A Mammut Bevásárló- és Szórakoztató Központt által végzett kereskedelmi tevékenység során számos olyan helyzet adódhat, amikor az Ön személyes adatait kezeljük. További részletek alább olvashatók:

Társaságaink, a Mammut Zrt. (székhely: 1024 Budapest, Lövőház u. 2-6., cégjegyzékszám: 01-10-047154, adószám: 23483853-2-41) és a Tummam Kft. (székhely: 1024 Budapest, Lövőház utca 2-6., cégjegyzékszám: 01-09-291814, adószám: 25836903-2-41) (továbbiakban együtt: „Adatkezelő”), a NEPI Rockcastle cégcsoport tagjai.

A Mammut Bevásárló- és Szórakoztató Központt népszerűsítése során a NEPI Rockcastle Csoporton belül a következő szervezetekkel működünk együtt:

• NE Property BV 7-29 (székhely: Strawinskylaan 563 WTC Zuidas, Amszterdam, Hollandia, nyilvántartja: Holland Kereskedelmi Kamara, nyilvántartási szám: 34285470)

• NEPI Investment Management SRL (székhely: Calea Floreasca 169A, Cladirea A, sectiunea 5.1, biroul 14, Sector 1, Bukarest, Románia, a cégjegyzékbe J40/16378/2007 számon bejegyezve, egyedi nyilvántartási szám (CUI) RO22342136)

A személyes adatainak konkrét marketing célú feldolgozása szempontjából az Adatkezelő, az NE Property BV, a NEPI Investment Management SRL és a Marketing Advisers SRL a GDPR 26. cikke értelmében közös adatkezelőknek minősülnek.

A Mammut Bevásárló- és Szórakoztató Központ népszerűsítése céljából az NE Property BV a https://mammut.hu/ weboldalt („Weboldal”) is elérhetővé teszi a felhasználók számára.

Ez a tájékoztató minden olyan érintettnek szól, aki ellátogat a Mammut Bevásárló- és Szórakoztató Központba, belép a Weboldalra, részt vesz a bevásárlóközpont területén vagy online tartott promóciós kampányokban vagy hasonló eseményeken, vagy a Mammut Bevásárló- és Szórakoztató Központtal létrejött szerződéses kapcsolat során beszállítót/partnert/együttműködőt vagy bérlőt képvisel.

Személyes adatai kezelésének módja az Ön és a Mammut Bevásárló- és Szórakoztató Központt közötti kapcsolattól függően változik.

Ön minden esetben több joggal is rendelkezik, amelyeket egyenként vagy összevontan gyakorolhat a Mammut Bevásárló- és Szórakoztató Központt által Önnel kapcsolatban kezelt személyes adatok tekintetében. Az ezen jogokkal kapcsolatos információk, valamint azok gyakorlásának módja Az érintettek jogai szakaszban találhatók.

Vállaljuk, hogy a személyes adatokat a személyes adatok védelmére vonatkozó hatályos jogszabályoknak és az erre a területre vonatkozó helyes gyakorlatnak megfelelően kezeljük. További információ a következő részben található: Adatbiztonság és az adatok pontossága.

Ezenkívül a NEPI Rockcastle Csoport cégcsoportszinten adatvédelmi tisztviselőt nevezett ki, akihez a személyes adatok védelmével és az adatvédelmi jogok gyakorlásával kapcsolatban bármilyen aggály felmerülése esetén fordulhat. Az adatvédelmi tisztviselőhöz írásbeli, dátummal ellátott és aláírt kérelemmel lehet fordulni az alábbi elérhetőségeken:

• postai úton, a következő címen: Calea Floreasca nr. 169A, Floreasca 169, Clădirea A, etajul 5, Sector 1, București/Bukarest, Románia

• e-mailben, a következő címen: Data.Protection@nepirockcastle.com

• Azonosító adatok, mint például: keresztnév és vezetéknév, születési dátum

• Fiók hozzáférési adatai, például: jelszó

• Elérhetőségi adatok, például: e-mail cím, telefonszám

• Az Ön preferenciáira/érdeklődésére vonatkozó adatok, például az érdeklődési területekre vonatkozó adatok – pl. divat, technológia, háziállatok stb.

• A Weboldallal való interakciójára vonatkozó adatok, mint például: az Ön által keresett üzletekre vonatkozó információk, az a tény, hogy Ön egy sor terméket/szolgáltatást választott kedvencnek, vagy hogy Ön egy sor eseményt választott ki, amelyeken részt kíván venni, valamint az, hogy milyen gyakran látogatja meg a Weboldalunkat/fér hozzá a Fiókhoz.

• Demográfiai adatok, mint például: nem, város és környék, ahol él, házas-e vagy sem, van-e gyermeke vagy sem, a gyermekek száma és életkora

• A promóciós kampányokban és hasonló eseményeken való részvételre vonatkozó adatok, például: elnyert díjak, kép

• Pénzügyi adatok, például: bankszámlaszám.

