Adatkezelési Tájékoztató 

Dokumentum verzió: 2.1 | Készült: 2025.06.12. | Hatályos: 2025.10.29. | Következő felülvizsgálat: 2025.11.30.

Preambulum

Jelen Adatkezelési Tájékoztató célja, hogy közérthető és átlátható formában bemutassa, hogyan történik a természetes személyek személyes adatainak kezelése a Megrendelő (a továbbiakban: Adatkezelő) által nyújtott szolgáltatásokkal, weboldalhasználattal, elektronikus kommunikációval, üzleti kapcsolattartással, ajánlatkéréssel, panaszkezeléssel és marketingtevékenységgel összefüggésben.

A Tájékoztató minden olyan természetes személyre (a továbbiakban: Érintett) vonatkozik, aki bármilyen formában kapcsolatba lép a FundMentor brand mögött álló vállalkozással (Tóth Eszter Ev, 1148 Budapest, Jerney utca 39., 90710155-1-42) – továbbiakban: Adatfeldolgozó- – ideértve különösen, de nem kizárólagosan: a weboldal megtekintését, kapcsolatfelvételt, ajánlatkérést, hírlevélre való feliratkozást, panasz benyújtását vagy szerződés megkötését. A weboldal használatával, az Adatkezelő elérhetőségeinek igénybevételével, valamint a szolgáltatások iránti érdeklődés kifejezésével az Érintett elismeri, hogy megismerte és elfogadta a jelen Adatkezelési Tájékoztató és az Általános Szerződési Feltételek rendelkezéseit.

Az Adatfeldolgozó az adatkezelési tevékenysége során a hatályos európai uniós és magyar jogszabályoknak – különösen az (EU) 2016/679 számú általános adatvédelmi rendeletnek (GDPR), valamint a 2011. évi CXII. törvénynek (Infotv.) – megfelelően jár el, és minden tőle elvárhatót megtesz az érintettek személyes adatainak védelme érdekében.

A jelen Tájékoztató részletesen bemutatja az adatkezelés céljait, jogalapját, időtartamát, az adatkezelés során érintett személyes adatok körét, az adattovábbítás lehetőségét, valamint az Érintettet megillető jogokat és azok gyakorlásának módját.

A Tájékoztató minden olyan természetes személyre vonatkozik, aki az Adatfeldolgozó szolgáltatásait igénybe veszi, ajánlatot kér, kapcsolatba lép az Adatfeldolgozóval, vagy bármilyen módon személyes adatot bocsát rendelkezésére.

A Tájékoztató célja továbbá annak biztosítása, hogy az érintettek megismerjék az adatkezelés célját, jogalapját, időtartamát, az adatok címzettjeit, valamint az őket megillető jogokat és azok érvényesítésének módját. Az Adatfeldolgozó minden adatkezelési tevékenységét a vonatkozó jogszabályoknak megfelelően, az érintettek jogainak tiszteletben tartásával végzi.

Az Adatkezelési Tájékoztató és az Általános Szerződési Feltételek (ÁSZF) kapcsolata

Jelen Adatkezelési Tájékoztató a Szolgáltató mindenkor hatályos Általános Szerződési Feltételeinek (ÁSZF) szerves részét képezi, és azzal egységes értelmezési keretben alkalmazandó.

Az ÁSZF rendelkezései – különösen a szerződéskötés, megszűnés, módosítás, panaszkezelés, felelősség és egyéb, a jogviszonyt meghatározó szabályok – kiterjednek az adatkezeléssel kapcsolatos folyamatokra is, amennyiben az Adatkezelési Tájékoztató e körben nem rendelkezik eltérően.

Amennyiben jelen Tájékoztató és az ÁSZF rendelkezései között adatkezelési tárgyú ellentmondás merülne fel, az Adatkezelési Tájékoztató rendelkezései élveznek elsőbbséget az adatvédelemre és adatkezelésre vonatkozó kérdésekben.

Adatfeldolgozó fenntartja a jogot, hogy az Adatkezelési Tájékoztatót önállóan is módosítsa, a hatályos jogszabályok változására vagy üzleti folyamatai átalakulására tekintettel, az Érintettek megfelelő tájékoztatása mellett.

Az Adatfeldolgozó adatai

Az adatkezelő a jelen Adatkezelési Tájékoztatóban meghatározott személyes adatok kezelése tekintetében a következő szervezet:

Cégnév: Tóth Eszter EV

Székhely: 1148 Budapest, Jerney utca 39.

Adószám: 90710155-1-42

Nyílvántartási szám: 60037842

Weboldal: https://fundmentor.hu/

Email: info.fundmentor(kukac) gmail (pont) com

Telefonszám: 3630/848-7173

• Továbbiakban: Adatfeldolgozó – 

Az Adatkezelő és az Adatfeldolgozó együttműködésének alapelvei

Az együttműködés célja és keretei

Jelen Adatkezelési Tájékoztató egyik elsődleges célja, hogy átlátható módon ismertesse azokat az elveket, folyamatokat és kötelezettségeket, amelyek az Adatkezelő és az általa megbízott Adatfeldolgozó között fennállnak, amikor személyes adatok kezelésére és feldolgozására kerül sor.

Az adatkezelési tevékenységek minden olyan természetes személyt érinthetnek (a továbbiakban: Érintett), aki:

• meglátogatja az Adatfeldolgozó weboldalát (pl. https://www.fundmentor.hu),
• kapcsolatba lép az Adatfeldolgozóval (pl. kapcsolatfelvételi űrlap, e-mail, telefon),
• ajánlatot kér, érdeklődik, panaszt nyújt be, vagy
• szerződéses jogviszonyba kerül az Adatfeldolgozóval.

Az Érintett nemcsak megrendelő, hanem lehet érdeklődő, potenciális ügyfél, partnert képviselő személy, munkatárs vagy akár weboldal-látogató is.

Szerepkörök meghatározása

Adatkezelő: Az a szervezet, amely önállóan határozza meg a személyes adatok kezelésének célját, jogalapját és módját, és saját nevében felelős az adatkezelésért.

Adatfeldolgozó: Az a természetes vagy jogi személy, amely az Adatkezelő megbízásából, annak utasításai szerint és érdekében személyes adatokat kezel, feldolgoz, továbbít vagy tárol, de saját nevében és céljaira nem kezelheti azokat.

Az Adatfeldolgozó nem jogosult:

• önálló adatkezelési döntések meghozatalára,
• a kezelés céljának vagy jogalapjának megváltoztatására,
• az adatokat saját célra felhasználni.

Az Adatfeldolgozó kizárólag az Adatkezelő által dokumentált utasítások alapján jár el, és köteles betartani minden alkalmazandó jogszabályt, különösen a GDPR rendelkezéseit.

A jogviszony jogalapja

Az Adatkezelő és az Adatfeldolgozó közötti együttműködés írásban szabályozott, amelynek célja, hogy a személyes adatok kezelése minden esetben megfeleljen az (EU) 2016/679 általános adatvédelmi rendelet (GDPR), a 2011. évi CXII. törvény (Infotv.), valamint az egyéb alkalmazandó magyar és uniós jogszabályok előírásainak.

Az adatkezelés és adatfeldolgozás elvei

Az Adatkezelő és az Adatfeldolgozó minden adatkezelési műveletet a 2016/679/EU rendelet (GDPR) 5. cikkében foglalt elveknek megfelelően végez, biztosítva az Érintettek jogainak védelmét és az átlátható adatkezelést.

• Jogszerűség, tisztességes eljárás és átláthatóság – Az adatkezelés csak megfelelő jogalap (pl. hozzájárulás, szerződés teljesítése, jogi kötelezettség stb.) alapján történhet, átlátható módon, az Érintettek számára érthetően és hozzáférhetően.
• Célhoz kötöttség – Személyes adat kizárólag meghatározott, világos és jogszerű célból kezelhető. Az adatok további kezelése csak e célokkal összeegyeztethető módon történhet.
• Adattakarékosság – Csak olyan adat kerül rögzítésre, amely az adatkezelés céljának eléréséhez szükséges, releváns és arányos.
• Pontosság – Az Adatfeldolgozó törekszik arra, hogy a kezelt adatok pontosak és naprakészek legyenek, és haladéktalanul törli vagy helyesbíti a pontatlan adatokat.
• Korlátozott tárolhatóság – A személyes adatokat csak addig őrizzük, amíg az adatkezelés célja megköveteli. A cél megszűnését követően az adatok törlésre vagy anonimizálásra kerülnek.
• Integritás és bizalmas kezelés – Az Adatkezelő és az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel védi az adatokat a jogosulatlan hozzáférés, módosítás, továbbítás, törlés vagy megsemmisítés ellen.
• Elszámoltathatóság – Az Adatfeldolgozó felelősséggel tartozik az adatkezelési alapelvek betartásáért, és köteles az ennek való megfelelést dokumentáltan igazolni.

