Adatvédelmi Tájékoztató – RugBag webáruház
(Hatályos: 2026. február 6.)
Bevezetés és az adatkezelő adatai
A Gyulai Kinga Zsuzsanna EV (székhely: 1131 Budapest, Övezet utca 1., III.lh. 1., adószám: 91820460-1-41) – a továbbiakban: Adatkezelő – elkötelezett a honlapja és webáruháza látogatói, felhasználói és vásárlói (együttesen: Érintettek) személyes adatainak védelme iránt. Jelen Adatvédelmi Tájékoztató célja, hogy közérthető módon ismertesse, milyen személyes adatokat gyűjtünk és kezelünk a RugBag webshopjának működtetése során, milyen célból és jogalappal tesszük ezt, kikkel osztjuk meg az adatokat, meddig őrizzük meg azokat, valamint hogy tájékoztatást nyújtson az Érintettek jogairól és jogorvoslati lehetőségeiről. Az Adatkezelő biztosítja, hogy minden adatkezelése megfelel a jelen tájékoztatóban és a hatályos jogszabályokban (különösen az EU 2016/679 Általános Adatvédelmi Rendelet – GDPR – és az Info tv.) foglalt előírásoknak.
Az adatkezelő elérhetőségei adatvédelmi ügyekben:
Levelezési cím: megegyezik a székhellyel (1131 Budapest, Övezet utca 1., III.lh. 1.)
E-mail: info@rugbag.hu (adatkezeléssel kapcsolatos megkeresésekhez)
(Adatvédelmi tisztviselő: Adatkezelő külön adatvédelmi tisztviselőt nem nevezett ki, tekintettel arra, hogy a GDPR 37. cikkében foglalt feltételek nem állnak fenn.)*
A tájékoztató hatálya és módosítása
Jelen adatvédelmi tájékoztató a www.rugbag.hu domain alatt működő weboldal és webáruház használata során megvalósuló minden személyesadat-kezelésre vonatkozik. Ide tartoznak többek között a weboldal böngészése, a regisztráció és vásárlás folyamatában megadott adatok kezelése, a hírlevél-feliratkozás, valamint a weboldalon alkalmazott sütik (cookie-k) és hasonló technológiák által gyűjtött adatok kezelése. Fontos: az Adatkezelő nem működtet hűségprogramot, és nem gyűjt vagy kezel személyes adatokat ilyen jellegű célból.
Az Adatkezelő fenntartja a jogot a tájékoztató időszakos módosítására, különösen jogszabály-változás vagy új adatkezelési tevékenység bevezetése esetén. A tájékoztató mindenkor aktuális verziója elérhető a weboldalon önálló dokumentumként (nem az ÁSZF részeként). A lényeges változásokról az Adatkezelő a weboldalon közzétett értesítés útján tájékoztatja a felhasználókat. A módosítások a közzétételükkel lépnek hatályba.
Az adatkezelés alapelvei röviden
A RugBag az adatkezelés során betartja a GDPR-ban rögzített alapelveket. Személyes adatait jogszerűen, tisztességesen és átláthatóan kezeljük, csak meghatározott és jogszerű célból gyűjtjük, és az adatokat célhoz kötötten használjuk fel. Csak olyan adatokat kérünk, amelyek a cél eléréséhez szükségesek (adattakarékosság), gondoskodunk azok pontosságáról és naprakészségéről, az adatokat csak a szükséges ideig tároljuk (korlátozott tárolhatóság), és megfelelő technikai és szervezési intézkedésekkel védjük a személyes adatokat a jogosulatlan hozzáféréstől vagy visszaélésektől (integritás és bizalmas jelleg). Az Adatkezelő felelős a fenti elvek betartásáért (elszámoltathatóság).
Milyen adatokat kezelünk, milyen célból és milyen jogalapon?
Az alábbiakban bemutatjuk a RugBag webáruház kapcsán végzett egyes adatkezelési tevékenységeket. Minden esetben megjelöljük: a kezelt személyes adatok körét, az adatkezelés célját, jogalapját, valamint az adatok megőrzésének időtartamát. A GDPR 6. cikke szerinti lehetséges jogalapok közül az alábbiakat alkalmazzuk: szerződés teljesítése (GDPR 6. cikk (1) b) pont), jogi kötelezettség (6. cikk (1) c) pont), hozzájárulás (6. cikk (1) a) pont), vagy jogos érdek (6. cikk (1) f) pont) – ez utóbbit mindig alapos érdekmérlegelés után és az Érintett jogainak figyelembevételével.
1. A weboldal meglátogatása, technikai adatok és cookie-k kezelése
Amikor Ön a weboldalunkra látogat, bizonyos technikai jellegű adatokat automatikusan gyűjtünk Önről és az eszközéről a weboldal megfelelő működtetése, biztonsága és teljesítményének elemzése érdekében. Emellett a weboldal cookie-kat (sütiket) és hasonló nyomkövető technológiákat használ, amelyek kis adatfájlok a böngészőben – ezek egy része elengedhetetlen a honlap működéséhez, mások pedig statisztikai, analitikai vagy marketing célokat szolgálnak.
Kezelt adatok köre: a látogató számítógépének vagy eszközének IP-címe; a látogatás kezdő és befejező időpontja; a böngésző és operációs rendszer típusa (eszköz konfigurációs adatai); a meglátogatott oldalak, kattintások és egyéb anonim statisztikai adatok; továbbá a felhasználó által a cookie-bannerben vagy böngészőjében engedélyezett cookie-azonosítók és preferenciák. (Az IP-címet a rendszerünk a biztonság és a csalásmegelőzés érdekében naplózza, a statisztikai elemzéshez pedig anonim módon vagy álnevesítve használjuk fel).
Adatkezelés célja: a weboldal technikai működésének biztosítása és felügyelete (pl. a tartalom helyes megjelenítése, a hibák azonosítása, informatikai biztonság garantálása); sütik esetében a felhasználói élmény javítása (pl. bejelentkezési állapot megőrzése, kosár tartalmának megjegyzése), a látogatottság és használati szokások elemzése (pl. mely termékoldalak népszerűek, honnan érkeznek látogatóink), valamint – az Ön külön hozzájárulása esetén – marketing és remarketing célú adatgyűjtés (pl. testreszabott hirdetések megjelenítése külső platformokon, mint a Facebook vagy TikTok).
Jogalap: a weboldal működéséhez szükséges technikai adatkezelés esetén az Adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont), mivel ezen adatok kezelése elengedhetetlen a szolgáltatás nyújtásához, a honlap biztonságos üzemeltetéséhez. Az analitikai és marketing célú cookie-k alkalmazása viszont az Ön hozzájárulásán alapul (GDPR 6. cikk (1) a) pont) – ezeket csak akkor helyezzük el és használjuk, ha azt a cookie tájékoztató sávban kifejezetten engedélyezte. (A szükségszerű sütikhez való hozzájárulást a jog nem teszi kötelezővé, ezek az oldal működésével együtt járnak.)
Adatmegőrzés időtartama: az IP-címeket és naplóadatokat a szerverünk biztonsági naplófájljaiban legfeljebb 90 napig őrizzük meg, ezt követően töröljük vagy anonimizáljuk. A cookie-k élettartama változó: a munkamenet sütik a böngésző bezárásáig élnek, míg más cookie-k (pl. statisztikai vagy marketing sütik) néhány hónaptól legfeljebb pár évig maradnak a böngészőben – ennek pontos időtartamait és az egyes sütik típusait a külön Cookie tájékoztató tartalmazza. Önnek lehetősége van a nem szükséges cookie-k elfogadását megtagadni vagy utólag visszavonni, illetve a böngészőjében törölni a sütiket (erről részletes információk szintén a Cookie tájékoztatóban találhatók).
2. Regisztráció a webáruházban (vásárlói fiók létrehozása)
Webáruházunkban lehetőséget biztosítunk felhasználói fiók regisztrációjára, amely megkönnyítheti a vásárlási folyamatot és az Ön rendeléseinek nyomon követését. A regisztráció önkéntes, a webáruház szolgáltatásait regisztráció nélkül (vendégként) is igénybe veheti, de regisztrált felhasználóként a jövőbeni vásárlások gyorsabban lebonyolíthatók és hozzáférhet rendeléstörténetéhez.