• Sütik vagy más hasonló technikai eszközök (azaz kis szöveges fájlok, amelyeket a számítógépén, telefonján, táblagépén vagy mobileszközén tárolódnak, és amelyek az adott weboldalakon/alkalmazásokban végzett tevékenységére vonatkozó információkat tartalmaznak) segítségével gyűjtött adatok, pl.: a megnyitott aloldalak, egy adott oldalon eltöltött idő

• A közösségi hálózatokból származó adatok, például: a Facebook hálózat által megadott egyedi azonosító kód

A Weboldal használata során az Ön IP-címéhez is hozzáférünk, de ezt az adatot jelenleg nem kezeljük és nem használjuk fel semmilyen későbbi célra.

1.2.1      Általános célok

Amikor belép a Mammut Bevásárló- és Szórakoztató Központ weboldalára (a „Weboldal”), az NE Property BV bizonyos személyes adatokat kezel Önnel kapcsolatban, elsősorban azért, hogy a kért szolgáltatást, nevezetesen a Weboldalhoz való hozzáférést biztosítani tudja Önnek.

1.2.2      Marketing célú adatkezelés 

Az NE Property BV a Mammut Bevásárló- és Szórakoztató Központnépszerűsítése során – többek között a weboldalon keresztül – a NEPI Rockcastle Csoporton belül a következő szervezetekkel működik együtt: Az Adatkezelő, mint a Bevásárlóközpont üzemeltetője, a NEPI Investment Management SRL és a Marketing Advisers SRL. Így a személyes adatok marketing célú kezelése szempontjából a NEPI Rockcastle Csoport fent említett szervezetei (a továbbiakban együttesen „Közös adatkezelők” és külön-külön „Közös adatkezelő”) a GDPR 26. cikke értelmében közös adatkezelőként járnak el.

A személyes adatok marketing célú feldolgozásával kapcsolatban Önt Az érintettek jogai szakaszban meghatározott valamennyi jog megilleti. A Közös adatkezelők által a személyes adatok marketing célú feldolgozására vonatkozóan kötött megállapodás értelmében a Közös adatkezelők együttműködnek és vállalják, hogy teljes mértékben tiszteletben tartják az Ön jogait, függetlenül attól, hogy melyik Közös adatkezelőhöz küldi el a jogai gyakorlására vonatkozó megkeresését.

A Közös adatkezelők az Önről tárolt személyes adatok – a preferenciáira/érdeklődésére vonatkozó adatok, a Weboldallal való interakcióira vonatkozó adatok, a sütiken keresztül gyűjtött adatok – alapján hozzák létre és elemzik a profilját. Az ilyen adatok elemzésének eredményeképpen képesek leszünk azonosítani a preferenciáit, érdeklődési körét és vásárlási szokásait a beszerzés tekintetében, és így összekapcsolhatjuk azokat az általunk nyújtott szolgáltatásokkal vagy az általunk népszerűsített termékekkel.

Ezután a Közös adatkezelők automatizált eljárások segítségével meghatározzák az Önnek küldendő direkt marketinganyagok tartalmát. Jogi nyelven ezeket az automatizált eljárásokat „automatizált döntéshozatal egyedi ügyekben” nevezik.

Így az általunk küldött közvetlen marketinganyagok a lehető legkonkrétabbak, legmeggyőzőbbek és legjobban kihasználhatók lesznek az Ön számára, és ennek következtében befolyásolhatják Önt (pl. a marketinganyagban szereplő termék/szolgáltatás megvásárlása tekintetében), ha sikerül helyesen azonosítani a preferenciáit vagy jellemzőit.

Az automatizált egyedi folyamatok által végzett adatkezelés tekintetében több további joggal is rendelkezik, azaz (a) emberi beavatkozást kérhet, (b) kifejtheti álláspontját, (c) magyarázatot kérhet a meghozott döntéssel kapcsolatban, és (d) megtámadhatja a döntést. Ezen túlmenően bármikor visszavonhatja hozzájárulását a jelen Adatkezelési Tájékoztatóban előírt módon Az érintettek jogai szakasz rendelkezései szerint

A kezelt személyes adatokat a tevékenységi területünkre vonatkozó jogszabályok által ránk rótt jogi kötelezettségek teljesítéséhez szükséges ideig tároljuk.

Ami személyes adatainak közvetlen marketingtevékenységek céljára történő felhasználását illeti, azokat a Közös adatkezelők attól az időponttól kezdve, amikor megadta nekünk a hozzájárulását az ilyen adatkezeléshez, egészen addig a napig tárolják, amíg Ön vissza nem vonja azt. Ha úgy dönt, hogy visszavonja hozzájárulását, az személyes adatait a Közös adatkezelők további 60napig tárolják, a Közös adatkezelők jogos érdeke alapján, hogy hozzáférhessenek a szükséges dokumentációhoz és rendelkezésre bocsássák azt egy esetleges jogi igény, panasz vagy vizsgálat esetén (viszont nem használják fel közvetlen marketinganyagok küldésére).