Az adatkezelés jogalapjai

Az Adatfeldolgozó adatkezelési tevékenységeit az alábbi GDPR 6. cikk (1) bekezdés szerinti jogalapokra támaszkodva végzi:

• az Érintett hozzájárulása (pl. hírlevélre való feliratkozás, marketingcélú megkeresések);
• a szerződés teljesítése vagy előkészítése (pl. szolgáltatás megrendelése, kapcsolattartás);
• az Adatfeldolgozó háruló jogi kötelezettség teljesítése (pl. számviteli vagy fogyasztóvédelmi kötelezettségek);
• az Adatfeldolgozó vagy harmadik fél jogos érdeke, amennyiben az nem sérti az Érintett jogait és szabadságait (pl. visszaélések megelőzése, belső adminisztráció, szolgáltatás fejlesztése).

E jogalapok megválasztása mindig az adott adatkezelési célnak megfelelően történik, és az Adatfeldolgozó köteles dokumentálni és indokolni a jogalap megválasztását.

Az adatkezelési jogviszony alapját képező dokumentumok

Az Adatkezelő és az Adatfeldolgozó közötti adatkezelési kapcsolat jogszerűségét az alábbi dokumentumok együttesen biztosítják. E dokumentumok közösen határozzák meg az adatkezelés célját, terjedelmét, jogalapját, időtartamát, az érintett személyes adatok körét, az adatbiztonsági követelményeket, valamint az Adatkezelő és az Adatfeldolgozó felelősségi körét és kötelezettségeit:

Kötelező szerződéses és tájékoztató dokumentumok

• Írásbeli szerződés a Felek között (pl. megbízási, vállalkozási, keretszerződés vagy egyedi teljesítési szerződés): az adatkezelés célját, típusát, időtartamát, az adatkezeléshez kapcsolódó konkrét feladatokat és a biztonsági előírásokat határozza meg.
• Adatfeldolgozói megállapodás vagy külön szerződésmelléklet: részletezi az Adatfeldolgozó feladatait, jogait és kötelezettségeit, továbbá szabályozza az adattovábbítás, -tárolás, -törlés és incidenskezelés rendjét.
• Általános Szerződési Feltételek (ÁSZF): nyilvánosan elérhető dokumentum, amely az adatkezelésre vonatkozó általános szabályokat, felelősségvállalást, elállási és panaszkezelési feltételeket, valamint esetleges titoktartási kötelezettségeket is tartalmazhat.
• Jelen Adatkezelési Tájékoztató: részletes információkat nyújt az Érintettek számára az adatkezelés céljáról, jogalapjáról, időtartamáról, jogaikról és azok gyakorlásának módjáról.

Kiegészítő dokumentumok, melyek támogatják az adatkezelés elszámoltathatóságát és átláthatóságát

• Érdekmérlegelési tesztek: abban az esetben készülnek, ha az adatkezelés jogalapja a GDPR 6. cikk (1) f) pont szerinti jogos érdek. A dokumentum igazolja, hogy az Adatkezelő jogos érdeke nem sérti az Érintett alapvető jogait és szabadságait.
• Titoktartási megállapodás(ok): Az adatkezelés során hozzáféréssel rendelkező személyek (különösen az Adatfeldolgozó, alvállalkozók, munkatársak stb.) titoktartási kötelezettségét a 3. számú melléklet – Titoktartási kötelezettség szabályozza.

Ez a melléklet az Adatkezelési Tájékoztató elválaszthatatlan részét képezi, és rögzíti a bizalmas információk védelmére vonatkozó kötelezettségeket. A felek között ezen felül külön titoktartási megállapodás is létrejöhet, amennyiben azt a szerződéses kapcsolat indokolja.

• Jogi nyilatkozat: a weboldalon közzétett dokumentum, amely kifejezetten tájékoztat a weboldal használatával kapcsolatos jogi feltételekről, köztük az adatkezeléssel kapcsolatos felelősségi körökről, az IP- és szerzői jogok kezeléséről, és az információk használatának korlátairól.
• Impresszum: az Adatfeldolgozó azonosítását és elérhetőségét szolgáló hivatalos dokumentum, amely gyakran tartalmazza az adatvédelmi kapcsolattartó adatait is, ezzel támogatva a transzparenciát és a kapcsolatfelvétel lehetőségét.

Megjegyzés

Az elszámoltathatóság elve alapján az Adatfeldolgozó köteles biztosítani, hogy az adatkezelésre vonatkozó minden szabályozás és belső dokumentáció teljeskörű, naprakész és egymással konzisztens legyen. A dokumentumok együttese egyértelműen és bizonyítható módon igazolja a GDPR-nak való megfelelést és az Érintettek jogainak érvényesülését.

Automatizált döntéshozatal és profilalkotás

Az Adatfeldolgozó semmilyen olyan adatkezelési műveletet nem végez, amely automatizált döntéshozatalt vagy profilalkotást valósítana meg az Érintettre nézve.

Az Érintett személyes adatait nem használjuk fel automatizált döntések meghozatalára, ideértve a kizárólag automatizált adatkezelésen alapuló döntéseket sem, amelyek jogi hatással lennének rá, vagy hasonló módon jelentős mértékben érintenék.

Ez azt jelenti, hogy az Adatfeldolgozó adatkezelési gyakorlata nincs hatással az Érintett jogaira, szabadságaira vagy jogos érdekeire ilyen formában.

Gyermekek adatainak kezelése

Az Adatfeldolgozó szolgáltatásai kizárólag üzleti partnerek (jogi személyek), alapítványok és kis- és középvállalkozások számára érhetők el. A szolgáltatás nem irányul gyermekekre, különösen 16 év alatti természetes személyekre nem célzott, és az Általános Szerződési Feltételek (ÁSZF) egyértelműen kizárja őket a célközönség köréből.

Ennek megfelelően az Adatfeldolgozó nem gyűjt és nem kezel kiskorúakra vonatkozó személyes adatokat. Amennyiben mégis kiderül, hogy a rendszerbe gyermekek adatai kerültek, azokat az Adatfeldolgozó haladéktalanul törli az adatkezelési szabályzatban foglaltak szerint.

Az Adatfeldolgozó kötelezettségei

Az Adatfeldolgozó kizárólag az Adatkezelő dokumentált vagy hallgatólagos (pl. weboldalhasználatból fakadó) utasításai alapján, az adatkezelés céljának megfelelően jogosult eljárni. Az adatokat saját célból nem használhatja fel.

Az Adatfeldolgozó köteles:

• Az adatkezelést kizárólag az Adatkezelő céljaihoz igazodva végezni, a mindenkori hatályos jogszabályok és jelen Tájékoztató előírásai szerint;
• Megfelelő technikai és szervezési intézkedéseket alkalmazni az adatok biztonságának és védelmének garantálása érdekében (pl. jogosultságkezelés, titkosítás, naplózás);
• Haladéktalanul értesíteni az Adatkezelőt minden észlelt vagy gyanított adatvédelmi incidensről, és együttműködni az elhárításban, kárenyhítésben, hatósági jelentésben;
• Támogatni az Adatkezelőt az Érintettek jogainak gyakorlásában, különösen a hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás, illetve adatportabilitás esetén;
• A jogviszony megszűnésekor az Adatkezelő rendelkezése szerint az adatokat visszaszolgáltatni vagy biztonságosan, visszaállíthatatlanul törölni;
• Elszámoltatható módon működni, és kérés esetén az adatkezelési tevékenységekre vonatkozó releváns dokumentumokat, nyilvántartásokat hozzáférhetővé tenni az Adatkezelő vagy hatóság részére;
• Alvállalkozót bármikor bevonni, azonban az alvállalkozók adatkezelési tevékenységéért az Adatfeldolgozó teljes körű felelősséget vállal, és biztosítja, hogy azok is megfeleljenek a jelen Tájékoztatóban és a vonatkozó jogszabályokban előírt feltételeknek.

