (1) f) (jogos érdek – visszaélések megelőzése).
  • Címzettek: Shopify Payments (saját adatkezelőként is eljár); utánvét beszedés: Magyar Posta.

3.4. Kiszállítás (Magyarország)

  • Adatok: név, szállítási cím, e-mail, telefonszám (értesítéshez), csomagazonosítók.
  • Cél: kézbesítés megszervezése és nyomkövetés.
  • Jogalap: GDPR 6. cikk (1) b).
  • Címzett: Magyar Posta (önálló adatkezelő). Kézbesítéshez szükséges adatok kezelését a Posta a saját adatkezelési tájékoztatójának megfelelően végzi (pl. értesítések, kézbesítés-szervezés, azonosítás).
  • Személyazonosítás átvételi ponton: postán maradó vagy Posta Pontra irányított küldemény esetén a kézbesítő saját szabályzata szerint azonosítást kérhet.

3.5. Ügyfélszolgálat és panaszkezelés

  • Adatok: elérhetőségek, levelezés/üzenet tartalma, rendelésazonosítók.
  • Cél: kérdések, reklamációk kezelése.
  • Jogalap: GDPR 6. cikk (1) b) (szerződés), panasznyilvántartásnál 6. cikk (1) c).
  • Megőrzés: általános ügyfélszolgálati levelezés 1 évig; fogyasztói panaszok 3 évig.

3.6. Hírlevél/marketing

Jelenleg nem üzemeltetünk hírlevelet és marketingcsatornákat. Bevezetés esetén kizárólag hozzájárulás alapján kezeljük, és a tájékoztatót frissítjük.

3.7. Sütik (cookie-k), analitika

  • Szükséges cookie-k: működéshez nélkülözhetetlenek (pl. kosár, biztonság).
  • Statisztika/marketing cookie-k: jelenleg nem használjuk.
  • Jogalap: szükséges cookie-knál jogos érdek; ha a jövőben statisztika/marketing sütit alkalmaznánk, ahhoz hozzájárulást kérünk, és frissítjük a cookie-tájékoztatót/bannert.

3.8. Lenyomatok és egyedi gyártás (Öröknózi)

  • Érintett adatok: a termék elkészítéséhez átadott fizikai lenyomatok (pl. orrlenyomat), a rendelés azonosítói (név, e-mail, rendelési azonosító), választott termék- és opcióadatok.
    Jelenleg a lenyomatokról nem készítünk és nem tárolunk digitális másolatot (fotó/scan/3D fájl).
  • Cél: egyedi ékszer elkészítése; rövid távú minőségbiztosítás és esetleges újragyártás/utánkövetés; „Örökőrző” előfizetés esetén szerződés szerinti megőrzés későbbi utánrendeléshez.
  • Jogalap: GDPR 6. cikk (1) b) (szerződés teljesítése – gyártás, Örökőrző); GDPR 6. cikk (1) f) (jogos érdek – minőségbiztosítás, hibakezelés, jogi igények megelőzése).
  • Megőrzés:
    • díjmentesen 2 hónapig, attól a naptól számítva, hogy a lenyomat fizikailag beérkezett hozzánk (erről e-mail értesítést küldünk);
    • Örökőrző előfizetés esetén a választott csomag szerint 1 vagy 3 évig;
    • a fenti határidők lejártával a lenyomatokat véglegesen megsemmisítjük fizikai aprítással
  • Ha a jövőben digitális másolat készülne: azt kizárólag a fenti célokkal és jogalapokkal kezelnénk; a megőrzési idő leteltével biztonságosan töröljük.

3.9. Biztonsági naplózás

  • Adatok: IP-cím, időbélyeg, technikai logok.
  • Cél: az oldal és a fiókok védelme.
  • Jogalap: GDPR 6. cikk (1) f) (jogos érdek).
  • Megőrzés: legfeljebb 1 év.

3.10. Szavatossági és jótállási igények kezelése

  • Adatok: név, cím, e-mail, telefonszám, a termék megnevezése és vételára, a teljesítés időpontja, a hiba bejelentésének ideje és leírása, az érvényesíteni kívánt jog, az ügy rendezésének módja/elutasítás indoka; átvett termék esetén az átvétel időpontja és azonosító adatai.
  • Cél: a szavatossági/jótállási igények jogszabályszerű kezelése (jegyzőkönyv, ügyintézés).
  • Jogalap: GDPR 6. cikk (1) c) – jogi kötelezettség teljesítése (különösen: 19/2014. (IV. 29.) NGM rendelet).
  • Megőrzés: a felvett jegyzőkönyvet 3 évig őrizzük, és hatósági ellenőrzéskor bemutatjuk.