Kezelt adatok köre: a regisztrációs űrlapon megadott adatok: vezetéknév, keresztnév, e-mail cím, jelszó (titkosított formában tárolva); opcionálisan: telefonszám, számlázási cím (ország, irányítószám, település, utca, házszám), szállítási cím (ha eltér a számlázásitól). A rendszer tárolja a fiók létrehozásának időpontját és utolsó bejelentkezés időpontját is.
Adatkezelés célja: a regisztrált felhasználók azonosítása és egységes kezelése; fiók létrehozása, amelyben a felhasználó kezelheti adatait, megtekintheti rendeléseit; a vásárlási folyamat egyszerűsítése (pl. nem kell minden rendelésnél újra megadni az adatokat); kapcsolatfelvétel lehetővé tétele a megadott elérhetőségeken keresztül szükség esetén.
Jogalap: a regisztráció során megadott adatok kezelésének jogalapja a felhasználó kérésére történő lépések megtétele, illetve a szerződés teljesítése (GDPR 6. cikk (1) b) pont) – mivel a fiók létrehozása a webáruház szolgáltatásainak igénybevételéhez kapcsolódik. A felhasználó döntése alapján megadott opcionális adatok kezelésének jogalapja is a szolgáltatás nyújtásához kötődik. (Amennyiben Ön úgy dönt, hogy nem regisztrál, személyes adatait csak a konkrét vásárlás lebonyolítása kapcsán kezeljük, lásd következő pont.)
Adatmegőrzés időtartama: a regisztrált fiók adatait a fiók fennállása alatt kezeljük. Ön bármikor kérheti fiókja törlését, ekkor a fiókhoz tartozó személyes adatokat rendszerünkből töröljük (kivéve azokat, amelyeket esetleges korábbi rendelések miatt jogi kötelezettség alapján tovább kell megőriznünk, pl. számlaadatok – lásd alább). Inaktivitás esetén – ha a felhasználó hosszú ideig (pl. 5 évig) nem lép be a fiókjába – az Adatkezelő értesítést küldhet az adatfrissítésről, majd ha a fiók továbbra sem aktív, az adatok törlésre kerülhetnek vagy anonimizálhatók a továbbiakban. Természetesen a fiók törlését a felhasználó később is bármikor újra regisztrálhatja, de a törölt adatok utólag már nem állíthatók vissza.
3. Megrendelés leadása és teljesítése
A webáruházban leadott megrendelések feldolgozása és teljesítése során számos személyes adat kezelése szükséges a vásárlási tranzakció lebonyolításához, a termék kézbesítéséhez és a vásárlóval való kapcsolattartáshoz. Ezeket az adatokat Ön adja meg a rendelés folyamán, illetve a teljesítés során keletkeznek.
Kezelt adatok köre: vezetéknév, keresztnév; e-mail cím; telefonszám; számlázási cím (ország, irányítószám, település, utca, házszám, esetleg cégnév és adószám ha céges vásárló); szállítási cím (ha eltér, ugyanezen adatok); rendelt termék(ek) megnevezése, mennyisége, vételára; a rendelés azonosítója, dátuma és időpontja; választott szállítási és fizetési mód; a rendeléshez kapcsolódó megjegyzések (ha a vásárló ilyet megad); a rendelés státuszára és előrehaladására vonatkozó információk. Továbbá a kapcsolattartási adatok a rendelés kapcsán: pl. a megadott e-mail címen és telefonszámon kommunikálunk a rendelés visszaigazolása, értesítések (szállítás nyomon követése, esetleges problémák egyeztetése) céljából.
Adatkezelés célja: az adásvételi szerződés teljesítése, azaz a megrendelés feldolgozása, a megrendelt termékek kiszállítása és átadása az ügyfél részére; a vásárló értesítése a rendelés állapotáról (visszaigazolás, szállítási értesítő stb.); szükség esetén kapcsolattartás a megrendeléssel kapcsolatban (pl. egyeztetés hiányzó információkról, kiszállítási időpont); számla kiállítása és a vásárlás könyvelési teljesítése; a vásárlói fizetés lebonyolítása (lásd külön a fizetési adatok kezelését); továbbá a vásárlói igények (pl. elállás, jótállás, panasz) kezelése. Ezek az adatkezelések mind azt szolgálják, hogy a vásárlóval kötött szerződésben vállalt kötelezettségeinket teljesíteni tudjuk, és a vásárló a megrendelt terméket megkapja.
Jogalap: elsődlegesen a szerződés teljesítése (GDPR 6. cikk (1) b) pont) – az Ön és RugBag között a megrendelés leadásával létrejött adásvételi szerződés végrehajtásához elengedhetetlen ezen adatok kezelése. Emellett bizonyos részfeladatokhoz más jogalapok is kapcsolódhatnak: így például a számlázási adatok kezelése jogi kötelezettség teljesítéséhez szükséges (GDPR 6. cikk (1) c) pont), mivel a számlákat a számviteli és adójogszabályok alapján meg kell őriznünk. Ha a rendelés kapcsán utólagos követelésérvényesítés vagy jogvita merül fel, a kapcsolódó adatok megőrzése az Adatkezelő jogos érdekén is alapulhat (GDPR 6. cikk (1) f) pont) – pl. a szerződéses teljesítés bizonyítása, garanciális ügyintézés céljából. (A jogos érdek fennállása esetén mindig ügyelünk arra, hogy az Érintett jogait és érdekeit ne sértse az adatkezelés.)
Adatmegőrzés időtartama: a megrendelésekkel kapcsolatos személyes adatokat addig őrizzük meg, ameddig a fenti célok megvalósításához szükséges. Konkrétan: a rendelés adatait és a kapcsolódó kommunikációt általában a szerződés teljesítésének befejezésétől számított 5 évig tároljuk, amely megegyezik a polgári jogi igények elévülési idejével Magyarországon – így biztosítható, hogy esetleges későbbi viták, igények esetén rendelkezésre álljanak az adatok. A számlákat és a számlázási adatokat a számviteli törvény előírásai alapján a kiállítás évének végétől számított 8 évig kötelesek vagyunk megőrizni. Amennyiben jogvita vagy hatósági eljárás indul, az ehhez szükséges adatokat a folyamat lezárultáig megőrizzük. Ezen időszakok elteltével a személyes adatokat biztonságosan töröljük vagy anonimizáljuk. (Megjegyzés: Ha Ön regisztrált felhasználó is, a rendelés adatai a fiókjában is láthatók lehetnek a törlési ideig. Fiók törlése esetén is megőrizzük azokat az adatokat külön rendszereinkben a szükséges ideig, amelyeket jogi okból muszáj – pl. számlák –, de ezeket a fiókhoz már nem társítjuk.)
4. Fizetés bankkártyával (Stripe fizetési szolgáltatás)
Webáruházunkban az online bankkártyás fizetéseket a Stripe nevű fizetési szolgáltató biztosítja. Amikor Ön bankkártyával fizet a rendelésért, a fizetési folyamat során az érzékeny kártyaadatok (pl. kártyaszám, lejárati dátum, CVC kód) közvetlenül a Stripe biztonságos rendszerébe kerülnek begyűjtésre – azokat a Rug Bag nem kezeli és nem is látja. A Stripe a fizetés sikerességéről vagy sikertelenségéről információt továbbít számunkra, hogy a rendelést teljesíthessük.
Kezelt adatok köre: a fizetéshez kapcsolódóan általunk kezelt személyes adatok elsősorban a tranzakció azonosítói és állapota (sikeres vagy sikertelen fizetés ténye, tranzakció azonosító, időpont, fizetett összeg), valamint a vásárló neve (kártyatulajdonos neve) és a rendelési azonosító, amivel a fizetést párosítjuk. A bankkártya adatait (száma, lejárata, biztonsági kód) közvetlenül a Stripe rendszere gyűjti be a fizetési űrlapon keresztül – ilyen adatokat a RugBag szervere nem naplóz. Számunkra a Stripe csak tokenizált vagy anonim módon továbbít vissza adatot a tranzakcióról. Emellett megkapjuk a számlázási nevet és címet, amit a fizetéskor a bankkártya ellenőrzéséhez használnak (ha a rendszer kéri), mivel ez szerepel a számlán is.
