Adatvédelmi szabályzat

Adatkezelési Tájékoztató

Hatályos: 2026. május 26.

A jelen Adatkezelési Tájékoztató (a továbbiakban: Tájékoztató) az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.) megfelelően ad tájékoztatást a Hevisleep s.r.o. által üzemeltetett www.hevisleep.hu webáruházzal kapcsolatos személyes adatkezelésről.

1. Az adatkezelő (Adatkezelő) adatai

  • Adatkezelő neve: Hevisleep s.r.o.
  • Székhely: Janka Kráľa 1600/3A, 905 01 Senica, Szlovák Köztársaság
  • Cégjegyzékszám (IČO): 56 509 774
  • Közösségi adószám: SK2122329462
  • E-mail (adatvédelmi ügyek): info@hevisleep.hu
  • Telefon: +36 (21) 212 2046
  • Adatvédelmi tisztviselő: az Adatkezelő a GDPR 37. cikk (1) bekezdése szerinti adatvédelmi tisztviselő (DPO) kijelölésére nem köteles; adatvédelmi kérdésekben a fenti e-mail címen áll az érintettek rendelkezésére.

2. A vezető felügyeleti hatóság (One-Stop-Shop)

Tekintettel arra, hogy az Adatkezelő fő telephelye (székhelye) a Szlovák Köztársaságban található, a GDPR 56. cikke szerinti vezető felügyeleti hatósága a Szlovák Köztársaság Személyes Adatok Védelméért Felelős Hivatala (Úrad na ochranu osobných údajov Slovenskej republiky), Hraničná 12, 820 07 Bratislava 27, www.dataprotection.gov.sk.

A magyar érintettek számára a GDPR 77. cikke alapján közvetlenül elérhető magyar felügyeleti hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) (lásd 12. pont).

3. Az adatkezelés alapelvei

Az Adatkezelő a személyes adatokat a GDPR 5. cikkében meghatározott alapelvek (jogszerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg, elszámoltathatóság) szerint kezeli.

4. A kezelt adatok köre és az adatkezelési tevékenységek

Az alábbi táblázat adatkezelési tevékenységenként mutatja be a kezelt adatok körét, az adatkezelés célját, jogalapját és időtartamát.

4.1. Megrendelés feldolgozása, szerződés teljesítése

  • Kezelt adatok köre: családi és utónév, számlázási cím, szállítási cím, e-mail cím, telefonszám, megrendelt termékek köre, vételár, fizetési mód, megrendelés időpontja, IP-cím (rendelésleadáskor, csalásmegelőzés céljából), számlázási adatok (számlán szereplő adatok).
  • Cél: a Vásárló és az Adatkezelő közötti adásvételi szerződés teljesítése, a megrendelt termék kiszállítása, a vételár fogadása, a számla kiállítása, a Vásárlóval való kapcsolattartás a rendeléssel összefüggésben.
  • Jogalap: a GDPR 6. cikk (1) bek. b) pontja – a szerződés teljesítése, amelyben az érintett az egyik fél.
  • Időtartam: a szerződés teljesítését követően a polgári jogi elévülés ideje, azaz 5 év (Ptk. 6:22. §); a számlán szereplő adatok a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése alapján 8 évig kerülnek megőrzésre.

4.2. Felhasználói fiók (regisztráció) kezelése

  • Kezelt adatok köre: név, e-mail cím, jelszó (egyirányúan hash-elve tárolva), szállítási és számlázási címek, korábbi megrendelések adatai.
  • Cél: a regisztrált Vásárló részére fiók biztosítása, a vásárlási folyamat megkönnyítése, a megrendelési előzmények megtekinthetősége.
  • Jogalap: GDPR 6. cikk (1) bek. b) – a fiók-szerződés teljesítése.
  • Időtartam: a fiók törléséig, vagy 3 év inaktivitás után automatikus törlésig.