Adatvédelmi tisztviselő

Neve: Tóth Eszter
Email: info.fundmentor@gmail.com
Telefonszám: 3630/848-7173

A személyes adatok forrása

Az Adatkezelő a személyes adatokat az alábbi forrásokból szerzi be:

• Közvetlenül az Érintettől, például kapcsolatfelvétel, hírlevél-feliratkozás, szerződéskötés vagy egyéb kommunikáció során.
• A weboldal látogatásával kapcsolatos automatikusan gyűjtött adatokból, ideértve a sütik, naplófájlok és analitikai eszközök által gyűjtött technikai adatokat. A weboldal használatával az Érintett elfogadja a mindenkor hatályos Adatkezelési Tájékoztató rendelkezéseit.
• Nyilvánosan elérhető forrásokból, mint például cégnyilvántartás, közösségi média felületek, nyilvános weboldalak, együttműködő partnerek – kizárólag olyan esetekben, ahol az Érintett az adatokat maga tette közzé.
• Harmadik felektől vagy együttműködő partnerektől, akik jogszerűen továbbítják az adatokat az Adatfeldolgozó részére, és erre megfelelő jogalappal rendelkeznek.

Amennyiben a személyes adat nem közvetlenül az Érintettől származik, az Adatfeldolgozó az Érintettet a GDPR 14. cikkének megfelelően tájékoztatja az adatkezelés körülményeiről, ideértve az adat forrását, típusát, célját és jogalapját. Amennyiben az Adatfeldolgozó nem közvetlenül az Érintettől szerzi be a személyes adatokat, az adatkezelésre kizárólag a jelen Tájékoztatóban meghatározott célokból és jogalapokon kerül sor.

A Tájékoztató elfogadása és naprakészen tartása

Az Adatkezelési Tájékoztató elérhető az Adatfeldolgozó weboldalán, és az Adatfeldolgozó fenntartja a jogot, hogy az adatkezelési gyakorlat, jogszabályi változások vagy egyéb indok alapján azt módosítsa. Az Adatfeldolgozó az adatkezelési tájékoztató módosítását minden hónap első napján végzi el, amennyiben az indokolt.

Amennyiben a módosítás az Érintett adatkezelését is érinti (például új adatkezelési cél, új jogalap, adattovábbítás, vagy harmadik országba irányuló adattovábbítás esetén), az Adatkezelő legalább 5 nappal a módosítás hatályba lépése előtt az Érintett részére e-mailben tájékoztatást küld.

Az Érintett köteles a Tájékoztató mindenkor hatályos verzióját havonta legalább egyszer, lehetőség szerint minden hónap utolsó munkanapján ellenőrizni a weboldalon. A módosított Tájékoztató közzétételét követő első webhasználat, illetve a havi rendszeres látogatás az új feltételek hallgatólagos elfogadásának minősül.

Amennyiben az Érintett a módosítást nem fogadja el, úgy jogosult kérni a személyes adatainak törlését, amely esetben az Adatfeldolgozó megszünteti az adatkezelést – kivéve, ha annak további kezelése jogszabályon alapul, vagy jogi igények érvényesítéséhez, illetve védelméhez szükséges.

Az adatkezelés megszüntetése azzal is járhat, hogy az Érintett egyes szolgáltatásokat nem tud tovább igénybe venni, amennyiben azok a személyes adatok kezeléséhez kötöttek. Ebben az esetben az Érintett az Általános Szerződési Feltételekben (ÁSZF) meghatározottak szerint rendes felmondással élhet, és megszüntetheti a szerződéses kapcsolatot.

A felmondás nem érinti a már teljesített szolgáltatások díjazását, illetve a felmondásig keletkezett jogokat és kötelezettségeket.

Ez a gyakorlat biztosítja, hogy az Érintett folyamatosan naprakész információval rendelkezzen, és tudatos döntést hozhasson adatai sorsáról.

Adatkezelési folyamatok és érintettek kapcsolódási pontjai

Az adatkezelés kiterjed minden olyan esetre, amikor az Érintett közvetlenül vagy közvetetten kapcsolatba lép az Adatfeldolgozóval, ideértve az automatizált technikai adatgyűjtést is. Az adatkezelés célja, jogalapja és módja minden esetben megfelel a (EU) 2016/679 rendelet (GDPR) és a 2011. évi CXII. törvény (Infotv.) előírásainak.

Az adatkezelési folyamatok az alábbi érintkezési pontok mentén valósulnak meg:

• Weboldal látogatása: A rendszer automatikusan rögzíthet olyan technikai adatokat, mint az IP-cím, böngészőtípus, operációs rendszer, látogatás időpontja, valamint a meglátogatott oldalak címei (cookie-k vagy naplófájlok útján).
• Kapcsolatfelvétel elektronikus úton: Ide tartozik az e-mailes vagy telefonos megkeresés, valamint az online kapcsolatfelvételi űrlap kitöltése. Az Érintett által önkéntesen megadott adatok (pl. név, e-mail cím, telefonszám, üzenet tartalma) az ügykezelés céljából kerülnek felhasználásra.
• Közösségi média csatornák használata: Ha az Érintett üzenetet küld az Adatfeldolgozó hivatalos közösségi média platformján (pl. Facebook, LinkedIn), az ott megadott adatok a kapcsolatfelvétel lebonyolításához kerülnek kezelésre.
• Hírlevél-feliratkozás: Az Érintett által megadott név és e-mail cím kezelése kizárólag hozzájárulás alapján történik, a rendszeres tájékoztatás és marketingcélú kommunikáció érdekében.
• Szerződéskötés vagy annak előkészítése: Az adatkezelés jogalapja a szerződés teljesítéséhez szükséges adatkezelés (GDPR 6. cikk (1) bek. b) pont), és kiterjedhet például névre, címre, elérhetőségekre, számlázási adatokra, projekt-specifikus információkra.
• Panaszkezelés, jogérvényesítés: Az adatkezelés jogalapja lehet jogos érdek, jogi kötelezettség teljesítése vagy az érintett hozzájárulása. Az így kezelt adatok célja az ügy dokumentálása, megoldása és a kapcsolódó kötelezettségek teljesítése.

Minden adatkezelés során csak olyan személyes adat kerül rögzítésre és kezelésre, amely az adott cél eléréséhez szükséges, releváns és arányos, az adattakarékosság elvét szem előtt tartva.

Ajánlatkéréssel összefüggésben megvalósuló adatkezelés 

Az Adatfeldolgozó online termékértékesítési tevékenysége során a hozzá beérkező ajánlatkérések kapcsán személyes adatokat kezel. Az ajánlatkérés az Adatfeldolgozó székhelyén, a https://www.fundmentor.hu weboldalon, a közösségi média felületeken, CRM formon illetve e-mail elérhetőségein keresztül történhet. Az Adatfeldolgozó kizárólag az ajánlat eredményes elkészítéséhez szükséges személyes adatokat kezeli, és minden esetben törekszik az adatok biztonságos és jogszerű kezelésére. 

Az ajánlatkéréssel kapcsolatban kezelt személyes adatok: vezeték- és keresztnév, titulus, e-mail cím, telefonszám, munkahely, beosztás, valamint egyéb, az ajánlatkérő által rendelkezésre bocsátott személyes adatok. Ezek az adatok kizárólag az érintettől származnak. 

Az adatkezelés célja: előzetes egyeztetés és ajánlatkérés teljesítése. Az adatkezelés jogalapja: 

• Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés b) pontja, amely szerint az Adatfeldolgozó és az érintett között a szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele szükséges. 
• Jogi személyek kapcsolattartói adatainak kezelése, valamint jog vagy igényérvényesítés esetén az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekeit szolgálja. 

Az adatkezelés időtartama: 

Az adatok az üzleti kapcsolat megszűnését követő 5 évig kerülnek megőrzésre, amely az általános jogérvényesítési elévülési határidőnek felel meg. A jogérvényesítésre rendelkezésre álló általános elévülési idő, vagy az alkalmazandó jogszabály által meghatározott hosszabb megőrzési idő lejártával az adatok helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítés során szükséges adatokat. 

Az adatokat az Adatfeldolgozó kezeli, harmadik fél számára azok nem kerülnek továbbításra, kivéve: 

• Az érintett és az Adatfeldolgozó közötti szerződés eltérő rendelkezése esetén,
• Jog- vagy igényérvényesítési célból, illetve hatósági vagy bírósági eljárások során. 

Az Adatfeldolgozó kizárólag elektronikus adatkezelést végez, és nem hoz kizárólag automatizált döntéseket az érintettekkel kapcsolatban. Az adatok alapján profilalkotás nem történik. 

Az Adatfeldolgozó fenntartja a jogot, hogy a tájékoztatót bármikor egyoldalúan módosítsa, és erről az érintetteket tájékoztatja. 