Személyes adataihoz csak azok a személyek vagy szervezetek férhetnek hozzá, akikkel együttműködünk az adatkezelés céljainak teljesítésében, és akiknek (mi vagy a címzettek) jogos okot tudunk igazolni, vagy ha jogi kötelezettségünk van az Ön adatainak átadására.

A következő szervezetek és azok alkalmazottai férhetnek hozzá az Ön adataihoz:

• IT-szolgáltatók (pl. szoftverkarbantartás és -fejlesztés, webhelykarbantartás és -fejlesztés esetén),

• CRM megoldások szolgáltatói

• Marketingszolgáltatók, beleértve a piackutatási szolgáltatókat, a marketingkommunikációs szolgáltatókat, az online eszközök forgalmát és alkalmazását nyomon követő szolgáltatókat, a különböző marketing testreszabási szolgáltatókat, a közösségi médiaforrásokon keresztül marketingszolgáltatásokat nyújtó szolgáltatókat, a marketingűrlapok tartalmának elkészítésére irányuló szolgáltatásokat nyújtó szolgáltatókat,

• A Csoporthoz tartozó (nem közös adatkezelő) társaságok

Mivel mind az Adatkezelő, mind a többi Közös adatkezelő a Nepi Rockcastle cégcsoport (a „Csoport”) része, személyes adatait a Csoport tevékenységeinek konszolidált irányítása érdekében ellenőrzési célokra és bármely más olyan helyzetben kezeljük, amikor a törvény előírja vagy megengedi az ilyen adatkezelést, ha mi (az Adatkezelő, a Közös adatkezelők vagy a Csoporthoz tartozó, az adatok címzettjeként megjelölt társaságok) igazolni tudjuk, hogy ez jogszerű alapon történik, vagy ha ehhez a hozzájárulását megkapjuk. A Csoporthoz tartozó társaságok listája a következő címen található: www.nepirockcastle.com

• Partnerek Mammut Bevásárló- és Szórakoztató Központ

Személyes adatait számos harmadik fél partnerrel („Partnerek”) kapcsolatban is kezeljük. Ezek azok a Partnerek, akiket a Közös adatkezelők az Önnel való kapcsolatukban közvetlen marketingtevékenységek révén támogatnak, és akiket általában a NEPI Rockcastle Csoport bevásárlóközpontjainak bérlői képviselnek. A Partnerek nem férnek hozzá a személyes adataihoz, kivéve, ha az NE Property BV vagy a Közös adatkezelők rendelkeznek az Ön előzetes beleegyezésével. A Partnerek teljes listája a(z) Mammut helyszínen negyedévente frissül, és itt található: https://mammut.hu/berlok/uzletek  

Szerződésben kötelezzük ezeket a szervezeteket, valamint munkatársaikat az adatok bizalmas kezelésének tiszteletben tartására, magas szintű biztonságot garantálva az adatainak kezeléséhez.

Megfelelően indokolt kérés vagy jogi kötelezettség alapján személyes adatait bírósági szerveknek, közintézményeknek, központi és helyi hatóságoknak is átadjuk.

Az NE Property BV vagy adott esetben a Közös adatkezelők általában nem továbbítják a személyes adatait az Európai Gazdasági Térségen kívüli harmadik országokba. Ha mégis sor kerül erre, az NE Property BV és a Közös adatkezelők megfelelő óvintézkedéseket tesznek a továbbított személyes adatok védelmének biztosítása érdekében.

• Azonosító adatok, mint például: keresztnév és vezetéknév, születési dátum

• Különleges azonosító adatok, azaz személyi azonosító szám 

• Elérhetőségi adatok, például: e-mail cím, telefonszám

• Kép

• Azon jármű adatai, amely számára parkolóhelyet biztosítanak a bevásárlóközpont parkolójában, pl.: márka, típus és rendszám

• A bevásárlóközpont parkolójához való hozzáférésre vonatkozó adatok, pl.: érkezési idő, indulási idő, tartózkodás időtartama

• Eszköz MAC-címe (mobil, laptop, táblagép)

• A promóciós kampányokban és hasonló eseményeken való részvételre vonatkozó adatok, pl.: elnyert nyeremények

• Pénzügyi adatok, pl.: bankszámlaszám

2.2.1     Általános célok

Amikor felkeresi a Mammut Bevásárló- és Szórakoztató Központot, az Adatkezelő bizonyos személyes adatokat kezel Önről, elsősorban azért, hogy az Adatkezelő által kínált szolgáltatásokat nyújthassa Önnek, illetve hogy eleget tegyen jogi kötelezettségeinek.