Adatkezelés célja: a vásárlási tranzakció lebonyolítása, a bankkártyás fizetés feldolgozása, a csalások megelőzése és az ügyfél fizetésének biztonságos beszedése. A Stripe által kezelt kártyaadatokra vonatkozóan a cél a fizetés engedélyezése és végrehajtása. A RugBag által kezelt tranzakciós adatok esetében a cél annak nyilvántartása, hogy az adott rendelés kifizetése megtörtént-e, illetve a fizetés státusza, hogy ennek megfelelően tudjuk a rendelést teljesíteni vagy szükség esetén felvenni a kapcsolatot a vásárlóval a fizetés problémája esetén.
Jogalap: a bankkártyás fizetés során történő adatkezelés is a szerződés teljesítéséhez kapcsolódik (GDPR 6. cikk (1) b) pont) – hiszen a vásárlási szerződés része a vételár megfizetése. A Stripe mint külső szolgáltató a saját megfelelőségi kötelezettségei alapján (pl. PCI-DSS biztonsági előírások, pénzügyi jogszabályok) is kezeli a fizetési adatokat, de ez a RugBag és a vásárló közötti szerződés teljesítésének része. Amennyiben a fizetéssel kapcsolatban csalásmegelőzési vagy jogi megfelelési (pl. pénzmosás megelőzés) feladat merül fel, az ilyen adatkezelés jogalapja lehet jogi kötelezettség is (GDPR 6. cikk (1) c) pont) a Stripe oldalán. A RugBag részéről a fizetéshez kapcsolódó adatmegőrzés (pl. tranzakció azonosító tárolása) a szerződés teljesítéséhez és esetleges későbbi bizonyítási érdekeihez (jogos érdek) is köthető.
Adatmegőrzés időtartama: a tranzakciókkal kapcsolatos adatokat (pl. fizetés azonosítója, időpontja, összege, státusza) a könyvelési nyilvántartások részeként és a rendeléshez kapcsolódóan 8 évig megőrizzük (a számviteli bizonylatokra vonatkozó jogszabályi kötelezettség miatt, mivel a fizetést igazoló bizonylatok a könyvelés részei). A Stripe által kezelt kártyaadatok tényleges részleteit a Stripe a saját adatvédelmi szabályzata szerint tárolja (jellemzően token formájában a későbbi visszatérítéshez vagy az ügyfél azonosításához), de mi e konkrét kártyaadatokat nem férjük hozzá és nem is tároljuk. Ha a vásárló kéri a tranzakció törlését vagy vizsgálatát (pl. chargeback), ennek megfelelően járunk el a fizetési szolgáltatóval együttműködve.
5. Kiszállítás és logisztika
A megrendelt termékek kiszállításához az Adatkezelő külső logisztikai partnerek segítségét veszi igénybe. A fizikai teljesítést (raktározás, csomagolás, futárszolgálatnak átadás) a RugBag megbízásából jelenleg a GLS és az MPL bonyolítják le. Ennek érdekében a vásárlók szállítási adatait átadjuk e partnereknek, akik azokat kizárólag a csomagok kézbesítése céljából használják fel.
Kezelt adatok köre: a kiszállításhoz szükséges adatok: címzett neve, szállítási cím (irányítószám, település, utca, házszám, épület/emelet/ajtó ha van), címzett telefonszáma (a futárszolgálat értesítéséhez vagy egyeztetéshez), címzett e-mail címe (a csomag nyomonkövetési információk és értesítések küldéséhez), a csomag azonosítója és a rendelés száma, a csomag tartalmának rövid leírása (pl. termék megnevezése) és a kézbesítéssel kapcsolatos kérések (pl. ha Ön megjegyzést fűzött a kiszállításhoz). A futárszolgálatok átadáskor gyakran rögzítik az átvétel igazolását (pl. aláírás vagy fénykép a kézbesítésről), és nyomon követési adatokat generálnak (csomag státuszok, átvétel ideje), amelyekhez a RugBag hozzáfér a kézbesítés nyomon követése érdekében.
Adatkezelés célja: a megrendelt termékek kézbesítése a vásárló részére, az ehhez szükséges logisztikai feladatok ellátása. A Bridge Log Kft. biztosítja, hogy a megfelelő termék kerüljön becsomagolásra és átadásra a futárnak, míg a futárszolgálat (GLS vagy MPL) eljuttatja a csomagot a megadott címre. Az adatok átadásának célja tehát a szerződés teljesítésének részeként a szállítás lebonyolítása. Emellett a telefonszám/e-mail átadásának célja, hogy a futárszolgálat értesíteni tudja a címzettet a kiszállítás várható időpontjáról, vagy probléma esetén kapcsolatba léphessen vele (pl. nem találja a címet). A szállítási partner visszajelzései (pl. sikeres kézbesítés) nyomán frissítjük a rendelés státuszát.
Jogalap: a kiszállítással kapcsolatos adatkezelés jogalapja a szerződés teljesítése (GDPR 6. cikk (1) b) pont), mivel a termék átadása a vásárlási szerződés lényegi eleme. Az, hogy ezen feladatokat adatfeldolgozó partnerek útján végezzük, nem változtat a jogalapon – a partnerek az Adatkezelő megbízásából és utasításai szerint járnak el. A futárszolgálatok a kézbesítés során bizonyos adatokat saját nyilvántartásukban is kezelhetnek (pl. a kézbesítés jogi bizonylatai), ezt azonban ugyancsak a velünk fennálló szerződésük és a posta/futár szolgáltatásokra vonatkozó jogszabályok alapján teszik (ami részben jogi kötelezettség is lehet számukra, pl. bizonyos ideig nyilvántartani az átadott küldeményeket). Az ilyen adattovábbítás tehát szükséges és jogszerű a vásárlóval kötött szerződés teljesítéséhez.
Adatmegőrzés időtartama: a szállítási partnereknek átadott személyes adatokat (név, cím, kontakt) a futárszolgálatok a saját adatkezelési szabályzatuk szerint, általában a kézbesítés megtörténtéig, illetve utána bizonyos ideig (néhány hónapig) őrzik meg a nyomon követési rendszerükben. A RugBag rendszereiben a szállítási adatokat a rendelés részeként ugyanolyan ideig őrizzük meg, mint magát a rendelést (ld. fent: 5 év általánosan, 8 év a számlázási adatok tekintetében). A futárszolgálattól kapott információkat (pl. átadás-átvétel igazolása) szintén megőrizhetjük a szerződés teljesítésének bizonyítékaként az elévülési ideig. A logisztikai partner (Bridge Log Kft.) részére átadott adatok kezelését a partner a szerződéses viszony megszűnésekor vagy a rendelés teljesítése után haladéktalanul törli vagy visszajuttatja nekünk, saját célra nem tárolja tovább az Ön adatait.
6. Kapcsolatfelvétel, ügyfélszolgálat
Ha bármilyen kérdéssel, kéréssel fordul hozzánk (legyen az a weboldalon található kapcsolatfelvételi űrlapon keresztül, e-mailben vagy telefonon), az ezzel kapcsolatos személyes adatait is kezeljük a kommunikáció lebonyolítása érdekében.
Kezelt adatok köre: az Ön neve, e-mail címe, esetleg telefonszáma (attól függően, hogy milyen csatornán lép velünk kapcsolatba, illetve milyen adatokat ad meg); a megkeresés tárgya, tartalma; a kérdéses ügyben folytatott kommunikáció (levelezés, üzenetek feljegyzése); és bármilyen további személyes adat, amelyet Ön az üzenetben közöl (pl. rendelési szám, ha arra kérdez rá, vagy egyéb személyes információ, amit a kérdés megválaszolásához megad).
Adatkezelés célja: az Ön által kezdeményezett kapcsolatfelvétel kezelése, kérdéseinek megválaszolása, kérése teljesítése; ügyfélszolgálati támogatás nyújtása (pl. tájékoztatás termékről, segítségnyújtás rendeléshez, panaszkezelés). Ide tartozik az esetleges garanciális vagy elállási igények intézése is, amely során a rendelés adataira és az Ön elérhetőségére szükség lehet.