Szerződés teljesítésével, termékértékesítéssel, átadás-átvétellel és szervizszolgáltatással összefüggésben megvalósuló adatkezelés 

Az Adatfeldolgozó online termékértékesítési tevékenysége során a megrendelt termékekkel, valamint a Ptk. XXIV. fejezetében foglalt szavatossági igények biztosításával kapcsolatosan végzi az Adatkezelő által rendelkezésre bocsátott személyes adatok feldolgozását. 

Az adatfeldolgozás során az Adatfeldolgozó kizárólag az Adatkezelő utasításai alapján jár el, és csak azokat a személyes adatokat kezeli, amelyek a szerződés teljesítéséhez szükségesek. 

Kezelt személyes adatok köre: 

1. Természetes személyek és egyéni vállalkozók esetén: 

○ Vezetéknév, keresztnév 

○ Titulus 

○ Születési név 

○ Születési hely, idő 

○ Anyja neve 

○ Lakcím 

○ Személyi igazolvány szám 

○ Adószám 

○ Egyéni vállalkozói nyilvántartási szám 

○ Székhely, telephely címe

○ Telefonszám 

○ E-mail cím 

○ Bankszámlaszám 

○ Szerződésben érintett ingatlan címe 

○ Egyéb, az érintett által az Adatkezelő vagy az Adatfeldolgozó tudomására hozott adatok. 

2. Jogi személyek kapcsolattartói esetén: 

○ Vezetéknév, keresztnév 

○ Titulus 

○ Munkahely, beosztás, munkakör 

○ Székhely, telephely címe 

○ Telefonszám 

○ E-mail cím 

○ Szerződésben érintett ingatlan címe 

3. 3. Profilokhoz kapcsolódó adatok (ha releváns): 

○ LinkedIn, Facebook és Instagram profilhoz tartozó, az érintett által megadott felhasználónév és jelszó. 

4. Egyedi szoftverekhez kapcsolódó adatok: 

○ Adatkezelőhöz tartozó, az érintett által megadott felhasználónév és jelszó. Az adatfeldolgozás célja: 

• Szerződés teljesítése és a megrendelések feldolgozása. 

Az adatfeldolgozás jogalapja: 

• GDPR 6. cikk (1) bekezdés b) pontja, amely szerint az adatfeldolgozás az Adatkezelő és az érintett között létrejött szerződés teljesítéséhez szükséges. 
• GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekében történik, különösen jogi személyek kapcsolattartói adatainak kezelése és igényérvényesítés céljából. 

Az adatfeldolgozás időtartama: 

Az adatok az üzleti kapcsolat megszűnését követő 5 évig őrzik meg, amely az általános jogérvényesítési elévülési határidőnek felel meg. A jogérvényesítésre rendelkezésre álló

elévülési idő vagy jogszabály által meghatározott hosszabb megőrzési idő lejártával az adatok helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítési célból szükséges adatokat. 

Adatokhoz való hozzáférés és továbbítás: 

• Az adatokhoz elsődlegesen az Adatfeldolgozó fér hozzá. 
• Harmadik fél számára adattovábbítás kizárólag az Adatkezelő kifejezett utasítására, vagy jogi és hatósági eljárások keretében történhet. 
• Az adatok továbbíthatók a könyvelést, könyvvizsgálatot faktoringot vagy adószakértői tevékenységet végző harmadik fél részére, amely az Adatkezelő által igénybe vett Adatfeldolgozóként működik. 

Adatkezelési módszerek: 

• Az Adatfeldolgozó elektronikusan, szerződésnyilvántartásban kezeli az adatokat. 
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Átadás-átvételi nyilatkozattal összefüggésben megvalósuló adatkezelés 

A Megrendelő mint Adatkezelő főtevékenysége körében végzett átadás-átvételi nyilatkozatok kapcsán a Vállalkozás mint Adatfeldolgozó az alábbi személyes adatokat kezeli az Adatkezelő utasításai alapján: 

Kezelt személyes adatok köre: 

• Vezetéknév, keresztnév 
• Titulus 
• Születési hely, idő 
• Anyja neve 
• Személyi igazolvány szám 
• E-mail cím 
• Telefonszám
• Bankszámlaszám 
• Az érintett által közölt egyéb személyes adatok 
• Aláírás 

A kezelt személyes adatok forrása: az érintett. 

Az adatkezelés célja: 

Az Adatfeldolgozó főtevékenysége körében felmerülő átadás-átvétel biztosítása, a szerződés teljesítése. 

Az adatkezelés jogalapja: 

• GDPR 6. cikk (1) bekezdés b) pontja, amely alapján az adatkezelés az Adatkezelő és az érintett között a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételére, valamint a szerződés teljesítésére irányul. 
• GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekét szolgálja, különösen jogi személyek kapcsolattartói adatainak kezelése és jogi igények érvényesítése céljából. 

Az adatkezelés időtartama: 

Az adatok az üzleti kapcsolat megszűnését követő 5 évig kerülnek megőrzésre, amely az általános jogérvényesítési elévülési határidőnek felel meg. A hosszabb jogszabályi előírásoknak megfelelően az adatok ezen időszakot követően helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítési célból szükséges adatokat. 

Adatokhoz való hozzáférés és továbbítás: 

• Az adatokat elsődlegesen az Adatfeldolgozó kezeli az Adatkezelő utasításai alapján. 
• Harmadik fél számára történő adattovábbítás kizárólag az Adatkezelő külön utasítása, vagy jogszabály által előírt hatósági eljárások keretében történhet. 

Adatkezelési módszerek:

• Az Adatfeldolgozó az adatokat manuálisan (papír alapon) és elektronikusan kezeli az Adatkezelő utasításainak megfelelően. 
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Számlakiállítással összefüggésben megvalósuló adatkezelés 

A Megrendelő mint Adatkezelő főtevékenysége körében történő számlakiállítás során a Vállalkozás mint Adatfeldolgozó az alábbiak szerint kezeli az Adatkezelő utasításai alapján a személyes adatokat: 

Kezelt személyes adatok köre: 

• Vezetéknév, keresztnév 
• Titulus 
• Lakcím 
• Email cím 
• Telefonszám 
• Az érintett által közölt egyéb személyes adatok 

A kezelt személyes adatok forrása: az érintett. 

Az adatkezelés célja: 

A számlázással kapcsolatos jogszabályi kötelezettségek teljesítése az Adatkezelő főtevékenysége körében. 

Az adatkezelés jogalapja: 

• GDPR 6. cikk (1) bekezdés c) pontja, amely alapján az Adatkezelő jogszabályi kötelezettségeit (pl. Áfa tv., Számviteli törvény) teljesíti. 
• GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekét szolgálja, különösen jogi személyek kapcsolattartói adatainak kezelése és jogi igények érvényesítése céljából.

Adatkezelés időtartama: 

Az adatokat a jogszabályi kötelezettségek alapján legalább 8 évig, illetve az aktuális adó és számviteli jogszabályokban meghatározott időtartamig kell megőrizni. A jogszabályban előírt megőrzési idő lejártával az adatok helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítési célból szükséges adatokat. 

Adatokhoz való hozzáférés és továbbítás: 

• A számlázással kapcsolatos adatokhoz elsődlegesen az Adatfeldolgozó fér hozzá az Adatkezelő utasításai alapján. 
• Az adatok továbbíthatók a könyvelést, könyvvizsgálatot faktoringot vagy adószakértői tevékenységet végző harmadik fél részére, amely az Adatkezelő által igénybe vett Adatfeldolgozóként működik. 
• Harmadik félnek történő adattovábbítás kizárólag jogszabály alapján, jogi vagy hatósági eljárások során történhet. 

Adatkezelési módszerek: 

• Az Adatfeldolgozó az adatokat elektronikusan kezeli az Adatkezelő utasításai alapján. 
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Ez az adatkezelés biztosítja, hogy a számlázási folyamat során az Adatkezelő jogszabályi kötelezettségei teljesüljenek, az adatok biztonságos feldolgozása pedig az Adatfeldolgozó felelősségi körébe tartozik. 

Panaszkezeléssel összefüggésben megvalósuló adatkezelés 

A Megrendelő mint Adatkezelő főtevékenysége során fogadja a hozzá írásban (weboldalon, közösségi média felületeken, postai úton vagy e-mailben) érkező panaszokat. A Vállalkozó mint Adatfeldolgozó a panaszok kezelése során az Adatkezelő utasításai alapján az alábbi személyes adatokat kezeli: 

Kezelt személyes adatok köre:

• Panaszos vezeték- és keresztnév 
• Titulus 
• Email 
• Telefonszám 
• Lakcím 
• A panasszal kapcsolatban közölt egyéb személyes adat 
• Ügyszám 
• Aláírás 
• Meghatalmazott közreműködése esetén a meghatalmazott személy: ○ Vezetéknév, keresztnév 

○ Titulus 

○ Születési hely, idő 

○ Anyja neve 

• Az érintett által közölt egyéb személyes adatok 

A kezelt személyes adatok forrása: az érintett. 