2.2.2      Marketing célú adatkezelés 

A Mammut Bevásárló- és Szórakoztató Központ népszerűsítése során, többek között a Weboldalon keresztül, az Adatkezelő a NEPI Rockcastle Csoporton belül a következő szervezetekkel működik együtt: NE Property BV, NEPI Investment Management SRL és Marketing Advisers SRL. Így a személyes adatok marketing célú kezelése szempontjából a NEPI Rockcastle Csoport fent említett szervezetei (a továbbiakban együttesen „Közös adatkezelők” és külön-külön „Közös adatkezelő”) a GDPR 26. cikke értelmében közös adatkezelőként járnak el.

A személyes adatok marketing célú kezelésével kapcsolatban Önt Az érintettek jogai szakaszban meghatározott valamennyi jog megilleti. A Közös adatkezelők által a személyes adatok marketing célú kezelésére vonatkozóan kötött megállapodás értelmében a Közös adatkezelők együttműködnek és vállalják, hogy teljes mértékben tiszteletben tartják az Ön jogait, függetlenül attól, hogy melyik Közös adatkezelőhöz küldi el a jogai gyakorlására vonatkozó megkeresését.

A Retail Analytics egy olyan alkalmazás, amely a bevásárlóközpont Wi-Fi rendszerét használja a személyes adatok kezelésére, hogy olyan statisztikai jelentéseket kapjon, amelyek racionalizálják a bevásárlóközpont tevékenységét, és idővel javítják a látogatók vásárlói élményét.

2.3.1      Hogyan működik a Retail Analytics alkalmazás?

Az elektronikus eszközök MAC (médiahozzáférés-vezérlő) címét egy API (Application Programming Interface) segítségével, a hozzáférési pontok (Access Points) érintésével, egy biztonságos VPN (virtuális magánhálózat) segítségével, https protokoll (HyperText Transfer Protocol Secure) és dedikált internet protokoll (IP) használatával rögzítjük.

A MAC-címet az API (Application Programming Interface) közvetlenül a cím megszerzése után és a statisztikai célú feldolgozás előtt egy hash-függvény alkalmazásával anonimizálja.

MEGJEGYZÉS: Az „anonimizálás” a személyes adatok olyan módon történő kezelését jelenti, hogy azok többé nem rendelhetők hozzá egy adott érintetthez.

A hash-függvény alkalmazásából származó információ a Retail Analytics alkalmazás adatbázisában tárolódik, és nem visszafordítható (azaz a MAC-cím többé nem azonosítható).

A MAC-eszköz személyes adatai és a tartózkodási hely anonimizálva vannak, és nem vezethetnek az adott személy azonosításához.

A készülék gyártójától függően, a mi beavatkozásunk nélkül is előfordulhat, hogy – bár a készülék WiFi kapcsolata nem aktivált – a készüléket a WiFi hálózatunk érzékeli, ezért javasoljuk, hogy a bevásárlóközpontunkba látogatáskor ellenőrizze a készülék WiFi kapcsolatát.

MEGJEGYZÉS:  A WiFi-kapcsolat kikapcsolható a készülék „Beállítások” menüjének megnyitásával és a geolokáció letiltásával a Google geolokációs szolgáltatásában: https://support.apple.com/en-us/HT207092 iPhone esetében, https://support.google.com/nexus/answer/3467281?hl=en Android esetében,

2.3.2      A Retail Analytics alkalmazás által kezelt személyes adatok kategóriái

• Az elektronikus eszköz MAC-címe (média-hozzáférésvezérlés);

• a látogatás(ok) dátuma és időpontja;

• a WiFi hálózat hozzáférési pontjának azonosítója és koordinátái (AP azonosító);

• Wi-Fi jelerősség;

• WiFi hálózati kapcsolat állapota (csatlakoztatva/szétkapcsolva).

Az API (Application Programming Interface) segítségével rögzített MAC-cím az, amely a személy azonosításához vezethet, a többi, fentebb kiemelt személyes adat pedig csak ennek segítségével gyűjthető. A MAC-címet az API közvetlenül a gyűjtés után és a statisztikai célú feldolgozás előtt anonimizálja.

2.3.3      A személyes adatok kezelésének célja

Az anonimizálás után az adatokat kizárólag statisztikai célokra használjuk fel, a Retail Analytics által generált statisztikai jelentéseket pedig a következőkre:

• a bevásárlóközpont üzleti és marketingstratégiájának fejlesztése, a bevásárlóközpont értékének növelése, a bevásárlóközpont által szervezett rendezvények és kampányok jobb megszervezése, valamint a bevásárlóközpont látogatói és bérlői igényeinek hatékonyabb kezelése;

• a bevásárlóközpont által kínált szolgáltatások javítása, a legnagyobb zsúfoltsággal jellemezhető időszakok és területek megfelelő kezelésével összefüggésben, a jobb vásárlói élmény elérése érdekében.