Jogalap: amennyiben a kapcsolatfelvétel egy meglévő szerződéses kapcsolathoz kötődik (pl. meglévő rendelésével kapcsolatban érdeklődik, vagy utána garanciális igényt jelez), az adatkezelés jogalapja a szerződés teljesítése vagy annak előkészítése (GDPR 6. cikk (1) b) pont). Egyéb esetekben – pl. általános érdeklődő kérdés – az adatkezelés az Adatkezelő jogos érdekén (GDPR 6. cikk (1) f) pont) alapul, hogy a megkereséseket megválaszoljuk és jó ügyfélélményt biztosítsunk. (Az érdekmérlegelés során úgy ítéljük meg, hogy ez az adatkezelés az Ön kezdeményezésére történik, érdekeivel összhangban, és minimálisan szükséges adatokra korlátozódik, így arányos és nem sérti a jogait.)
Adatmegőrzés időtartama: az ügyfélszolgálati kommunikáció során keletkezett adatokat (levelezés, jegyzetek) a kérdés, panasz lezárásától számított 1 évig őrizzük meg, arra az esetre, ha az ügy újra felmerülne vagy kapcsolódó kérdés merül fel. Panasz esetén a fogyasztóvédelmi szabályok alapján a panaszokat és az arra adott válaszokat 5 évig meg kell őriznünk. Amennyiben a kapcsolatfelvétel szerződéskötéshez vezetett (pl. egyedi rendelés) vagy egy meglévő szerződés módosításához, akkor annak adatait a szerződés részeként a vonatkozó szerződéses adatmegőrzési ideig tároljuk. Az időtartam leteltével a személyes adatokat tartalmazó kommunikációs anyagokat töröljük.
7. Hírlevél-feliratkozás és direkt marketing (MailerLite)
Amennyiben Ön feliratkozik a RugBag hírlevelére (pl. a weboldalon található feliratkozási űrlapon keresztül, vagy a rendelés során jelzi, hogy kér hírlevelet), akkor a feliratkozók személyes adatait marketing (direkt megkeresés) céljából kezeljük. Hírleveleinkkel tájékoztatjuk Önt újdonságainkról, akcióinkról, termékinformációkról. A hírlevél küldéséhez külső szolgáltatót, a MailerLite rendszerét vesszük igénybe.
Kezelt adatok köre: név (vezetéknév, keresztnév – a személyes megszólításhoz), e-mail cím. A hírlevélküldő rendszer technikailag rögzítheti a feliratkozás dátumát és IP-címét (a hozzájárulás igazolhatósága érdekében), valamint a levelek megnyitására és kattintásokra vonatkozó statisztikai adatokat (pl. melyik hírlevelet nyitotta meg, mely linkre kattintott) annak érdekében, hogy lássuk, mennyire relevánsak a kiküldött tartalmak. Ezeket a statisztikákat azonban egyéni szinten nem elemezzük, csak összesítve a kampányok sikerességének méréséhez.
Adatkezelés célja: marketing kommunikáció, üzleti tájékoztatás nyújtása az érdeklődőknek; konkrétan hírlevelek, e-mailes reklámüzenetek küldése az Adatkezelő termékeiről, szolgáltatásairól, akcióiról. A hírlevél feliratkozás során megadott adatok kizárólag erre a célra kerülnek felhasználásra. Cél továbbá, hogy a feliratkozók folyamatosan értesüljenek a számukra hasznos információkról, ezáltal az Adatkezelő és ügyfelei közötti kapcsolat erősítése, bizalomépítés.
Jogalap: az Ön önkéntes hozzájárulása (GDPR 6. cikk (1) a) pont) a hírlevelek küldéséhez. Feliratkozáskor kifejezetten beleegyezik abba, hogy a megadott e-mail címére marketing célú üzeneteket küldjünk. Ezt a hozzájárulást bármikor visszavonhatja: minden hírlevelünk alján megtalálható a leiratkozási link, amire kattintva egy kattintással törölheti magát a listáról. Emellett kérheti a leiratkozást az Adatkezelő elérhetőségein is (pl. e-mailben), ez esetben haladéktalanul gondoskodunk az adatai törléséről a hírlevél-küldési listán. A hozzájárulás visszavonása nem érinti a korábbi küldések jogszerűségét, de azt követően többé nem küldünk hírlevelet az Ön részére.
Adatmegőrzés időtartama: a hírlevél feliratkozók adatait mindaddig kezeljük, amíg a hozzájárulás visszavonásra nem kerül, azaz amíg Ön le nem iratkozik. Leiratkozás vagy a hírlevél-szolgáltatás megszűnése esetén adatait marketing listánkból töröljük. Fontos megjegyezni, hogy a leiratkozást követően a MailerLite rendszer technikailag megőrzi az e-mail címét egy úgynevezett „tiltólistán” annak biztosítására, hogy véletlenül se küldjünk Önnek újra levelet (így elkerülhető, hogy egy korábbi feliratkozó akaratlanul visszakerüljön a listára). A statisztikai adatokat (megnyitás, kattintás) összesítve, személyazonosítás nélkül hosszabb távon is elemezhetjük, de ezek egyéni szintű profilalkotásra nem kerülnek felhasználásra.
(Megjegyzés: Hírlevelet kizárólag az kap, aki ehhez előzetesen hozzájárult. Amennyiben Ön a vásárlás során adta meg e-mail címét, azt alapértelmezetten nem használjuk marketing küldésre, csak ha a feliratkozási szándékát egyértelműen jelezte. A kereskedelmi célú e-mail küldést a Grt. (gazdasági reklámtevékenységről szóló törvény) is szabályozza, melyet maradéktalanul betartunk.)
8. Remarketing és online hirdetések (Meta, TikTok)
Webáruházunk a hatékony online jelenlét és célzott hirdetések (remarketing) érdekében együttműködik olyan közösségi média és hirdetési platformokkal, mint a Meta (Facebook, Instagram) és a TikTok. Ennek keretében a honlapon követőkódok (pixelek) működhetnek, amelyek információt gyűjtenek arról, ha Ön meglátogat bizonyos oldalakat vagy műveleteket végez (pl. megnéz egy terméket, kosárba tesz egy terméket, vásárol). Ezeket az információkat a platformok felé továbbítjuk, hogy később személyre szabott hirdetéseket jeleníthessenek meg Önnek a saját felületeiken, emlékeztetve például a megtekintett termékekre vagy hasonló ajánlatokat kínálva.
Kezelt adatok köre: a weboldalunkon tett látogatásaira vonatkozó technikai és viselkedési adatok, melyeket a remarketing pixelek gyűjtenek: ilyen lehet az Ön cookie azonosítója vagy más online azonosító (pl. Facebook Pixel ID), bizonyos esetekben az e-mail cím hash-elt (titkosított) változata (ha például bejelentkezett felhasználó vagy feliratkozó, és ezt a platformmal megosztjuk a célzott hirdetésekhez – de jelenleg elsősorban cookie alapon működünk), a meglátogatott oldal URL-je, a megtekintett termék azonosítója, esetleg a vásárlás értéke (ha vásárolt). Ezen adatok önmagukban nem azonosítják Önt név szerint, de a reklámplatform a saját rendszerében összekapcsolhatja ezeket az adatokat az Ön ottani profiljával (pl. Facebook fiókjával, ha be van jelentkezve), és így tudja eldönteni, milyen hirdetést mutasson Önnek.
Adatkezelés célja: remarketing, azaz olyan hirdetések biztosítása, amelyek az Ön korábbi érdeklődésén alapulnak, ezáltal relevánsabbak. Cél, hogy ha Ön már járt a honlapunkon vagy érdeklődött bizonyos termékek iránt, akkor később a Facebookon/Instagramon vagy a TikTokon találkozhasson a RugBag hirdetéseivel, emlékeztetve a be nem fejezett vásárlásra vagy új ajánlatokat mutatva. Ez segít az Adatkezelőnek hatékonyabban elérni a potenciális vásárlókat, és az Érintett számára is relevánsabb tartalmakat megjeleníteni, nem általános reklámokat. Emellett a remarketing adatok statisztikai elemzésével láthatjuk hirdetéseink hatékonyságát (pl. hányan térnek vissza a honlapra egy-egy kampány után).