Az adatkezelés célja: 

A panasz kivizsgálása és orvoslása. 

Az adatkezelés jogalapja: 

• GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekét szolgálja. 

Adatkezelés időtartama: 

A panasz orvoslásának idejéig, de legfeljebb az igényérvényesítés általános elévülési idejéig (5 év). A jogszabályi előírások által meghatározott hosszabb megőrzési idő lejártával az adatok helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítési célból szükséges adatokat. 

Adatokhoz való hozzáférés és továbbítás: 

• A panaszkezeléssel kapcsolatos személyes adatokhoz elsődlegesen az Adatfeldolgozó fér hozzá az Adatkezelő utasításai alapján.
• Harmadik fél számára történő adattovábbítás kizárólag jogszabály alapján, illetve jogi vagy hatósági eljárások során történhet. 

Adatkezelési módszerek: 

• Az Adatfeldolgozó az adatokat elektronikusan és manuálisan (papír alapon) kezeli.
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Ez a folyamat biztosítja, hogy a panaszkezelés jogszabályoknak megfelelően, az érintettek jogainak figyelembevételével történjen, miközben az Adatkezelő érdekei és kötelezettségei maradéktalanul érvényesülnek. 

Megkeresésekkel, észrevételekkel összefüggésben megvalósuló adatkezelés 

A Megrendelő mint Adatkezelő főtevékenysége során fogadja a hozzá írásban (weboldalon, közösségi média felületeken, postai úton vagy e-mailben) érkező megkereséseket, javaslatokat és észrevételeket. A Vállalkozás mint Adatfeldolgozó az Adatkezelő utasításai alapján kezeli az alábbi személyes adatokat: 

Kezelt személyes adatok köre: 

• Érintett vezeték- és keresztnév 
• Titulus 
• Email 
• Telefonszám 
• Lakcím 
• Az érintett által közölt egyéb személyes adatok 
• Aláírás 

A kezelt személyes adatok forrása: az érintett. 

Az adatkezelés célja: 

• Szolgáltatás fejlesztése
• Kapcsolattartás az érintettel 

Az adatkezelés jogalapja: 

• GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekét szolgálja, különösen a szolgáltatás minőségének javítása és az érintettekkel való kapcsolat fenntartása céljából. 

Adatkezelés időtartama: 

Az adatokat az igényérvényesítés általános elévülési idejéig (5 év) őrzik meg. A jogszabály által meghatározott hosszabb megőrzési idő lejártával az adatok helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítési célból szükséges adatokat. 

Adatokhoz való hozzáférés és továbbítás: 

• A megkeresésekkel és észrevételekkel kapcsolatos adatokhoz elsődlegesen az Adatfeldolgozó fér hozzá az Adatkezelő utasításai alapján. 
• Harmadik fél számára történő adattovábbítás kizárólag jogszabály alapján, illetve jogi vagy hatósági eljárások során történhet. 

Adatkezelési módszerek: 

• Az Adatfeldolgozó az adatokat elektronikusan és manuálisan (papír alapon) kezeli az Adatkezelő utasításai szerint. 
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Ez a folyamat biztosítja, hogy az Adatkezelő főtevékenységének támogatása érdekében a megkeresések és javaslatok kezelése jogszabályoknak megfelelően történjen, az érintettek jogainak figyelembevételével.

Direkt marketing és targetált direkt marketing tevékenységgel összefüggő adatkezelés 

A Megrendelő mint Adatkezelő online termékértékesítési tevékenysége és szolgáltatásai kapcsán végzett direkt marketing és targetált direkt marketing tevékenység során a Vállalkozá mint Adatfeldolgozó az Adatkezelő utasításai alapján az alábbi személyes adatokat kezeli: 

Kezelt személyes adatok köre: 

• Érintett vezeték- és keresztnév 
• Titulus 
• Lakcím 
• Székhely 
• Telephely címe 
• Telefonszám 
• E-mail cím 
• Az érintett által közölt egyéb személyes adatok 

A kezelt személyes adatok forrása: az érintett. 

Az adatkezelés célja: 

Az Adatkezelő és az érintett közötti szerződéses viszony folyamatos, megújuló vagy megismétlődő teljesítésével, valamint a megrendelés teljesítésével kapcsolatos kommunikáció és kapcsolattartás biztosítása. 

Az adatkezelés jogalapja: 

• GDPR 6. cikk (1) bekezdés a) pontja, valamint 9. cikk (2) bekezdés a) pontja, amelyek alapján az adatkezelés az érintett kifejezett hozzájárulásán alapul.
• GDPR 6. cikk (1) bekezdés f) pontja, amely az Adatkezelő jogos érdekét szolgálja, különösen jogi személyek kapcsolattartói adatainak kezelése és jogi igények érvényesítése céljából.

Adatkezelés időtartama: 

Az adatokat az érintettek tiltakozási jogának gyakorlásáig kezelik, de legfeljebb a szerződéses vagy üzleti kapcsolat megszűnésétől számított 5 évig (általános jogérvényesítési elévülési idő). A jogszabály által meghatározott hosszabb megőrzési idő lejártával az adatok helyreállíthatatlanul törlésre kerülnek, kivéve az esetleges jog- vagy igényérvényesítési célból szükséges adatokat. 

Adatokhoz való hozzáférés és továbbítás: 

• A marketing tevékenységgel kapcsolatos adatokhoz elsődlegesen az Adatfeldolgozó fér hozzá az Adatkezelő utasításai alapján. 
• Harmadik fél számára történő adattovábbítás kizárólag jogszabály alapján, illetve jogi vagy hatósági eljárások során történhet. 

Adatkezelési módszerek: 

• Az Adatfeldolgozó az adatokat manuálisan (papír alapon) és elektronikusan kezeli az Adatkezelő utasításai szerint. 
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Ez a folyamat biztosítja, hogy a direkt marketing és targetált direkt marketing tevékenységek során az érintettek adatai a jogszabályoknak megfelelően, az Adatkezelő iránymutatása alapján kerüljenek felhasználásra. 

Weboldalon végzett adatkezelés 

A Megrendelő mint Adatkezelő tájékoztatja az érintetteket, hogy az általa működtetett internetes oldalon és annak aloldalain a látogatottság mérésére, a látogatói viselkedés figyelésére, statisztikák készítésére, valamint hirdetései eredményességének mérésére a Vállalkozó mint Adatfeldolgozó az Adatkezelő utasításai alapján különböző eszközöket használ, például a Google Analytics, Google Ads, HotJar és Facebook hirdetéskezelés szolgáltatásait.

Ezek az eszközök cookie-k segítségével gyűjtenek adatokat, amelyekhez szükséges kódokat az Adatkezelő építette be a weboldalába. 

Kezelt személyes adatok köre 

• IP-cím 
• Kattintások 
• Böngészési adatok (pl. HotJar) 

Adatkezelési eszközök részletezése 

• Google Analytics: Az Adatkezelő statisztikai célokra használja, például a weboldal kampányainak eredményességének mérésére, látogatók számának és viselkedésének követésére. 
• Google Ads: Remarketing és konverziókövetés céljából alkalmazzák, amely lehetővé teszi, hogy a weboldal látogatói más platformokon is találkozhassanak az Adatkezelő hirdetéseivel. 
• HotJar: Az Adatkezelő a weboldal használhatóságának javítása érdekében használja ezt az eszközt, amely látogatói viselkedési adatokat rögzít (pl. kattintások, görgetési minták). Az adatok anonimizált formában kerülnek rögzítésre, így nem alkalmasak az érintettek azonosítására. 
• Facebook hirdetéskezelés: Az Adatkezelő célzott hirdetések megjelenítésére alkalmazza a Facebook rendszerét, amely a látogatók korábbi interakciói és érdeklődési körei alapján jelenít meg reklámokat. 

Adatkezelés célja 

• Az Adatfeldolgozó weboldalának és szolgáltatásainak népszerűsítése 
• Látogatottság mérése 
• A felhasználói élmény javítása 

Az adatkezelés jogalapja 

Az érintett hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont). 

Adatkezelés időtartama 

A cookie-k által gyűjtött adatok 30 napig kerülnek tárolásra, kivéve, ha az érintett a

hozzájárulását visszavonja. Az érintettek tiltakozhatnak a cookie-k használata ellen a böngészőjük beállításaiban. 