A kezelt személyes adatokat a tevékenységi területünkre vonatkozó jogszabályok által ránk rótt jogi kötelezettségek teljesítéséhez szükséges ideig tároljuk.

Attól függően, hogy milyen összefüggésben kezeljük a személyes adatait, a tárolási időszak meghatározására a következő szabályok vonatkoznak:

• CCTV rendszer: A CCTV rendszer által tárolt videofelvételeket általában 30 (harminc) napig őrizzük meg, kivéve, ha a kezelés időtartamának meghosszabbítását jogszabály írja elő, vagy azt jogi eljárások indokolják.

• WiFi hálózat: Az eszköz MAC-címe csak abban az időszakban kerül tárolásra, amikor az eszköz a mi WiFi hálózatunkat használja.

• Marketing céllal kezelt adatok: a marketing céllal gyűjtött adatokat a hozzájárulás visszavonásáig kezeljük. Ha úgy dönt, hogy visszavonja hozzájárulását, az személyes adatait a Közös adatkezelők további 3 évig tárolják, a Közös adatkezelők jogos érdeke alapján, hogy hozzáférhessenek a szükséges dokumentációhoz és rendelkezésre bocsássák azt egy esetleges jogi igény, panasz vagy vizsgálat esetén (viszont nem használják fel közvetlen marketinganyagok küldésére).

• Kiskereskedelmi analitikai alkalmazás: A Retail Analytics alkalmazáson keresztül gyűjtött adatok esetében a személyes adatokat a gyűjtés időpontjában anonimizálják, és a Közös adatkezelők nem őrzik meg azokat. Az anonimizálás után a kapott információkat és statisztikai jelentéseket 1 évig kell megőrizni.

A személyes adataihoz való hozzáférést csak azon személyek vagy szervezetek számára biztosítjuk, akikkel az adatkezelés céljából együttműködünk, és akikkel mi (az új vagy a tervezett címzettek) a GDPR-rel összhangban lévő jogos érdeket tudunk igazolni, vagy ha jogi kötelezettségünk van az adatainak átadására.

A következő szervezetek és azok alkalmazottai férhetnek hozzá az Ön adataihoz:

• Biztonsági és felügyeleti szolgáltatást nyújtó vállalkozások – A parkolóhelyeken a CCTV videokamerás megfigyelőrendszer és a beléptető rendszer biztosítása érdekében az Adatkezelő olyan szakosodott cégekkel működik együtt, amelyek a törvény szerint jogosultak biztonsági és felügyeleti tevékenységet végezni.

• Egyéb szolgáltatók – A kampányokban és rendezvényeken való részvétel, valamint a bevásárlóközpontokon belüli Info Desk irodák munkatársaihoz intézett panaszok, sérelmek és/vagy elveszett tárgyakkal kapcsolatos kérések kezelése tekintetében az Adatkezelő általában erre szakosodott szolgáltató cégekkel működik együtt.

• A cégcsoport társaságai

Mivel mind az Adatkezelő, mind a többi Közös adatkezelő a Nepi Rockcastle cégcsoport (a „Csoport”) része, személyes adatait a Csoport tevékenységeinek konszolidált irányítása érdekében ellenőrzési célokra és bármely más olyan helyzetben kezeljük, amikor a törvény előírja vagy megengedi az ilyen adatkezelést, ha mi (az Adatkezelő, a Közös adatkezelők vagy a Csoporthoz tartozó, az adatok címzettjeként megjelölt társaságok) igazolni tudjuk, hogy ez jogszerű alapon történik, vagy ha ehhez a hozzájárulását megkapjuk. A Csoporthoz tartozó társaságok listája a következő címen található: www.nepirockcaste.com

• Partnerek Mammut Bevásárló- és Szórakoztató Központ

Személyes adatait számos harmadik fél partnerrel („Partnerek”) kapcsolatban is kezeljük. Ezek azok a Partnerek, akiket a Közös adatkezelők az Önnel való kapcsolatukban közvetlen marketingtevékenységek révén támogatnak, és akiket általában a Mammut Bevásárlóközpont bérlői képviselnek. A Partnerek nem férnek hozzá a személyes adataihoz, kivéve, ha az Adatkezelő vagy a Közös adatkezelők rendelkeznek az Ön előzetes beleegyezésével. A Partnerek teljes listája negyedévente frissül, és itt található: https://mammut.hu/berlok/uzletek

• Ingatlanmenedzser Mammut Bevásárló- és Szórakoztató Központ

Szerződésben kötelezzük ezeket a szervezeteket, valamint munkatársaikat az adatok bizalmas kezelésének tiszteletben tartására, magas szintű biztonságot garantálva az adatainak kezeléséhez.

Megfelelően indokolt kérés vagy jogi kötelezettség alapján személyes adatait bírósági szerveknek, közintézményeknek, központi és helyi hatóságoknak is átadjuk.