3.11. Hozzájárulások igazolhatósága (naplózás)

  • Adatok: hozzájárulási esemény(ek) időpontja, technikai metaadatok (pl. IP-cím), űrlap/checkbox forrása.
  • Cél: a hozzájárulások utólagos igazolhatósága.
  • Jogalap: GDPR 6. cikk (1) c) és 7. cikk (1).
  • Megőrzés: az érintett kezelés megszűnését követő elévülési idő végéig (általában 5 év).

4. Címzettek és adatfeldolgozók

4.1. Címzettek (önálló adatkezelők)

• Shopify Payments – online fizetési tranzakciók kezelése (saját adatkezelési tájékoztató szerint).

• Magyar Posta – kézbesítés és értesítések, esetenként személyazonosítás átvételkor (saját adatkezelési tájékoztató szerint).

4.2. Adatfeldolgozók (a nevünkben eljáró szolgáltatók)

• Shopify – webáruház-platform, hosting/CDN.

• Google Workspace – e-mail és irodai szolgáltatások.

• Billingo – számlázás.

Megjegyzés a gyártási partnerekről:

Egyedi ékszerkészítéshez kapcsolódó megmunkálást végeznek, személyes adatot nem kapnak; kizárólag műszaki információkhoz és rendelési azonosítóhoz férnek hozzá.

5. Adattovábbítás az EU/EGT területén kívülre

A Shopify (webáruház-platform; Kanada) és a Google Workspace (e-mail és tárhely; USA) használata miatt előfordulhat személyes adatok EU/EGT-n kívüli kezelése/továbbítása.

Jogalapok és garanciák

  • Kanada (Shopify Inc.) – a továbbítás jogalapja a GDPR 45. cikk szerinti megfelelőségi határozat (kanadai kereskedelmi szervezetekre – PIPEDA).
  • USA (Google LLC és esetleges további címzettek) – ha a címzett EU–USA Adatvédelmi Keretrendszer (DPF) szerint tanúsított, a továbbítás jogalapja a GDPR 45. cikk szerinti megfelelőségi határozat. Amennyiben a címzett nem DPF-tanúsított, a továbbítás jogalapja a GDPR 46. cikk szerinti EU-s Általános Szerződési Feltételek (SCC), kiegészítő technikai és szervezési intézkedésekkel.

Kiegészítő intézkedések (összefoglaló)
Titkosítás átvitel közben és nyugalmi állapotban, szerepkör-alapú hozzáférés és MFA, naplózás és incidenskezelés, adatminimalizálás/pseudonimizálás, meghatározott megőrzési idők és biztonságos törlés.

A garanciákhoz való hozzáférés
Az alkalmazott garanciák (pl. szolgáltatói DPA-k, beépített SCC-k) elérhetősége, valamint a kiegészítő intézkedéseink és a továbbítási kockázatértékelés (TIA) rövid összefoglalója kérésre rendelkezésre áll az info@oroknozi.hu címen. (Nyilvános szolgáltatói dokumentációra linket is adunk.)

Adatminimalizálás
Harmadik országba történő továbbításra csak a szükséges és arányos adat- és célkörben kerül sor, az adott szolgáltatás igénybevételéhez elengedhetetlen mértékben.

6. Közösségi oldalak

A közösségi platformok (Instagram, Facebook) saját adatkezelők. A velünk folytatott kommunikáció a platform üzemeltetőjével is megosztásra kerül az ő szabályzataik szerint.

7. Érintetti jogok és kérelemkezelés

Jogod van: hozzáférni, helyesbíteni, törlést kérni (ha nincs jogalap a további kezelésre), az adatkezelés korlátozását kérni, az általad megadott adatok hordozhatóságához (szerződés/hozzájárulás alapú kezelésnél), valamint tiltakozni a jogos érdekből történő kezelés ellen.