Adatokhoz való hozzáférés és továbbítás 

• A cookie-k által gyűjtött adatokhoz a Google, a HotJar és a Facebook férhet hozzá, mint harmadik fél. 
• Az Adatfeldolgozó az adatokat nem továbbítja más személyek részére, kivéve, ha bírósági vagy hatósági eljárás keretében jogszabályi kötelezettség áll fenn. 

Adatkezelési módszerek 

• Az Adatfeldolgozó az adatokat kizárólag elektronikus formában kezeli az Adatkezelő utasításainak megfelelően. 
• Az Adatfeldolgozó nem hoz kizárólag automatizált döntéseket, és nem végez profilalkotást az érintettekkel kapcsolatban. 

Ez a folyamat biztosítja, hogy az érintettek adatai a weboldalon végzett adatkezelés során jogszerűen és az érintettek hozzájárulása alapján kerüljenek felhasználásra, miközben az Adatkezelő iránymutatásait követik. 

Cookie-k kezelése

Az Adatfeldolgozó weboldala cookie-kat (sütiket) használ a felhasználói élmény javítása, valamint statisztikai és marketing célok érdekében. A sütik alkalmazására a vonatkozó jogszabályok, különösen a GDPR (2016/679/EU rendelet) és az ePrivacy irányelv (2002/58/EK módosítva a 2009/136/EK irányelvvel) előírásai az irányadók.

Az Érintett a weboldal látogatásakor egy cookie-értesítő felületen keresztül dönthet a sütik elfogadásáról, részleges jóváhagyásáról vagy elutasításáról. A rendszer a Cookiebot nevű szolgáltatást használja (ingyenes verzió), amely biztosítja a sütik kategorizálását, kezelését és a hozzájárulások naplózását.

A használt sütik pontos listája, élettartama, típusa (pl. szükséges, statisztikai, marketing), valamint azok célja a különálló Cookie-szabályzatban érhető el, amely a weboldalon keresztül folyamatosan elérhető.

A Cookiebot automatikusan frissíti a sütilistát, amely tartalmazza például az alábbi típusú sütiket:

• _ga – Google Analytics sütik a látogatottsági statisztikák mérésére.
• _fbp – Facebook pixel sütik remarketing célú adatgyűjtéshez.
• CookieConsent – a sütikre adott hozzájárulás rögzítése.

Az Érintett bármikor módosíthatja a cookie-beállításait, vagy visszavonhatja hozzájárulását a weboldal alján található „Süti beállítások” linken keresztül. A kizárólag statisztikai vagy marketing célú sütik csak az Érintett hozzájárulása után aktiválódnak.

Adatbiztonság

Az Adatkezelő és az Adatfeldolgozó kötelesek minden ésszerű technikai és szervezési intézkedést megtenni annak érdekében, hogy biztosítsák a személyes adatok bizalmasságát, sértetlenségét, rendelkezésre állását, valamint az érintettek jogainak védelmét.

Az Érintettek személyes adataihoz mindkét fél kizárólag a saját feladatköréhez tartozó tevékenységek elvégzése során, a szükséges mértékben férhet hozzá. Az adatkezelés minden szakaszában érvényesül az adattakarékosság, az alapértelmezett adatvédelem és az adatintegritás elve.

Technikai és szervezési intézkedések

Az Adatkezelő és az Adatfeldolgozó az alábbi intézkedéseket alkalmazzák az adatbiztonság garantálása érdekében:

• Személyes adatok álnevesítése és titkosítása, ahol ez arányos és technikailag megvalósítható.
• A rendszerek és szolgáltatások folyamatos bizalmasságának, integritásának, rendelkezésre állásának és ellenállóképességének biztosítása.
• Hozzáférés-szabályozás bevezetése: csak az arra jogosult személyek férhetnek hozzá a személyes adatokhoz.
• Incidens utáni helyreállítási mechanizmusok megléte fizikai vagy műszaki események esetére (pl. adatvesztés, hálózati hiba).
• Az adatkezelési rendszerek rendszeres tesztelése, értékelése és auditálása a biztonsági szint fenntartása érdekében.

Kockázatalapú megközelítés

Az Adatkezelő és az Adatfeldolgozó kockázatelemzést végeznek, amelynek célja:

• a lehetséges adatvédelmi incidensek és gyenge pontok azonosítása,
• a kockázatok súlyosságának és valószínűségének felmérése,
• megfelelő megelőző és válaszintézkedések meghatározása.

Figyelembe vett kockázati tényezők például:

• a személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése vagy módosítása;
• jogosulatlan hozzáférés vagy nyilvánosságra hozatal;
• rendszerszintű hibák, amelyek veszélyeztetik az adatok biztonságát.

Adatminimalizálás és alapértelmezett adatvédelem

Az Adatfeldolgozó biztosítja, hogy:

• csak az adott adatkezelési célhoz szükséges mennyiségű személyes adatot kezel;
• az adatkezelés időtartama és hozzáférési jogosultságai korlátozottak;
• az adatok alapértelmezés szerint ne váljanak hozzáférhetővé illetéktelen vagy meghatározatlan számú személy számára.

Adatpótlás és adatvesztés kezelése

Személyes adatok véletlen vagy technikai eredetű sérülése vagy megsemmisülése esetén:

• az Adatkezelő és az Adatfeldolgozó megkísérlik az érintett adatokat a rendelkezésre álló mentésekből vagy forrásokból pótolni;
• a pótlás megtörténtét nyomon követhető módon rögzítik.

Informatikai védelem és rendszerszintű biztonság

Az Adatkezelő és az Adatfeldolgozó informatikai rendszereit felhőalapú infrastruktúrában működtetik, ennek megfelelően a fizikai adatbiztonsági intézkedések jelentős részét a felhőszolgáltató nyújtja. Az adatbiztonság megőrzése érdekében a következő elveket és eszközöket alkalmazza:

• A felhőszolgáltató kiválasztása során elsődleges szempont, hogy a szolgáltató megfeleljen a GDPR adatbiztonsági és adatkezelési előírásainak, különösen az adatok EGT-n belüli tárolására és feldolgozására vonatkozó elvárásoknak.
• A felhőszolgáltató többszintű fizikai és hálózati védelmet, valamint redundáns adattárolást biztosít több földrajzilag elkülönített adatközpontban, csökkentve ezzel az adatvesztés vagy elérhetetlenség kockázatát.
• Többszintű vírus- és kártevővédelem biztosított, a használt eszközök és szolgáltatások rendszeres frissítésével.
• Az Adatkezelő és az Adatfeldolgozó saját hatáskörben gondoskodik a hozzáférések szigorú szabályozásáról, szerepköralapú jogosultságkezeléssel.
• A belső hozzáférések és műveletek naplózása és monitorozása biztosított, lehetővé téve az adathozzáférések és műveletek visszakövethetőségét és rendszeres auditálását.
• A rendszerek és folyamatok kialakításakor a „privacy by design” és „privacy by default” elvei mentén jár el, az adatbiztonságot már a tervezési fázisban beépítve.

Piaci szintű technológiai megfelelés

Az Adatkezelő és az Adatfeldolgozó gondoskodnak arról, hogy az általuk használt rendszerek, alkalmazások és szolgáltatások megfeleljenek az általánosan elfogadott piaci technológiai és adatvédelmi elvárásoknak, különös tekintettel a GDPR 32. cikkének követelményeire.

Az érintett adatkezeléssel kapcsolatos jogai 

Az Adatfeldolgozó számára kiemelten fontos, hogy az adatkezelési tevékenység a tisztességesség, jogszerűség és átláthatóság elveinek megfelelően történjen. Az Érintettek a személyes adataik kezelésével kapcsolatban az alábbi jogokat gyakorolhatják:

Tájékoztatáshoz és hozzáféréshez való jog

Az Érintett jogosult tájékoztatást kérni arról, hogy személyes adatait az Adatkezelő kezeli-e, valamint jogosult hozzáférni a rá vonatkozó kezelt adatokhoz. A tájékoztatásnak ki kell terjednie többek között:

• az adatkezelés céljára és jogalapjára,
• a kezelt adatok körére,
• az adatkezelés időtartamára,
• az adatok címzettjeire,
• az esetleges harmadik országba vagy nemzetközi szervezethez történő adattovábbítás tényére,
• az Érintett jogaira, és jogorvoslati lehetőségeire.

Helyesbítéshez való jog

Az Érintett kérheti a pontatlan vagy hiányos személyes adatainak helyesbítését, illetve kiegészítését. Az Adatfeldolgozó a módosítást akkor teljesíti, ha az Érintett a változás valódiságát megfelelő módon igazolja. Ha a helyesbítés jogszerűsége nem egyértelmű, az Adatfeldolgozó az adatot megjelöli, de nem módosítja.