Az Adatkezelő vagy adott esetben a Közös adatkezelők általában nem továbbítják a személyes adatait az Európai Gazdasági Térségen kívüli harmadik országokba. Ha mégis sor kerül erre, az Adatkezelő és a Közös adatkezelők megfelelő óvintézkedéseket tesznek a továbbított személyes adatok védelmének biztosítása érdekében.

• Azonosító adatok, mint például: keresztnév és vezetéknév, születési dátum

• Elérhetőségi adatok, például: e-mail cím, telefonszám

• Foglalkozási adatok, például: betöltött pozíció, vállalat, ahol Ön dolgozik vagy amelyet képvisel

A kezelt személyes adatokat a tevékenységi területünkre vonatkozó jogszabályok által ránk rótt jogi kötelezettségek teljesítéséhez szükséges ideig tároljuk.

A személyes adataihoz való hozzáférést csak azon személyek vagy szervezetek számára biztosítjuk, akikkel az adatkezelés céljából együttműködünk, és akikkel mi (az új vagy a tervezett címzettek) a GDPR-rel összhangban lévő jogos érdeket tudunk igazolni, vagy ha jogi kötelezettségünk van az adatainak átadására.

A következő szervezetek és azok alkalmazottai férhetnek hozzá az Ön adataihoz:

• A cégcsoport társaságai

Mivel az Adatkezelő a Nepi Rockcastle cégcsoport (a „Csoport”) része, személyes adatait a Csoport tevékenységeinek konszolidált irányítása érdekében ellenőrzési célokra és bármely más olyan helyzetben kezeljük, amikor a törvény előírja vagy megengedi az ilyen adatkezelést, ha mi (az Adatkezelő, vagy a Csoporthoz tartozó, az adatok címzettjeként megjelölt társaságok) igazolni tudjuk, hogy ez jogszerű alapon történik, vagy ha ehhez a hozzájárulását megkapjuk. A Csoporthoz tartozó társaságok listája a következő címen található: www.nepirockcastle.com

Szerződésben kötelezzük ezeket a szervezeteket, valamint munkatársaikat az adatok bizalmas kezelésének tiszteletben tartására, magas szintű biztonságot garantálva az adatainak kezeléséhez.

Megfelelően indokolt kérés vagy jogi kötelezettség alapján személyes adatait bírósági szerveknek, közintézményeknek, központi és helyi hatóságoknak is átadjuk.

Az Üzemeltető általában nem továbbítja a személyes adatait az Európai Gazdasági Térségen kívüli harmadik országokba. Ha erre sor kerül, az Üzemeltető megfelelő védelmi intézkedéseket hoz a továbbított személyes adatok védelmének biztosítása érdekében.

• Azonosító adatok, mint például: keresztnév és vezetéknév, születési dátum

• Elérhetőségi adatok, például: e-mail cím, telefonszám

• Kép

Eszköz MAC (mobil, laptop, táblagép)

A kezelt személyes adatokat a tevékenységi területünkre vonatkozó jogszabályok által ránk rótt jogi kötelezettségek teljesítéséhez szükséges ideig tároljuk.

Attól függően, hogy milyen összefüggésben kezeljük a személyes adatait, a tárolási időszak meghatározására a következő szabályok vonatkoznak:

• CCTV rendszer: A CCTV rendszer által tárolt videofelvételeket általában 30 (harminc) napig őrizzük meg, kivéve, ha a kezelés időtartamának meghosszabbítását jogszabály írja elő, vagy azt jogi eljárások indokolják.

• WiFi hálózat: Az eszköz MAC-címe csak abban az időszakban kerül tárolásra, amikor az eszköz a mi WiFi hálózatunkat használja.

A személyes adataihoz való hozzáférést csak azon személyek vagy szervezetek számára biztosítjuk, akikkel az adatkezelés céljából együttműködünk, és akikkel mi (az új vagy a tervezett címzettek) a GDPR-rel összhangban lévő jogos érdeket tudunk igazolni, vagy ha jogi kötelezettségünk van az adatainak átadására.

A következő szervezetek és azok alkalmazottai férhetnek hozzá az Ön adataihoz:

• Biztonsági és felügyeleti szolgáltatást nyújtó vállalkozások – A parkolóhelyeken a CCTV videokamerás megfigyelőrendszer és a beléptető rendszer biztosítása érdekében a bérbeadó olyan szakosodott cégekkel működik együtt, amelyek a törvény szerint jogosultak biztonsági és felügyeleti tevékenységet végezni.

• Egyéb szolgáltatók – A bevásárlóközpontokon belüli Info Desk irodák munkatársaihoz intézett panaszok, sérelmek és/vagy elveszett tárgyakkal kapcsolatos kérések kezelése tekintetében az Adatkezelő általában erre szakosodott szolgáltató cégekkel működik együtt.