4.3. Hírlevél / e-mail marketing (Klaviyo)

  • Kezelt adatok köre: név (opcionális), e-mail cím, feliratkozás időpontja és IP-címe, hírlevél-megnyitási és -kattintási statisztikák (pseudonimizált), Vásárló-specifikus szegmentációs adatok (pl. korábbi vásárlások, érdeklődési kör).
  • Cél: hírlevél, promóciós ajánlatok, kedvezmények, új termékekkel kapcsolatos tájékoztatás küldése, valamint a kosárelhagyásra emlékeztető üzenetek.
  • Jogalap: GDPR 6. cikk (1) bek. a) – az érintett hozzájárulása + 2008. évi XLVIII. törvény (Grtv.) 6. § – a feliratkozó előzetes, kifejezett, írásban dokumentált, megerősített (double opt-in) hozzájárulása. A hozzájárulás bármikor indokolás nélkül visszavonható minden hírlevél alján található leiratkozó linkkel vagy az info@hevisleep.hu címen.
  • Időtartam: a hozzájárulás visszavonásáig; a visszavonást követően az e-mail cím egy „suppression list"-en (kizárási lista) marad annak biztosítása érdekében, hogy a leiratkozott személy ne kapjon több hírlevelet.
  • Adatfeldolgozó: Klaviyo, Inc. (lásd 7. pont).

4.4. Bankkártyás fizetés (Comgate)

  • Kezelt adatok köre: Comgate részéről a bankkártya adatai (kártyaszám, lejárati dátum, CVC) – ezekhez az Adatkezelő nem fér hozzá; az Adatkezelő oldalán a tranzakcióazonosító, a fizetés időpontja, összege és státusza.
  • Cél: a megrendelés vételárának elektronikus fogadása.
  • Jogalap: GDPR 6. cikk (1) bek. b) – szerződés teljesítése.
  • Időtartam: 8 év (számvitelről szóló tv. 169. § (2)).
  • Önálló adatkezelő/feldolgozó: Comgate Payments, a.s. (lásd 7. pont).

4.5. Kiszállítás (GLS Hungary)

  • Kezelt adatok köre: címzett neve, szállítási címe, telefonszáma, e-mail címe, csomag adatai, utánvét esetén az utánvét összege.
  • Cél: a megrendelt termék házhozszállítása.
  • Jogalap: GDPR 6. cikk (1) bek. b) – szerződés teljesítése.
  • Időtartam: a kiszállítást és az esetleges reklamációs határidők lejártát követő 5 évig; ezt követően az adatok az Adatkezelőnél a 4.1. pont szerinti megrendelési adatok között kerülnek tárolásra.
  • Önálló adatkezelő: GLS General Logistics Systems Hungary Kft. (lásd 7. pont).

4.6. Számla kiállítása és könyvelés

  • Kezelt adatok köre: név, számlázási cím, megvásárolt termék/szolgáltatás, ár, számla sorszám, kiállítás időpontja, áfa-azonosító (ha B2B).
  • Cél: jogszabályi (számviteli, adózási) kötelezettség teljesítése.
  • Jogalap: GDPR 6. cikk (1) bek. c) – jogi kötelezettség teljesítése (2000. évi C. törvény 169. §, 2007. évi CXXVII. törvény az áfáról, valamint az EU OSS rendszerre vonatkozó szlovák jogszabályok).
  • Időtartam: 8 év.

4.7. Panaszkezelés, ügyfélszolgálat, jogi igényérvényesítés

  • Kezelt adatok köre: a panasz/ügyfélkapcsolat során közölt valamennyi személyes adat, a panasz tárgya, az érintett által csatolt bizonyítékok, az Adatkezelő válasza.
  • Cél: a Vásárló panaszának kivizsgálása, az ügyfélszolgálati megkeresés megválaszolása, jogi igények érvényesítése, illetve az ezekkel szembeni védekezés.
  • Jogalap: GDPR 6. cikk (1) bek. c) – jogi kötelezettség (Fgytv. 17/A. §) + GDPR 6. cikk (1) bek. f) – az Adatkezelő jogos érdeke (igényérvényesítés, védekezés).
  • Időtartam: a panasz felvételétől számított 3 év (Fgytv. 17/A. § (7)); a polgári jogi elévülési idő (5 év) vagy az adott eljárás jogerős befejezését követő 3 év.