Jogalap: a remarketing jellegű adatgyűjtés jogalapja az Ön hozzájárulása (GDPR 6. cikk (1) a) pont). A weboldalra érkezéskor a cookie-bannerben külön engedélyeznie kell a marketing célú cookie-kat és követést ahhoz, hogy a Meta Pixel vagy a TikTok Pixel adatot gyűjtsön Önről. Ha nem ad hozzájárulást, ezek a pixelek nem aktívak, és nem történik remarketing adatgyűjtés. (Megjegyzés: A Meta és TikTok esetében bizonyos alapadatok a platformmal való kommunikáció során a hozzájárulás hiányában is átkerülhetnek minimális mértékben – pl. a kérést technikailag kezelni kell –, de mi nem engedélyezzük a marketing célú felhasználást az Ön döntése nélkül.) A hozzájárulását bármikor visszavonhatja a Cookie beállítások módosításával, illetve a böngészője sütibeállításainak megváltoztatásával (pl. marketing cookie-k törlése). A Meta és TikTok rendszerei a saját felhasználási feltételeik és adatvédelmi szabályzataik szerint önálló adatkezelők is a kapott adatok vonatkozásában – pl. a Facebook a kapott információkat a saját hirdetési algoritmusaihoz használja. Így bizonyos tekintetben a RugBag és a platformok közös adatkezelőknek is minősülhetnek a GDPR értelmében a közösen végzett adatgyűjtés során. Mindazonáltal mi biztosítjuk, hogy csak az Ön hozzájárulása esetén történjen ilyen adatátadás.
Adatmegőrzés időtartama: a remarketing cookie-k és pixelek által gyűjtött adatokat a rendszerünk közvetlenül nem tárolja, azok a Meta illetve a TikTok szerverei felé továbbítódnak valós időben. A böngészőjében elhelyezett remarketing cookie (pl. Facebook/Meta cookie) általában 180 napig érvényes, a TikTok hasonlóan néhány hónapig; ezt követően automatikusan lejár, hacsak Ön előbb nem törli. A remarketing listákban az Ön azonosítója a platformoknál jellemzően néhány hónapig aktív (vagy a platform beállításaitól függően), ezután kikerül a célközönségből, hacsak újabb látogatás alkalmával nem kerül ismét gyűjtésre. A hozzájárulás visszavonása esetén (pl. cookie törlésével vagy tiltásával) a továbbiakban nem gyűlik új adat, a korábbi adatokat pedig a platformok saját szabályzatuk szerint kezelik/törlik. Fontos megjegyezni, hogy a Meta és a TikTok esetében az Ön profiladatait ők saját hatáskörben kezelik – Ön e platformokon külön is beállíthatja, hogy milyen hirdetéseket engedélyez (pl. Facebook fiókjában letilthat bizonyos érdeklődési alapú hirdetéseket). Javasoljuk, hogy tekintse át ezen szolgáltatók adatkezelési tájékoztatóit is a részletekért.
9. Webanalitika és használati statisztikák (Google Analytics, Hotjar)
Annak érdekében, hogy jobb szolgáltatást nyújthassunk és folyamatosan fejleszthessük a webáruházat, analitikai eszközöket használunk. Jelenleg a Google Analytics 4 (GA4) és a Hotjar szolgáltatásait vesszük igénybe, amelyek segítenek megérteni a felhasználói viselkedést a honlapon (pl. hány látogató érkezik, mit néznek meg, mennyi időt töltenek az oldalon, mi okozhat nehézséget a használat során). Ezen eszközök használata során is sor kerül személyes adatok gyűjtésére, de igyekszünk ezt a lehető leginkább anonimizált vagy álnevesített formában tenni.
Kezelt adatok köre: a Google Analytics a látogatói műveletekről gyűjt adatokat, például: oldalletöltések száma, oldalon eltöltött idő, honnan érkezett a látogató (hivatkozó oldal), milyen eszközt és böngészőt használ, nyelve, földrajzi régiója (nagyjából, pl. város szintjén), esetleg az IP-cím (de beállításaink szerint a Google ezt anonimizálja, így nem tárol teljes IP-címet). A Hotjar pedig hőtérképes elemzést és felhasználói interakció követést végez: rögzítheti, hol mozgatja a kurzort, hová kattint a felhasználó, mennyit görget az oldalon. A Hotjar időnként kérdőívet vagy felugró visszajelzést is megjeleníthet, melynek kitöltésekor az Ön által megadott válaszok is személyes adatnak minősülhetnek. Mindkét szolgáltatás cookie-kat használ a látogató azonosítására (álneves ID-val).
Adatkezelés célja: a weboldal teljesítményének mérése és javítása, a felhasználói élmény optimalizálása. A Google Analytics segítségével összesített statisztikákat kapunk arról, hogyan használják a látogatók a webáruházat – ezek alapján például megtudhatjuk, mely termékek a legnépszerűbbek, mely oldalakon töltenek sok időt, vagy honnan hullanak ki a vásárlók a rendelési folyamatban. A Hotjar segítségével mélyebb rálátást kapunk az oldal használhatóságára – pl. látjuk, ha egy fontos gombot nem találnak meg a felhasználók, vagy ha egy űrlap kitöltése közben sokan félbehagyják. Ezeket az információkat kizárólag arra használjuk, hogy a honlapot felhasználóbarátabbá és hatékonyabbá tegyük, illetve kijavítsuk az esetleges hibákat. Sem a GA4, sem a Hotjar adatait nem használjuk egyedi személyek azonosítására vagy profilírozására marketing célból; ezek statisztikai és fejlesztési célú adatkezelések.
Jogalap: az analitikai sütik és eszközök használata hozzájáruláson alapul (GDPR 6. cikk (1) a) pont). A cookie-banner beállításaiban külön engedélyeznie kell a statisztikai/analitikai cookie-kat, hogy GA4 vagy Hotjar adatot gyűjthessen a látogatásáról. Amennyiben nem járul hozzá, úgy a Google Analytics és Hotjar nyomkövetését nem engedélyezzük az Ön böngészőjén. (Igyekszünk a Google Analytics beállításait a GDPR-elvárásokhoz igazítani: IP anonimizálás, adatmegtartási időkorlát beállítása, és nincs személyes azonosítót tartalmazó esemény.) A Hotjar is csak az Ön aktív hozzájárulása után működik. Ön bármikor dönthet úgy, hogy kikapcsolja ezeket: a Cookie beállítások módosításával visszavonhatja hozzájárulását, illetve a Hotjar esetében akár a Hotjar saját oldalán keresztül is opt-outolhat (a Hotjar honlapján található egy „Do Not Track” kapcsoló).
Adatmegőrzés időtartama: a Google Analytics-ben beállított adatmegőrzési idő jelenleg 14 hónap az eseményadatokra (ezen idő elteltével az egyedi látogatói szintű adatok törlődnek a Google rendszereiből). Összesített jelentések formájában (személyes azonosító nélküli statisztikák) korlátlan ideig hozzáférünk a trendekhez. A Hotjar felvételeket és elemzéseket tipikusan néhány héten vagy hónapon belül töröljük vagy automatikusan lejárnak a rendszerben (a Hotjar alapértelmezés szerint 1 évig őrzi meg a begyűjtött adatokat, de mi általában hamarabb töröljük a szükséges információk kinyerése után). A kérdőíves visszajelzéseket, ha gyűjtünk ilyet, a feldolgozásukig tároljuk, utána anonimizált formában összesítjük a tanulságokat. Természetesen, ha Ön időközben visszavonja hozzájárulását, újabb adatgyűjtés nem történik, a már begyűjtött adatok pedig anonimizált statisztikaként maradnak meg.
10. Egyéb adatkezelések
A fenti pontokban ismertetett adatkezeléseken túl a RugBag csak kivételes esetekben kezel személyes adatot, például: nyereményjáték szervezése során (erről külön tájékoztatót teszünk közzé, ha aktuális), törvényi kötelezettség teljesítése végett (pl. hatósági megkeresésre adatok átadása, amely a GDPR 6. cikk (1) c) pont alapján történhet), illetve a cégünk belső adminisztrációja során (pl. szerződések nyilvántartása üzleti partnerekkel – ami tipikusan nem érinti a webáruház vásárlóit).
Automatizált döntéshozatal/profilalkotás: Az Adatkezelő nem hoz automatikus döntést kizárólag gépi algoritmus alapján, ami joghatással járna vagy hasonlóan jelentősen érintené az Érintettet. Profilalkotás csak a fent leírt marketing analitika keretében történik, de ez sem eredményez olyan automatizált döntést, ami az Ön jogait jelentősen befolyásolná. Például nem használunk olyan rendszert, ami kizárólag automatikusan utasítana el egy megrendelést vagy hitelkérelmet. A remarketing profilalkotás (érdeklődési kör szerinti hirdetés) pedig az Ön hozzájárulásán alapul és bármikor leállítható az Ön részéről.