• Az Adatkezelő ingatlanmenedzsere

Szerződésben kötelezzük ezeket a szervezeteket, valamint munkatársaikat az adatok bizalmas kezelésének tiszteletben tartására, magas szintű biztonságot garantálva az adatainak kezeléséhez.

Megfelelően indokolt kérés vagy jogi kötelezettség alapján személyes adatait bírósági szerveknek, közintézményeknek, központi és helyi hatóságoknak is átadjuk.

Az Adatkezelő általában nem továbbítja a személyes adatait az Európai Gazdasági Térségen kívüli harmadik országokba. Ha erre sor kerül, az Üzemeltető megfelelő védelmi intézkedéseket hoz a továbbított személyes adatok védelmének biztosítása érdekében.

Minden szükséges biztonsági intézkedést megteszünk annak érdekében, hogy a továbbított, tárolt vagy más módon kezelt személyes adatait megvédjük a megsemmisülés, elvesztés, jogellenes vagy véletlen megváltoztatás, jogosulatlan nyilvánosságra hozatal vagy jogosulatlan hozzáférés, valamint bármely más jogellenes adatkezelés ellen. A személyes adatai tekintetében alkalmazott biztonsági intézkedések biztosíthatják az adatkezelő rendszerek és szolgáltatások bizalmas jellegét, integritását, rendelkezésre állását és folyamatos megváltoztathatóságát, valamint a személyes adatok rendelkezésre állásának és a személyes adatokhoz való hozzáférésnek a megfelelő időben történő helyreállítását, ha fizikai vagy technikai incidens történik.

Minden személyes adat kezelése biztonságos oldalakon keresztül történik az SSL titkosítási rendszer használatával, amelyet a böngészőablak tetején található lakat szimbólummal jelölünk.

A Weboldal biztonsági előírásaival kapcsolatos további információkért menjen a „Segítség” menüponthoz.

Ezenkívül az adatok biztonsága és a Fiókon keresztül továbbított információk titkossága érdekében a Fiók jelszóval védett. Az Adatkezelő, illetve adott esetben a Közös adatkezelők minden erőfeszítést megtesznek és megfelelő informatikai technológiát alkalmaznak az Ön által megadott adatok védelmének és biztonságának szavatolása érdekében.

A GDPR által a személyes adatok megsértésével kapcsolatban előírt esetekben az Adatkezelő, illetve adott esetben a Közös adatkezelők mindegyike megfelelően tájékoztatja az illetékes hatóságokat és az érintett személyeket.

Az Adatkezelő vagy a Közös adatkezelők olyan személyes adatokat kezelnek, amelyek pontosak, és rendelkeznek az adatok frissítésére szolgáló eljárással. Így az Adatkezelő/Közös adatkezelők minden szükséges lépést megtesznek annak érdekében, hogy az adatkezelés céljai tekintetében pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

(a)   Hozzáférési jog – a jog arra, hogy az Érintett megerősítést kérjen arról, hogy személyes adatait kezeljük-e vagy sem, és ha igen, az Érintett kérheti az adatokhoz való hozzáférést, valamint az ilyen adatokra vonatkozó bizonyos információkat. Erre vonatkozó kérésre a kezelt személyes adatok másolatát is kiállítjuk. A további másolatok iránti kérelem a ténylegesen felmerült költségek alapján kerül kiszámlázásra.

(b)   Helyesbítéshez való jog – a pontatlan személyes adatok helyesbítéséhez, valamint a hiányos adatok kiegészítéséhez való jog, beleértve a kiegészítő információk megadását is.

(c)   Az adatok törléséhez való jog („az elfeledtetéshez való jog”) – a törvény által kifejezetten szabályozott helyzetekben az adatok törlésének joga. A személyes adatok törlését tehát akkor lehet kérni, ha:

• az adatokra már nincs szükség azokhoz a célokhoz, amelyekhez azokat gyűjtötték vagy kezelték;

• az adatkezelést alapjául szolgáló hozzájárulást az érintett visszavonta;

• az érintett tiltakozik az adatkezelés ellen a tiltakozási jog alapján;

• a személyes adatok kezelése jogellenes;

• az adatokat törölni kell a ránk vonatkozó jogi kötelezettség teljesítése céljából.

(d)   Az adatkezelés korlátozásához való jog – a személyes adatok kezelésének korlátozását kérheti bizonyos, a törvény által kifejezetten szabályozott körülmények között, az alábbiak szerint:

• az adatok pontossága vitatható arra az időszakra vonatkozóan, amikor az érintett adatok pontosságát ellenőrzik;

• az adatkezelés jogellenes, és az érintett tiltakozik az adatok törlése ellen;

• az érintettnek szüksége van ezekre az adatokra ahhoz, hogy bizonyos jogait bíróság előtt megállapítsa, gyakorolja vagy megvédje, és társaságunknak már nincs szüksége ezekre az adatokra;

• az érintett tiltakozik a személyes adatok kezelése ellen arra az időtartamra, amíg ellenőrizzük, hogy jogos érdekeink elsőbbséget élveznek-e az érdekeivel, jogaival és szabadságaival szemben.