4.8. Webelemzés (Google Analytics 4)

  • Kezelt adatok köre: pseudonimizált felhasználói azonosító (client_id), eseményadatok (kattintások, megtekintett oldalak, idő), IP-cím (Google általi rövid távú, csak földrajzi célú használat után törölve), eszközadatok, böngésző-adatok, hivatkozó URL.
  • Cél: a Weboldal látogatottságának, használatának elemzése, a Weboldal fejlesztése.
  • Jogalap: GDPR 6. cikk (1) bek. a) – az érintett hozzájárulása (cookie banneren keresztül).
  • Időtartam: a GA4-ben az eseményadatok megőrzési ideje legfeljebb 14 hónap; a hozzájárulás visszavonását követően az adatok törlésre kerülnek.
  • Adatfeldolgozó: Google Ireland Limited / Google LLC (lásd 7. pont).

4.9. Hirdetési pixel (Google Ads, Meta Pixel)

  • Kezelt adatok köre: böngésző-cookie azonosítók (_fbp, _fbc, NID, _gcl_au stb.), eseményadatok (megtekintett termékek, kosárba helyezés, vásárlás), pseudonimizált felhasználói azonosító, opcionálisan hash-elt e-mail és telefonszám (advanced matching / customer match).
  • Cél: hirdetési kampányok hatékonyságának mérése, konverzió-követés, remarketing célközönségek képzése.
  • Jogalap: GDPR 6. cikk (1) bek. a) – az érintett hozzájárulása (cookie banneren keresztül).
  • Időtartam: max. 13 hónap (cookie élettartam), hozzájárulás visszavonásáig.
  • Adatfeldolgozók: Google Ireland Limited / Google LLC, Meta Platforms Ireland Limited / Meta Platforms, Inc. (lásd 7. pont).

4.10. Session-rögzítés és hőtérkép (Microsoft Clarity)

  • Kezelt adatok köre: pseudonimizált felhasználói azonosító, kattintások, görgetési minták, egér-mozgások, képernyő-eseményrögzítés (a jelszavak, bankkártya-adatok és egyéb érzékeny mezők automatikusan maszkolva), eszközadatok, böngésző-adatok, IP-cím (pseudonimizálva).
  • Cél: a felhasználói élmény elemzése, a Weboldal használhatóságának fejlesztése.
  • Jogalap: GDPR 6. cikk (1) bek. a) – az érintett hozzájárulása (cookie banneren keresztül).
  • Időtartam: a Microsoft Clarity adatmegőrzési ideje (alapértelmezetten 1 év a session-adatok esetén), illetve a hozzájárulás visszavonásáig.
  • Adatfeldolgozó: Microsoft Corporation (lásd 7. pont).

4.11. Funkcionális sütik (kosár, bejelentkezés, nyelv, valuta)

  • Kezelt adatok köre: session ID, kosártartalom, nyelvi és valuta-preferenciák, bejelentkezett-állapot.
  • Cél: a Weboldal alapvető működésének biztosítása.
  • Jogalap: GDPR 6. cikk (1) bek. f) – jogos érdek; e sütik feltétlenül szükségesek a szolgáltatás nyújtásához (Eht. 155. § (4) bek. szerinti kivétel), így hozzájárulás nem szükséges.
  • Időtartam: böngésző-session ideje vagy max. 13 hónap.

A sütik részletes listáját és kategóriáit a Cookie (Süti) Tájékoztató tartalmazza.

5. Az érintettek köre

Az Adatkezelő személyes adatokat kezel:

  • a Weboldalon vásárlóktól (Vásárlóktól),
  • a Weboldal regisztrált felhasználóitól,
  • a hírlevélre feliratkozóktól,
  • az ügyfélszolgálathoz forduló személyektől,
  • a Weboldal látogatóitól (sütiken keresztül).

6. Az adatok forrása

Az Adatkezelő a személyes adatokat alapvetően közvetlenül az érintettől gyűjti (regisztráció, megrendelés, hírlevél-feliratkozás, ügyfélszolgálati megkeresés, weboldal-használat). Egyes adatok automatizáltan jönnek létre a Weboldal használatakor (pl. sütikben, IP-cím, eszközazonosítók, vásárlási előzmények).