Törléshez való jog („az elfeledtetéshez való jog”)

Az Érintett kérheti személyes adatainak törlését, különösen az alábbi esetekben:

• az adatkezelés jogellenesen történt,
• az adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték,
• az Érintett visszavonta a hozzájárulását, és az adatkezelésnek nincs más jogalapja,
• az adatok törlését jogszabály írja elő, és az Adatkezelő köteles ennek eleget tenni.

Az adatkezelés korlátozásához való jog

Az Érintett kérheti személyes adatai kezelésének korlátozását az alábbi esetekben:

• vitatja az adatok pontosságát (a korlátozás a pontosság ellenőrzésének idejére vonatkozik),
• az adatkezelés jogellenes, de az Érintett a törlés helyett a kezelés korlátozását kéri,
• az Adatfeldolgozónek már nincs szüksége az adatokra, de az Érintett jogi igény érvényesítése céljából továbbra is igényli azokat.

Tiltakozáshoz való jog

Az Érintett jogosult bármikor tiltakozni személyes adatainak kezelése ellen, ha az adatkezelés jogalapja az Adatkezelő jogos érdeke. Ebben az esetben az Adatfeldolgozó nem kezelheti tovább az adatokat, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos indokok igazolják, amelyek elsőbbséget élveznek az Érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Nemzetközi adattovábbítás

Az Adatfeldolgozó egyes esetekben olyan adatfeldolgozó szolgáltatásait veszi igénybe, amelyek székhelye vagy szerverei az Európai Gazdasági Térségen (EGT) kívül, elsősorban az Amerikai Egyesült Államokban (USA) találhatók. Ide tartoznak többek között az alábbi szolgáltatók a teljesség igénye nélkül:

• ClickUp (projektmenedzsment és feladatkövető rendszer),
• OpenAI (mesterséges intelligencia-alapú tartalomelemzés és -generálás),
• DeepSeek (mesterséges intelligencia-alapú tartalomelemzés és -generálás),
• Grammarly (nyelvi és stílusellenőrző szolgáltatás).

Ezekben az esetekben a személyes adatok továbbítására kizárólag megfelelő garanciák biztosítása mellett kerül sor, összhangban a GDPR 44–49. cikkeiben foglaltakkal. Az Adatkezelő az adattovábbítást az alábbi jogalapok és védelmi mechanizmusok alapján végzi:

• EU–US Adatvédelmi Keretrendszer (Data Privacy Framework): Azoknál a szolgáltatóknál, amelyek szerepelnek az USA Kereskedelmi Minisztériuma által közzétett hitelesített vállalatok listáján, az adattovábbítás ezen megfelelőségi határozaton alapul.
• Sztenderd Szerződéses Kikötések (SCC – Standard Contractual Clauses): Azokban az esetekben, amikor a szolgáltató nem tartozik az EU–US adatvédelmi keretrendszer hatálya alá, az Adatfeldolgozó ún. sztenderd szerződéses kikötések alkalmazásával biztosítja az adattovábbítás megfelelő szintű védelmét.

Az Adatfeldolgozó minden esetben körültekintően megvizsgálja a szolgáltató adatvédelmi gyakorlatát, és kizárólag olyan partnerekkel működik együtt, akik az adattovábbítás során garantálják a GDPR-nek megfelelő biztonsági és jogi feltételek betartását.

Az Érintettek kérésére az Adatfeldolgozó részletes információt nyújt az alkalmazott garanciákról, valamint hozzáférést biztosít az adott adattovábbításra alkalmazott jogalapokhoz (pl. SCC minták).

Tájékoztatás és jogorvoslat

Az Adatfeldolgozó köteles az Érintett tájékoztatáskérésére, illetve egyéb kérelmére indokolatlan késedelem nélkül, de legkésőbb 25 napon belül választ adni. A tájékoztatást első alkalommal díjmentesen biztosítja. További másolatok kérése esetén az Adatkezelő az adminisztratív költségeken alapuló ésszerű mértékű díjat számíthat fel.

Amennyiben az Érintett úgy véli, hogy személyes adatainak kezelése nem felel meg a hatályos adatvédelmi jogszabályoknak, a következő jogorvoslati lehetőségek állnak rendelkezésére:

1. Panasz benyújtása az Adatfeldolgozóhoz: Az Érintett jogosult panasszal élni az Adatkezelő felé, aki köteles a panaszt indokolatlan késedelem nélkül kivizsgálni és megfelelő intézkedéseket hozni.
2. Bejelentés a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH): ○ Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c 

○ Postacím: 1530 Budapest, Pf.: 5. 

○ E-mail: ugyfelszolgalat@naih.hu 

○ Honlap: www.naih.hu 

3. Bírósági jogorvoslat: Az Érintett jogosult keresetet benyújtani a személyes adatainak jogellenes kezelése miatt a lakóhelye vagy tartózkodási helye szerint illetékes törvényszékhez. A bíróság az ügyet soron kívül tárgyalja. A per – az Érintett választása szerint – elektronikus úton is megindítható, és a bíróságon a jogi képviselet nem kötelező.

Ezek a jogok biztosítják, hogy az érintettek személyes adatai megfelelő védelemben részesüljenek, és lehetőséget nyújtanak arra, hogy az érintettek érvényesítsék jogaikat az adatkezeléssel kapcsolatban.

Adatvédelmi incidensek kezelése

Az Adatfeldolgozó minden szükséges technikai és szervezési intézkedést megtesz annak érdekében, hogy az adatvédelmi incidenseket megelőzze. Ennek ellenére, amennyiben személyes adatokhoz való jogosulatlan hozzáférés, azok elvesztése, megsemmisülése vagy módosítása következik be, az alábbi lépéseket hajtjuk végre:

• Az adatvédelmi incidenst a felfedezését követő 72 órán belül bejelentjük a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), amennyiben az az Érintettek jogaira és szabadságaira nézve kockázatot jelent.
• Amennyiben az adatvédelmi incidens magas kockázatot jelent az Érintett jogaira nézve, az Adatfeldolgozó közvetlenül tájékoztatja az érintetteket is, egyértelmű és közérthető formában.
• Minden adatvédelmi incidenst belső nyilvántartásban dokumentálunk, amely tartalmazza az esemény leírását, az érintett adatok körét, a kockázatokat, valamint a megtett intézkedéseket.

1. számú melléklet – A vonatkozó jogszabályok 

A Tájékoztató kialakítása során az Adatfeldolgozó figyelembe vette a hatályos jogszabályokat és a fontosabb nemzetközi ajánlásokat, különös tekintettel az alábbiakra: 

• Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR): A természetes személyek személyes adatainak kezeléséről, az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló rendelet. 
• 2011. évi CXII. törvény: Az információs önrendelkezési jogról és az információszabadságról szóló törvény. 
• 2013. évi V. törvény (Ptk.): A Polgári Törvénykönyvről szóló törvény. ● 2016. évi CXXX. törvény (Pp.): A polgári perrendtartásról szóló törvény. ● 2000. évi C. törvény (Szám.tv.): A számvitelről szóló törvény. 
• 2007. évi CXXVII. törvény (Áfa tv.): Az általános forgalmi adóról szóló törvény. ● 2001. évi CVIII. törvény (Ektv.): Az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvény. 
• 45/2014. (II. 26.) Korm. rendelet: A fogyasztó és a vállalkozás közötti szerződések részletes szabályairól szóló kormányrendelet. 

Ezen jogszabályok biztosítják a személyes adatok kezelése során az érintettek jogainak és érdekeinek védelmét, valamint a jogszerű és átlátható adatkezelés alapjait. 