Különleges kategóriájú adatok: A RugBag nem gyűjt különleges személyes adatokat a vásárlókról (ilyen pl. egészségügyi adat, politikai vélemény, vallási meggyőződés, biometrikus vagy genetikai adat stb.). Kérjük, hogy a webáruház használata során se adjon meg ilyen jellegű adatot.
Gyermekek adatainak védelme: Webáruházunk szolgáltatásai nem gyermekeknek (16 éven aluliaknak) szólnak, és tudatosan nem gyűjtünk 16 év alatti személyektől adatokat. Amennyiben mégis tudomásunkra jut, hogy kiskorú személy adott meg személyes adatot hozzájárulás nélkül, azt haladéktalanul töröljük.
Személyes adatok továbbítása, adatfeldolgozók igénybevétele
A tevékenysége során bizonyos feladatok ellátásához külső szolgáltatókat vesz igénybe, akik az általunk kezelt személyes adatokat megkaphatják és feldolgozhatják az utasításaink szerint. Ezek a adatfeldolgozók és egyéb adatátvevők a következők lehetnek:
Webtárhely és platform szolgáltató: Mivel webshopunk a Shopify rendszerén működik, a vásárlói adatokat elsődlegesen a Shopify által üzemeltetett felhő infrastruktúrában tároljuk. A Shopify a megbízásunkból biztosítja a webáruház technikai hátterét, beleértve az adatbázis tárolást és a rendszer szoftveres működtetését. A Shopify az adatokat csak a platform üzemeltetéséhez szükséges mértékben kezeli, saját célra nem használja. (A Shopify részletes adatvédelmi feltételei elérhetők a saját honlapjukon; EU-s ügyfelek esetén a Shopify az európai adatvédelmi jogszabályoknak megfelelően jár el, és európai leányvállalatán keresztül adatfeldolgozói minőségben működik közre.)
Fizetési szolgáltató: A Stripe, amely az online fizetések feldolgozását végzi. A bankkártya adatokat közvetlenül a Stripe kezeli, mi pedig a tranzakció státuszáról kapunk visszajelzést. A Stripe az adatokat a saját adatvédelmi szabályzata szerint, az EU-ban is érvényes biztonsági előírások (pl. PCI DSS) betartásával dolgozza fel.
Számlázó rendszer: A Számlázz.hu (üzemeltetője: KBOSS.hu Kft.) rendszerét használjuk számláink kiállítására. A megrendelés adatai (név, cím, e-mail, vásárlás tételei, összeg) bekerülnek a Számlázz.hu online számlázó felületére, ahol elektronikusan kiállítjuk az Ön számláját. A Számlázz.hu a GDPR szerint adatfeldolgozónknak minősül, az adatokat kizárólag a mi utasításunkra és a számlázás lebonyolítása céljából kezeli, saját célra nem használja fel.
Futárszolgálatok: A GLS és az MPL (Magyar Posta Logisztika) futárszolgálatok, akik a kiszállítást végzik. Számukra a szállítási cím és kapcsolati adatok kerülnek továbbításra. A futárcégek saját adatkezelők is az átadott adatok tekintetében, hiszen a csomag kézbesítéséhez kapcsolódóan jogi kötelezettségeik is vannak (pl. nyomon követés). Ugyanakkor velük kötött szerződéseink biztosítják, hogy az Ön adatait ne használják fel más célra, és a kézbesítés után meghatározott időn túl ne őrizzék meg.
Hírlevélküldő szolgáltató: A MailerLite platform (UAB „MailerLite”), amelyen keresztül a hírleveleinket kiküldjük. A hírlevél-listán szereplő nevet és e-mail címet tárolja a rendszer, valamint a levelek kézbesítési statisztikáit. A MailerLite európai adatfeldolgozóként működik, és szerződéses kötelezettséget vállal a GDPR-nak megfelelő adatkezelésre. Adatbiztonsági intézkedéseik biztosítják az e-mail listák védelmét.
Közösségi média és hirdetési partnerek: Meta Platforms (Facebook, Instagram) és TikTok – ezek a vállalatok a weboldalunkba ágyazott remarketing kódok révén adatot kaphatnak azokról a látogatókról, akik ehhez hozzájárultak. Fontos tudni, hogy a Meta és a TikTok a saját céljaikra is felhasználhatják az így szerzett adatokat (pl. hirdetések optimalizálása a saját rendszerükben), így bizonyos esetekben önálló adatkezelőnek számítanak. Az Adatkezelő azonban szerződésben (pl. Facebook Business feltételek) rögzítette, hogy a kapott személyes adatokat a partnerek kizárólag a mi megbízásunkból, a mi kampányainkhoz használhatják. (A gyakorlatban ez azt jelenti, hogy például a Facebook Pixel adatait a Facebook a mi általunk létrehozott hirdetési célközönségekhez használja, és nem adja át más ügyfélnek a konkrét listát – ugyanakkor természetesen a Facebook a saját felhasználói adatokkal összekapcsolva jeleníti meg a hirdetéseket.)
Analitikai szolgáltatók: Google Analytics (üzemeltető: Google Ireland Ltd.) és Hotjar Ltd. Ők az adatfeldolgozóink abban az értelemben, hogy a mi megbízásunkból végeznek technikai adatgyűjtést a honlapon a fent kifejtett statisztikai célokra. A Google és a Hotjar szerződésben (adatfeldolgozási feltételek) garantálják a GDPR követelményeinek való megfelelést. A Google bizonyos esetekben viszont az általuk gyűjtött adatokat saját céljaikra is felhasználhatják – pl. ha más Google-szolgáltatással kombinálják azokat –, de mi a GA4 használatával nem osztunk meg személyes azonosítót tartalmazó adatokat.
A fentieken túl harmadik személyek csak törvényi felhatalmazás alapján férhetnek hozzá az Ön adataihoz. Ilyen lehet például egy hatóság megkeresése (rendőrség, bíróság, adóhatóság stb.) jogszerű megkeresés esetén – ebben az esetben a jogalap a GDPR 6. cikk (1) c) pont (jogi kötelezettség teljesítése). Az Adatkezelő semmilyen személyes adatot nem ad el és nem ad bérbe marketing célból harmadik félnek.
Adattovábbítás harmadik országba vagy nemzetközi szervezethez
Az Adatkezelő alapvetően törekszik arra, hogy az adatfeldolgozás az Európai Gazdasági Térségen (EGT) belül történjen. Bizonyos szolgáltató partnereink azonban nem az EGT-ben találhatók, illetve globális infrastruktúrát használnak, így előfordulhat adatátadás harmadik országba (EU-n kívül). Ilyen esetekben minden szükséges garanciát alkalmazunk a személyes adatok védelme érdekében a GDPR V. fejezetének megfelelően.
Konkrétan: a Shopify központja Kanadában található – Kanada rendelkezik az Európai Bizottság által meghozott megfelelőségi határozattal, így a Kanadába történő adattovábbítás olyan szervezetek számára, amelyek a kanadai adatvédelmi törvény (PIPEDA) hatálya alá tartoznak (mint a Shopify), elismerten megfelelő védelmi szinttel bír. A Stripe, a Meta, a TikTok, a Google és a Hotjar esetében előfordulhat adatkezelés az Egyesült Államokban vagy más nem EGT országban. Ezen partnereinkkel EU által jóváhagyott standard szerződéses záradékokat (Standard Contractual Clauses – SCC) kötöttünk vagy ők csatlakoztak ilyenekhez, illetve alkalmaznak kiegészítő technikai és szervezési intézkedéseket annak biztosítására, hogy az európai felhasználók adatai megfelelő védelemben részesüljenek akkor is, ha fizikailag EU-n kívüli szerveren kerülnek feldolgozásra. Például a Google és a Meta is az EU-ban (Írországban) bejegyzett leányvállalatán keresztül nyújtja a szolgáltatást, és vállalja az SCC-k betartását, a Hotjar pedig teljes mértékben EU-n belül (Máltán) működik, de globális elérésű.