7. Adatfeldolgozók és önálló adatkezelők

Az Adatkezelő egyes adatkezelési műveletek elvégzésére az alábbi adatfeldolgozókat veszi igénybe, illetve egyes esetekben önálló adatkezelőkkel oszt meg személyes adatokat.

Partner Szerep Adatkezelési tevékenység Székhely / fő telephely Adatvédelmi link
Shopify International Limited / Shopify Inc. Adatfeldolgozó (webáruház-platform és tárhely) A Weboldal és vásárlási adatok tárolása, feldolgozása Dublin, Írország / Ottawa, Kanada shopify.com/legal/privacy
Comgate Payments, a.s. Önálló adatkezelő (pénzforgalmi szolgáltató) Bankkártyás fizetés feldolgozása Hradec Králové, Cseh Köztársaság comgate.cz
GLS General Logistics Systems Hungary Kft. Önálló adatkezelő (futárszolgálat) Csomagkézbesítés 2351 Alsónémedi, GLS Európa u. 2. gls-group.com/HU/hu/adatvedelem
Klaviyo, Inc. Adatfeldolgozó (e-mail marketing platform) Hírlevél kiküldése, automatizáció Boston, MA, USA klaviyo.com/legal/privacy-notice
Google Ireland Limited / Google LLC Adatfeldolgozó / önálló adatkezelő Google Analytics 4, Google Ads, Google Tag Manager Dublin, Írország / Mountain View, USA policies.google.com/privacy
Meta Platforms Ireland Limited / Meta Platforms, Inc. Közös adatkezelő (Meta Pixel) Hirdetési pixel, konverzió-követés, remarketing Dublin, Írország / Menlo Park, USA facebook.com/privacy/policy
Microsoft Corporation / Microsoft Ireland Operations Ltd. Adatfeldolgozó (Microsoft Clarity) Session-rögzítés, hőtérkép Redmond, WA, USA / Dublin, Írország privacy.microsoft.com
Könyvelő iroda Adatfeldolgozó Könyvelés, számviteli kötelezettségek teljesítése Szlovák Köztársaság Az adatfeldolgozó pontos megnevezését az érintett kérésre megkapja.

8. Adattovábbítás harmadik országba

Egyes adatfeldolgozók (Google LLC, Meta Platforms, Inc., Microsoft Corporation, Klaviyo, Inc., Shopify Inc.) székhelye az Európai Unión kívül (Amerikai Egyesült Államok, Kanada) található. Az ilyen harmadik országba történő adattovábbítások jogalapja az alábbi védintézkedéseken alapul (GDPR V. fejezet):

  • EU–USA Adatvédelmi Keretrendszer (Data Privacy Framework – DPF): a Bizottság (EU) 2023/1795 megfelelőségi határozata alapján a DPF-tanúsítvánnyal rendelkező egyesült államokbeli szervezetek (Google LLC, Meta Platforms Inc., Microsoft Corporation, Klaviyo Inc.) megfelelő védelmi szintet biztosítanak.
  • Általános adatvédelmi szerződéses feltételek (SCC): a Bizottság 2021/914/EU végrehajtási határozata szerinti modellklauzulák a DPF-en kívüli adattovábbításokra (pl. Kanada esetén megfelelőségi határozat is alkalmazható).
  • Megfelelőségi határozat (Kanada): a Bizottság 2002/2/EK határozata Kanada PIPEDA hatálya alá tartozó kereskedelmi szervezetei tekintetében.

Az érintett kérésére az Adatkezelő rendelkezésre bocsátja a védintézkedések másolatát.

9. Az érintett jogai

A GDPR III. fejezete alapján az érintettet az alábbi jogok illetik meg:

  • Hozzáférési jog (GDPR 15. cikk): tájékoztatást kérhet arról, hogy adatait kezelik-e, és ha igen, milyen célból, milyen kategóriájú adatokat, kiknek továbbítják, és mennyi ideig tárolják.
  • Helyesbítéshez való jog (16. cikk): kérheti a pontatlan adatainak helyesbítését.
  • Törléshez való jog / „elfeledtetéshez" való jog (17. cikk): kérheti adatainak törlését, kivéve, ha az adatkezelés jogi kötelezettség (pl. számlamegőrzés) vagy jogos érdek miatt szükséges.
  • Az adatkezelés korlátozásához való jog (18. cikk): meghatározott feltételek esetén kérheti az adatkezelés korlátozását.
  • Adathordozhatósághoz való jog (20. cikk): az érintett részére az Adatkezelő rendelkezésére bocsátott adatait géppel olvasható formátumban megkaphatja.
  • Tiltakozáshoz való jog (21. cikk): tiltakozhat az adatainak jogos érdeken alapuló kezelése ellen; közvetlen üzletszerzés (direkt marketing) esetén az érintettet feltétlen tiltakozási jog illeti meg – tiltakozás esetén az adatait e célból az Adatkezelő haladéktalanul törli.
  • Hozzájárulás visszavonásának joga (7. cikk (3)): a hozzájárulás alapján történő adatkezelés esetén az érintett a hozzájárulását bármikor – a visszavonás előtti adatkezelés jogszerűségét nem érintve – visszavonhatja.
  • Automatizált döntéshozatallal és profilalkotással kapcsolatos jogok (22. cikk): az Adatkezelő automatizált egyedi döntéshozatalt (beleértve a profilalkotást) jogi/hasonló joghatású döntés meghozatalához nem alkalmaz.

Az érintett jogait az info@hevisleep.hu e-mail címre küldött kérelemmel gyakorolhatja. Az Adatkezelő a kérelem beérkezésétől számított 1 hónapon belül ad érdemi választ; ez a határidő összetett kérelem esetén további 2 hónappal meghosszabbítható, amelyről az érintett tájékoztatást kap.

10. Adatbiztonság

Az Adatkezelő a GDPR 32. cikkének megfelelő, kockázatarányos szervezeti és technikai intézkedésekkel biztosítja a személyes adatok bizalmasságát, sértetlenségét és rendelkezésre állását, így különösen:

  • SSL/TLS titkosítás (HTTPS) a Weboldalon;
  • jelszavak egyirányú hash-eléssel történő tárolása;
  • hozzáférés-szabályozás (least privilege elv);
  • rendszeres biztonsági frissítések;
  • tűzfal és DDoS-védelem (Shopify infrastruktúra);
  • az adatfeldolgozókkal kötött adatfeldolgozói szerződések, amelyek megfelelő biztonsági szintet írnak elő.

11. Adatvédelmi incidens

Adatvédelmi incidens esetén az Adatkezelő – ha az incidens valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve – a tudomásszerzést követő 72 órán belül bejelenti az incidenst a vezető felügyeleti hatóságnak (Úrad na ochranu osobných údajov SR), valamint amennyiben az incidens magas kockázattal járhat, közvetlenül tájékoztatja az érintetteket is.

12. Jogorvoslati lehetőségek

Amennyiben az érintett úgy ítéli meg, hogy az Adatkezelő adatkezelése sérti a GDPR vagy az Infotv. rendelkezéseit:

12.1. Az érintett panaszt nyújthat be a felügyeleti hatóságnál. A vezető felügyeleti hatóság:

  • Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, Szlovákia
  • E-mail: statny.dozor@pdp.gov.sk
  • Honlap: www.dataprotection.gov.sk

12.2. A magyar érintett választása szerint a magyar felügyeleti hatósághoz is fordulhat:

  • Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
  • Cím: 1055 Budapest, Falk Miksa u. 9–11.
  • Levelezési cím: 1363 Budapest, Pf. 9.
  • Telefon: +36 (1) 391-1400
  • E-mail: ugyfelszolgalat@naih.hu
  • Honlap: www.naih.hu

12.3. Az érintett a GDPR 79. cikke alapján bírósághoz is fordulhat. A magyar érintett a perét – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt indíthatja meg (Infotv. 23. §).

13. A Tájékoztató módosítása

Az Adatkezelő fenntartja a jogot a jelen Tájékoztató bármikori módosítására. A módosított Tájékoztató a Weboldalon történő közzétételével lép hatályba. Lényeges változás esetén az Adatkezelő az érintetteket külön is értesíti.

Hatályos: 2026. május 26.

Hevisleep s.r.o.