  • Hozzájárulás visszavonása: ha valamely adatkezelés hozzájáruláson alapul, azt bármikor, indokolás nélkül visszavonhatod; ez nem érinti a visszavonás előtti adatkezelés jogszerűségét.
  • Azonosítás: jogaid gyakorlásához megfelelő azonosítás szükséges (csak olyan adatok alapján, amelyeket egyébként is kezelünk).
  • Díj túlzó kérelmeknél: a nyilvánvalóan megalapozatlan vagy túlzó, ismétlődő kérelmek teljesítéséért méltányos díjat számíthatunk fel, vagy megtagadhatjuk a teljesítést (GDPR 12. cikk (5)).
  • Határidő: kérelmekre 1 hónapon belül válaszolunk (indokolt esetben legfeljebb +2 hónap).
  • Jogos érdek: egyes esetekben a GDPR 6. cikk (1) f) pontja szerinti jogos érdek jogalapját alkalmazzuk (pl. minőségbiztosítás, hibakezelés, jogi igények érvényesítése). Az érintettek a saját helyzetükkel kapcsolatos okokból bármikor tiltakozhatnak az ilyen adatkezelés ellen (GDPR 21. cikk).

8. Jogorvoslat

Elsődlegesen kérjük, jelezd nekünk. Emellett jogosult vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH – 1363 Budapest, Pf. 9.; e-mail: ugyfelszolgalat@naih.hu; tel.: +36 (1) 391-1400; naih.hu) fordulni, valamint bírósághoz is.

9. Kiskorúak

Szolgáltatásaink 18 év alattiaknak nem szólnak.

10. Adatbiztonság

Hozzáférés-szabályozás, titkosítás, naplózás és rendszeres törlés; a fizikai lenyomatok zárt helyen, megsemmisítésük dokumentált.

11. Változások

A tájékoztatót szükség esetén frissítjük. A módosítás a közzététellel lép hatályba; lényeges változásról külön értesítést adunk.

12. A személyes adatok forrása 

Alapesetben az adataidat közvetlenül tőled kapjuk (megrendelés, űrlap, e-mail). Előfordulhat azonban, hogy bizonyos technikai/tranzakciós metaadatokat másoktól kapunk:

  • Kézbesítés: a kézbesítő szolgáltató (Magyar Posta) küldemény-státuszt, kézbesítési információt ad vissza.
  • Fizetés: a fizetési szolgáltató (Shopify Payments) tranzakciós állapotot, csalásmegelőzési jelzést adhat vissza.
  • Biztonsági naplózás: hosting/CDN (Shopify) technikai logokat biztosít.
    Nyilvánosan hozzáférhető forrásokat nem használunk ügyfelek azonosítására.

13. Adatszolgáltatás jellege és az elmaradás következményei

  • Szerződés teljesítéséhez szükséges adatok (GDPR 6. cikk (1) b)): név, e-mail, szállítási/számlázási cím, rendeléstartalom.
    • Ha nem adod meg: a megrendelést nem tudjuk teljesíteni.
  • Jogszabály által előírt adatok (GDPR 6. cikk (1) c)): számlázási adatok (név/jogi név, cím, szükség esetén adószám).
    • Ha nem adod meg: nem állíthatunk ki számlát, ezért a megrendelést nem tudjuk jogszerűen teljesíteni.
  • Opcionális adatok: telefonszám (kézbesítési értesítés/egyeztetés), megjegyzések.
    • Ha nem adod meg: a kézbesítés és az ügyfélszolgálat lehet lassabb/nehézkesebb, de ez nem feltétele a vásárlásnak.
  • Lenyomatok: az egyedi gyártáshoz a fizikai lenyomat átadása szükséges.
    • Ha nem adod meg: az egyedi ékszer nem készíthető el.

14. Automatizált döntéshozatal és profilalkotás

Nem alkalmazunk kizárólag automatizált döntéshozatalt vagy profilalkotást, amely joghatással járna rád vagy téged hasonlóképpen jelentős mértékben érintene.

Cookie-összefoglaló

  • Szükséges sütik: a webáruház működéséhez elengedhetetlenek (kosár, bejelentkezés, biztonság).
  • Statisztika/marketing sütik: jelenleg nem használjuk. Ha a jövőben igen, a cookie-bannerben hozzájárulást kérünk, és a Cookie szabályzatot frissítjük.