Ha Ön további információt szeretne arról, hogy konkrétan mely országokba történik adattovábbítás és milyen garanciák mellett, kérjük, lépjen kapcsolatba velünk a fenti elérhetőségeken. Kérésére rendelkezésre bocsátjuk az alkalmazott adattovábbítási garanciák (pl. standard szerződéses feltételek) másolatait vagy lényegi tartalmát.
Nemzetközi szervezetnek (pl. ENSZ, NATO stb.) a RugBag nem továbbít személyes adatot.
Adatbiztonság
Az Adatkezelő kiemelt figyelmet fordít az általunk kezelt személyes adatok biztonságára. Ennek érdekében megfelelő technikai és szervezési intézkedéseket alkalmazunk, hogy védjük az adatokat a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozatal, törlés vagy sérülés ellen.
Technikai intézkedések: A webáruház platformja (Shopify) korszerű titkosítási protokollokat használ – a weboldal SSL/TLS titkosítással (HTTPS) működik, így az Ön és a mi szervereink közötti adatforgalom kódolt. A felhasználói jelszavakat a rendszer egyirányú titkosító algoritmussal (hash) tárolja, így azok visszafejtés nélkül vannak védve. Rendszereink tűzfalakkal és behatolás-észlelő mechanizmusokkal védettek. Rendszeres biztonsági frissítéseket végzünk a használt szoftvereken. A fizetési tranzakciók biztonságát a Stripe garantálja, amely PCI DSS Level 1 minősítéssel rendelkezik (a lehető legmagasabb bankkártya-biztonsági szint).
Szervezési intézkedések: A RugBag-en belül a személyes adatokhoz csak azon munkatársak vagy megbízottak férhetnek hozzá, akiknek az adott adat kezelése a feladatuk ellátásához szükséges (pl. ügyfélszolgálat látja a rendelés adatait, raktáros a szállítási címet). Munkatársainkat megfelelő titoktartási és adatkezelési kötelezettségek terhelik. Adatfeldolgozó partnereinkkel szerződésben rögzítettük az elvárt adatbiztonsági szintet. Rendszeresen felülvizsgáljuk az adatkezelési folyamatainkat és az esetleges kockázatokat, szükség esetén frissítjük biztonsági intézkedéseinket.
Ezen intézkedések ellenére fontos tudnia, hogy az interneten keresztüli adattovábbítás 100%-os biztonsága nem garantálható – de mindent megteszünk annak érdekében, hogy a tőlünk telhető legmagasabb szintű védelemben részesüljenek az Ön adatai. Amennyiben bármilyen adatbiztonsági incidens történne, amely az Ön adatait érinti és magas kockázatot jelent rá nézve, akkor arról Önt és a felügyeleti hatóságot (NAIH) a jogszabályoknak megfelelően értesítjük, és megtesszük a szükséges lépéseket a károk enyhítésére.
Az Érintettek jogai
A hatályos adatvédelmi jogszabályok értelmében Önt – mint Érintettet – a személyes adatai kezelése kapcsán az alábbi jogok illetik meg. Fontos számunkra, hogy Ön tisztában legyen ezekkel és élhessen velük. Jogai gyakorlásához az Adatkezelő elérhetőségein bármikor fordulhat hozzánk; kérelmeit indokolatlan késedelem nélkül, de legkésőbb 1 hónapon belül teljesítjük (kivételes esetben, a jogszabályban meghatározottak szerint ez további 2 hónappal meghosszabbítható, de erről értesítést kap). A jogok gyakorlása ingyenes, kivéve, ha egyértelműen megalapozatlan vagy túlzó (pl. ismétlődő) kéréseket intézne hozzánk, mely esetben adminisztratív költségtérítést számíthatunk fel vagy megtagadhatjuk a teljesítést – ilyen esetre azonban eddig nem volt példa.
Hozzáféréshez való jog: Jogában áll visszajelzést kapni tőlünk arra vonatkozóan, hogy kezeljük-e az Ön személyes adatait, és ha igen, tájékoztatást kapni többek között arról, hogy milyen adatokat kezelünk, milyen célból, kiknek továbbítjuk, meddig tároljuk, honnan szereztük az adatokat, valamint milyen jogai vannak. Kérésére az általunk kezelt személyes adatairól másolatot is rendelkezésére bocsátunk (az első másolat ingyenes, a további másolatokért adminisztratív költséget számíthatunk fel).
Helyesbítéshez való jog: Kérheti, hogy pontatlan vagy hiányos személyes adatait helyesbítsük vagy kiegészítsük. Amennyiben például e-mail címe megváltozik vagy elírta a nevét, jelezze nekünk, és módosítjuk a nyilvántartásunkban. (Regisztrált felhasználóként bizonyos adatait Ön is tudja módosítani a fiókjában, de örömmel segítünk, ha jelzi felénk.)
Törléshez való jog: Bizonyos esetekben kérheti, hogy töröljük az általunk tárolt személyes adatait („az elfeledtetéshez való jog”). Ilyen eset lehet, ha az adatokra már nincs szükség abból a célból, amiért gyűjtöttük; ha Ön visszavonja a hozzájárulását és nincs más jogalapunk; ha tiltakozik a jogos érdeken alapuló adatkezelés ellen és nincs elsőbbséget élvező okunk a folytatásra; ha jogellenesen kezeltük az adatokat; vagy ha törvényi kötelezettség írja elő a törlést. Felhívjuk figyelmét, hogy a törlési kérelem nem tud minden esetben azonnal maradéktalanul teljesülni: ha jogszabály kötelez minket bizonyos adatok megőrzésére (pl. számlák), vagy ha szükségünk van bizonyos adatokra jogi igények előterjesztéséhez, érvényesítéséhez vagy védéséhez, akkor ezeket nem töröljük, de erről tájékoztatást adunk. Minden más adatát természetesen töröljük a kérelem alapján.
Korlátozáshoz való jog: Kérheti, hogy korlátozzuk az adatkezelést bizonyos esetekben. Ez gyakorlatban azt jelenti, hogy az adott adatot csak tároljuk, de más műveletet nem végzünk vele átmenetileg. Ilyen jog gyakorlására akkor kerülhet sor, ha vitatja az adatok pontosságát (arra az időre, amíg ellenőrizzük és kijavítjuk); ha az adatkezelés jogellenes, de Ön nem törlést kér, csak korlátozást; ha már nincs szükségünk az adatra, de Ön igényli jogi igények miatt; vagy ha tiltakozott az adatkezelés ellen, és a jogos érdek mérlegelése folyamatban van. A korlátozás feloldásáról előzetesen tájékoztatjuk Önt.
Adathordozhatósághoz való jog: Ön jogosult azokat az adatait, amelyeket Ön bocsátott rendelkezésünkre, és amelyeket az Ön hozzájárulása vagy velünk kötött szerződése alapján automatizált módon kezelünk, strukturált, széles körben használt, géppel olvasható formában megkapni, továbbá kérheti ezen adatok továbbítását egy másik adatkezelőhöz. Gyakorlatban ez például azt jelenti, hogy kérésére ki tudjuk exportálni (pl. CSV fájlban) az Ön regisztrációs és rendelési adatait, amit átadhat egy másik szolgáltatónak. (Az adathordozhatóság nem vonatkozik olyan adatokra, amelyek nem felelnek meg a fenti feltételeknek – pl. a mi megjegyzéseinkre vagy származtatott elemzésekre.)
Tiltakozáshoz való jog: Jogosult bármikor tiltakozni személyes adatai jogos érdeken (GDPR 6. cikk (1) f) pont) alapuló kezelése ellen. Ebben az esetben egyedileg mérlegeljük, hogy az általunk felmutatott jogos érdek elsőbbséget élvez-e az Ön jogaival, szabadságaival szemben – és ha nem, akkor az adott adatkezelést megszüntetjük. Külön is fontos kiemelni: ha személyes adatait közvetlen üzletszerzés (direkt marketing) érdekében kezeljük, Ön bármikor és indokolás nélkül tiltakozhat, és ez esetben adatait e célból továbbiakban nem kezeljük. Magyarán, ha például Ön korábban megadta hozzájárulását hírlevélre, de meggondolja magát, vagy akár hozzájárulás hiányában valamely okból mégis kapna reklámüzenetet tőlünk, akkor tiltakozhat, és azonnal leállítjuk az ilyen jellegű megkereséseket.