Ilyen körülmények között az adatokat – a tárolás kivételével – nem kezeljük többé.

(e)   A személyes adatok kezelése elleni tiltakozás joga – az érintett különleges helyzetével kapcsolatos okokból bármikor tiltakozhat a jogos érdekünkön alapuló adatkezelés ellen (beleértve a profilok létrehozását is).

(f)    Az adathordozhatósághoz való jog – a megadott személyes adatok strukturált, automatizáltan készült, olvasható formátumban történő átvételéhez való jog, valamint az adatok másik adatkezelőnek történő továbbításának kéréséhez való jog. Ez a jog csak az érintett által közvetlenül az adatkezelőnek megadott személyes adatokra vonatkozik, és csak akkor, ha a személyes adatok kezelése automatizált módon történik, és jogi értelemben vagy szerződés teljesítésén vagy az érintett személy hozzájárulásán alapul,

(g)   A panasz benyújtásához való jog – a személyes adatok kezelésének módszereivel kapcsolatos panaszhoz való jog. A panaszt a Személyes Adatok Kezelését Felügyelő Nemzeti Hatósághoz („ANSPDCP”) kell benyújtani – részletek a következő címen találhatók: dataprotection.ro.

(h)   A hozzájárulás visszavonásának joga – a személyes adatok kezeléséhez adott hozzájárulás bármikor történő visszavonásának joga, amennyiben az adatkezelés hozzájáruláson alapul. A hozzájárulás visszavonása csak a jövőre nézve érvényes, és a visszavonás előtti adatkezelés továbbra is érvényes marad.

(i)    A szolgáltatások nyújtása során alkalmazott automatizált döntésekkel kapcsolatos további jogok – ha személyes adatokról automatizált döntések születnek, és ezek a döntések jelentős mértékben érintik az érintettet, az érintett a) emberi beavatkozást kérhet az említett adatkezeléssel kapcsolatban, b) kifejtheti álláspontját az ilyen adatkezeléssel kapcsolatban, c) magyarázatot kérhet a meghozott döntéssel kapcsolatban, és d) megtámadhatja az ilyen döntést.

Ezek a jogok (kivéve az NAIH-val való kapcsolatfelvételhez való jogot, amely az ezen hatóság által meghatározott feltételek mellett gyakorolható – e tekintetben lásd a hivatalos honlapot: www.naih.hu) – bármikor gyakorolhatók, akár egyénileg, akár összevontan, levél/üzenet küldésével az alábbi módokon:

• postai úton, a következő címen: Calea Floreasca nr. 169A, Floreasca 169, Clădirea A, etajul 5, Sector 1, București/Bukarest, Románia

• e-mailben, a következő címen: Data.Protection@nepirockcastle.com

A közvetlen marketing célú üzenetek (hírlevél) e-mailben történő továbbításához adott hozzájárulásának visszavonásához való jogát az egyes ilyen jellegű üzenetekben található leiratkozási link(leiratkozás) használatával gyakorolhatja.

Amennyiben az Ön megítélése szerint a személyes adatainak az Adatkezelő általi kezelése kapcsán jogsérelem érte, és az ezzel kapcsolatos kérésire, észrevételeire megítélése szerint nem, vagy nem megfelelő időben, illetve módon reagáltunk Ön jogosult az illetékes felügyeleti hatósághoz panasszal fordulni.

Az illetékes felügyeleti hatóság adatai:

Ön jogosult továbbá a lakóhelye, tartózkodási helye szerint illetékes törvényszékhez fordulni, amennyiben megítélése szerint az Adatkezelő személyes adatait jogszabály, vagy az Európai Unió kötelező jogi aktusában foglalt rendelkezéseket megsértve kezeli.

Javasoljuk, hogy amennyiben a felügyeleti hatósághoz, bírósághoz fordulást tervezi, előzetesen az Adatkezelőnél érdeklődjön, mivel a felmerült kérdései, orvoslást igénylő kérései tekintetében a szükséges információk az adatkezelőnél állnak rendelkezésre.

Társaságunk elkötelezett a jogszerű, átlátható és tisztességes adatkezelés elveinek megvalósítása mellett, ezért a sérelmesnek vélt helyzetekben soron kívül intézkedünk a felmerült kérdések tisztázására, illetve a megállapított sérelem orvoslására és a megállapításokról, valamint a tett intézkedéseinkről, továbbá amennyiben az adatkezeléssel kapcsolatban kérdéssel fordul az Adatkezelőhöz a hozzánk fordulásától számított legfeljebb 1 hónapon belül tájékoztatjuk.