Hozzájárulás visszavonásának joga: Ahol az adatkezelés jogalapja az Ön hozzájárulása (pl. hírlevélküldés, marketing cookie-k alkalmazása), Ön a korábban adott hozzájárulását bármikor visszavonhatja. A visszavonás nincs alakszerűséghez kötve – megteheti e-mailben, telefonon, vagy például a hírlevél alján található „Leiratkozás” linkre kattintva. Fontos, hogy a visszavonás a jövőre nézve hatályos, tehát nem érinti az addigi adatkezelés jogszerűségét, viszont amint beérkezik hozzánk a visszavonás, az érintett adatkezelést megszüntetjük. Hozzájárulás visszavonása esetén előfordulhat, hogy bizonyos szolgáltatásokat nem tudunk tovább nyújtani (pl. ha nem engedélyezi a szükséges cookie-kat, lehet, hogy a webáruház bizonyos funkciói nem működnek megfelelően).
Jogai gyakorlásához kérjük, lépjen velünk kapcsolatba a jelen tájékoztató elején megadott elérhetőségeken (lehetőleg írásban, hogy egyértelműen dokumentálható legyen a kérés). Kérelme megválaszolása előtt szükség esetén kérhetünk Öntől további információt (pl. pontosítást vagy személyazonosság igazolását), hogy biztosan csak jogosult személy férjen hozzá az adataihoz.
Jogorvoslati lehetőségek
Bízunk benne, hogy minden adatkezeléssel kapcsolatos kérdését vagy esetleges problémáját meg tudjuk oldani. Ha azonban úgy érzi, hogy a RugBag adatkezelése során sértettük az Ön jogait vagy a vonatkozó adatvédelmi előírásokat, Önnek jogában áll panaszt tenni a felügyeleti hatóságnál, illetve bírósághoz fordulni.
Panasztétel a felügyeleti hatóságnál: Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el a független adatvédelmi felügyeleti hatóság feladatát. Elérhetőségei: cím: 1055 Budapest, Falk Miksa utca 9-11.; levelezési cím: 1363 Budapest, Pf. 9.; telefon: +36 (1) 391-1400; e-mail: [email protected]; honlap: naih.hu. Ön jogosult közvetlenül a NAIH-hoz fordulni panasszal, ha úgy ítéli meg, hogy személyes adatai kezelése során jogsérelem érte vagy annak közvetlen veszélye fennáll. A hatósági eljárás ingyenes, és névtelen panaszt is tehet, bár ez utóbbi esetben a kivizsgálás korlátozott lehet.
Bírósági jogérvényesítés: Amennyiben úgy gondolja, hogy személyes adatai kezelésével kapcsolatban jogai sérültek, Ön az Adatkezelővel – vagy adott esetben az adatfeldolgozóval, illetve közös adatkezelővel – szemben bírósági pert is indíthat. A pert a lakóhelye vagy tartózkodási helye szerinti Törvényszék előtt is megindíthatja (választása szerint, vagy az Adatkezelő székhelye szerinti bíróságon). A bíróság soron kívül jár el az ilyen ügyben. Kártérítést vagy sérelemdíjat is követelhet a polgári bírósági eljárás keretében, ha kárt vagy nem-vagyoni sérelmet szenvedett az adatkezelés jogellenessége miatt.
Természetesen arra törekszünk, hogy ilyen vitás helyzet ne alakuljon ki. Arra biztatjuk, hogy először velünk vegye fel a kapcsolatot, és mi mindent megteszünk a panasz békés rendezése érdekében.
Melléklet: Adatfeldolgozók és szolgáltatók listája
Az alábbiakban összefoglalva felsoroljuk a RugBag által igénybe vett főbb adatfeldolgozó partnereket és külső szolgáltatókat, a tevékenységük feltüntetésével:
Shopify International Ltd. (székhely: 2nd Floor, 1-2 Victoria Buildings, Haddington Road, Dublin 4, Írország) – Webáruház platform szolgáltató. A Shopify biztosítja a honlap motorját és tárhelyét, az adatokat szerverein tárolja a mi megbízásunkból.
Stripe Payments Europe Ltd. (székhely: One Wilton Park, Wilton Place, Dublin 2, Írország) – Online fizetési szolgáltató. A Stripe végzi a bankkártya-tranzakciók feldolgozását és kezeli a fizetési adatokat biztonságosan.
KBOSS.hu Kft. (Számlázz.hu) (székhely: 1031 Budapest, Záhony u. 7/D, Magyarország) – Számlázó rendszer üzemeltető. Online számlázó programot biztosít, melyen keresztül a számlákat kiállítjuk.
Bridge Log Kft. (székhely: 1112 Budapest, Repülőtéri út 2/B, Magyarország) – Logisztikai fulfillment partner. Raktár-logisztikai szolgáltatás: kezeli a termékek csomagolását és átadását a futárnak.
GLS Hungary Kft. (székhely: 2351 Alsónémedi, GLS Európa u. 2., Magyarország) – Futárszolgálat. A megrendelt csomagok kézbesítését végzi Magyarországon és nemzetközi szinten.
Magyar Posta Zrt. (MPL futárszolgálat) (székhely: 1138 Budapest, Dunavirág utca 2-6., Magyarország) – Futárszolgálat. Az MPL a Magyar Posta csomagküldő divíziója, a rendelések kézbesítésében vesz részt.
MailerLite (UAB “MailerLite”) (székhely: J. Basanavičiaus g. 15, LT-03108 Vilnius, Litvánia) – Hírlevélküldő platform. A feliratkozók e-mail címét és nevét tárolja, és ezen keresztül küldjük ki a hírleveleket.
Meta Platforms Ireland Ltd. (székhely: 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Írország) – Közösségi média hirdetési partner (Facebook, Instagram). A Meta Pixel működtetése révén remarketing adatokat kap, hogy Facebook/Instagram hirdetéseinket célozza.
TikTok Technology Ltd. (székhely: 10 Earlsfort Terrace, Dublin, D02 T380, Írország) – Közösségi média hirdetési partner. A TikTok Pixel révén remarketing adatokat kezel a TikTok hirdetések célzásához.
Google Ireland Limited (székhely: Gordon House, Barrow Street, Dublin 4, Írország) – Webanalitika (Google Analytics) és egyéb Google-szolgáltatások. A GA4 keretében statisztikai adatokat dolgoz fel a honlap használatáról.
Hotjar Ltd. (székhely: Level 5, Dragonara Business Centre, Dragonara Road, St Julian’s STJ 3141, Málta) – Analitikai eszköz (Hotjar). Felhasználói viselkedés elemzésére szolgáló szolgáltatás, mely session adatokat dolgoz fel a mi részünkre.
(Megjegyzés: a fenti listában szereplő cégek az Adatkezelő utasításai szerint és/vagy önálló adatkezelőként járnak el. Mindegyikükkel igyekeztünk olyan szerződést kötni vagy olyan szolgáltatási feltételeket elfogadni, amelyek biztosítják a GDPR követelményeinek való megfelelést. Amennyiben további információt szeretne róluk – pl. az adott cég adatvédelmi irányelvei –, javasoljuk, hogy keresse fel a weboldalaikat vagy érdeklődjön nálunk.)
Záró rendelkezések
Jelen adatvédelmi tájékoztatóban nem szabályozott kérdésekben a GDPR, az Info tv., valamint az egyéb vonatkozó magyar jogszabályok rendelkezései irányadóak. Amennyiben a tájékoztató bármely része értelmezésre szorulna, szívesen állunk rendelkezésére magyarázattal – célunk, hogy adatkezelési gyakorlatunk átlátható és érthető legyen az Ön számára.
A RugBag fenntartja a jogot, hogy jelen tájékoztatót módosítsa a jövőben, összhangban a jogszabályi változásokkal vagy az adatkezelési gyakorlat változásával. Kérjük, időnként tekintse át a tájékoztatót, vagy ellenőrizze a Hatályos dátumot a dokumentum elején.
Köszönjük, hogy elolvasta Adatvédelmi Tájékoztatónkat! Bízunk benne, hogy webáruházunkban biztonságban tudhatja adatait. Amennyiben bármilyen további kérdése vagy kérése lenne az adatvédelemmel kapcsolatban, forduljon hozzánk bizalommal a megadott elérhetőségeken.
Hatályba lépés dátuma: 2026. február 6.