2. számú melléklet – A személyes adatok kezelésével kapcsolatos fogalmak

• Adatkezelő: Az a jogi személy, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. 
• Adatkezelés: A személyes adatokon vagy adatállományokon végzett bármely művelet vagy műveletek összessége, automatizált vagy nem automatizált módon, ideértve a gyűjtést, rögzítést, rendszerezést, tagolást, tárolást, átalakítást, lekérdezést, betekintést, felhasználást, továbbítást, terjesztést, hozzáférhetővé tételt, összehangolást, összekapcsolást, korlátozást, törlést, illetve megsemmisítést.
• Adattovábbítás: Az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. 
• Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy azok helyreállítása többé nem lehetséges. 
• Adatmegjelölés: Az adat azonosító jelzéssel történő ellátása annak megkülönböztetése érdekében. 
• Adatkezelés korlátozása: A tárolt személyes adatok megjelölése a jövőbeli kezelésük korlátozása céljából. 
• Adatmegsemmisítés: Az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése. 
• Adatfeldolgozó: Az a jogi személy, amely az adatkezelő nevében személyes adatokat kezel. 
• Címzett: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy az adott személy harmadik félnek minősül-e. 
• Érintett: Azonosított vagy azonosítható természetes személy. Az érintett akkor tekinthető azonosíthatónak, ha valamely azonosító (pl. név, szám, helymeghatározó adat, online azonosító) vagy a testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján beazonosítható. 
• Harmadik személy: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak. Az érintett hozzájárulása: Az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű nyilatkozata vagy cselekedete, amely félreérthetetlenül kifejezi, hogy beleegyezik személyes adatai kezelésébe. ● Személyes adat: Az érintettre vonatkozó bármely információ. 
• Tiltakozás: Az érintett nyilatkozata, amelyben személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

3. számú melléklet – Titoktartási kötelezettség

1. A melléklet célja

Jelen melléklet célja, hogy részletesen rögzítse azokat a titoktartási kötelezettségeket, amelyek az Adatfeldolgozó (Tóth Eszter EV) és a munkavállalók, alvállalkozók, adatfeldolgozók, megbízottak közötti kapcsolat során érvényesülnek a személyes adatok kezelése és feldolgozása során.

2. A titoktartási kötelezettség tárgya

Titoktartási kötelezettség terjed ki minden olyan:

• személyes adatra,
• üzleti titokra,
• szerződéses információra,
• technikai, pénzügyi vagy működési adatra,
• ügyfélkapcsolatokkal összefüggő információra,
  amely a természetes személy Érintettek azonosítására alkalmas, illetve amelyet az Adatfeldolgozó vagy megbízottja nem hozott nyilvánosságra.

3. Kötelezettek köre

A titoktartási kötelezettség kiterjed minden olyan természetes vagy jogi személyre, aki:

• az Adatfeldolgozóval szerződéses kapcsolatban áll (pl. adatfeldolgozó),
• alvállalkozóként közreműködik,
• belső munkatársként vagy tanácsadóként hozzáférést kap személyes vagy bizalmas adatokhoz.

4. Titoktartás időbeli hatálya

A titoktartási kötelezettség:

• a szerződéses vagy jogviszony megszűnését követően legalább 5 évig fennáll,
• vagy, amennyiben hosszabb titoktartási időtartamot ír elő a felek közötti szerződés vagy jogszabály, az szerint érvényesül.

5. Titoktartási kötelezettség tartalma

A kötelezettek vállalják, hogy:

• az adatokat kizárólag az Adatkezelő írásbeli utasításai szerint használják fel;
• az adatokat nem hozzák nyilvánosságra, nem adják tovább harmadik fél részére;
• sem közvetlenül, sem közvetve nem élnek vissza az információval;
• minden szükséges technikai és szervezési intézkedést megtesznek az adatok védelme érdekében;
• adatvédelmi incidens észlelése esetén haladéktalanul értesítik az Adatkezelőt.

6. Kivételes esetek

A titoktartási kötelezettség alól kizárólag az alábbi esetekben adható felmentés:

• ha jogszabály, bírósági vagy hatósági kötelezettség írja elő az adatszolgáltatást,
• ha az Érintett az adatok nyilvánosságra hozatalához kifejezetten írásban hozzájárult.

7. Jogkövetkezmények

A titoktartási kötelezettség megszegése esetén az Adatfeldolgozó:

• kártérítést követelhet,
• az adatvédelmi hatóságnál (NAIH) bejelentést tehet,
• a jogviszonyt azonnali hatállyal megszüntetheti,
• polgári peres vagy büntetőeljárást kezdeményezhet.

8. Záró rendelkezések

Ez a melléklet az Adatkezelési Tájékoztató elválaszthatatlan részét képezi, és azzal együtt értelmezendő. Amennyiben a felek külön titoktartási megállapodást is kötnek, a szigorúbb szabályozás az irányadó.

4. számú melléklet – Az adatfeldolgozók megnevezése és adatai

Adatfeldolgozók listája

5. Számú melléklet – Jogos érdeken alapuló adatkezelés (GDPR 6. cikk (1) f))

Az Adatfeldolgozó egyes esetekben saját vagy harmadik fél jogos érdeke alapján kezel személyes adatokat az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 6. cikk (1) bekezdés f) pontja szerint. Ezen adatkezelések esetében az adatkezelés szükségességét, arányosságát, valamint az Érintettek jogaira és szabadságaira gyakorolt hatását az Adatkezelő minden esetben külön érdekmérlegelési teszttel igazolja.

A jogos érdeken alapuló adatkezelés megkezdésekor, de legkésőbb az első kapcsolatfelvételkor az Érintetteket tájékoztatjuk e jogalap alkalmazásáról és tiltakozási jogukról, amelyet bármikor gyakorolhatnak az Adatkezelő elérhetőségein keresztül.

Jogos érdeken alapuló adatkezelési célok – főbb kategóriák:

• Ajánlatkérés, kapcsolatfelvétel és szerződés-előkészítés
• Szerződéses kapcsolattartás és teljesítés
• Panaszkezelés és ügyfélkommunikáció
• Elektronikus szerződéskötés és elfogadások dokumentálása
• CRM rendszer működtetése, ügyféltörténet rögzítése
• Automatizált munkafolyamatok, technikai naplózás
• Tudásanyagok és eseményregisztrációk kezelése
• Jogérvényesítés, védekezés jogi igény esetén
• Belső statisztikák, riportálás, e-learning és oktatás

A részletes, célonként kidolgozott érdekmérlegelési tesztek külön mellékletben találhatók: „Érdekmérlegelési tesztek” címmel. Ezek dokumentált formában igazolják, hogy az egyes adatkezelési célok szükségessége és arányossága fennáll, valamint az Érintettek alapvető jogai nem sérülnek.

Jogos érdeken alapuló adatkezelési célok – tételes felsorolás:

1. Ajánlatkérések kezelése
2. Szerződés teljesítése
3. Átadás-átvételi nyilatkozat kezelése
4. Panaszkezelés
5. Megkeresések és észrevételek kezelése
6. Targetált direkt marketing céges partnerek részére
7. Számlázási kapcsolattartás
8. Weboldal analitika (pl. IP-cím, böngészési adatok)
9. Garanciális ügyintézés
10. Jogérvényesítés, jogi védekezés
11. Felhasználói fiók kezelése
12. Időpontfoglalás rendszeren keresztül
13. Webinár / esemény regisztráció
14. Videómeetingek rögzítése (előzetes tájékoztatás alapján)
15. Technikai naplóadatok kezelése
16. Referenciák / ügyfélvélemények közzététele
17. Tudásanyag letöltése űrlapért cserébe
18. Partneri egyeztetések dokumentálása
19. CRM rendszer működtetése és jogosultságkezelés
20. Technikai support / hibajegy-kezelés
21. Kapcsolatfelvétel eseményen (pl. névjegykártya, QR-kód)
22. Hardver- és szoftverhasználat naplózása
23. Elektronikus szerződéskezelés (digitális aláírás, elfogadás)
24. Belső e-learning és tudásfelmérés
25. Üzleti riportok és statisztikák (aggregált formában)
26. Automatizált értesítések, workflow-elemek
27. Ügyféltörténet és kapcsolattartás naplózása
28. Számlázási előzmények tárolása (sikertelen/piszkozat)
29. Projektek / kampányok dokumentálása
30. Fájlfeltöltések kezelése
31. Jogszabályi elfogadások dokumentálása (ÁSZF, Adatkezelés)
32. Belső folyamatok nyomon követése audit célból
33. Kommunikáció archiválása (pl. e-mail, projektcsatorna)
34. Tesztelés, hibakeresés, verziókezelés során kezelt adatok

A részletes érdekmérlegelési dokumentáció az Adatfeldolgozó belső nyilvántartásában megtalálható, hatósági megkeresésre bemutatásra kerül.

6. Számú melléklet – Kockázatértékelési módszer

Az elemzés a valószínűség–hatás mátrix elvén alapul, amely figyelembe veszi:

• Az adatkezelés típusát, terjedelmét, körülményeit és célját;
• Az érintettek számát és az adatérzékenység szintjét;
• Az adatvesztés, adatlopás vagy jogosulatlan hozzáférés következményeit;
• A bekövetkezés valószínűségét (alacsony, közepes, magas);
• A hatás súlyosságát (alacsony, közepes, súlyos).

Azonosított kockázatok

Jogosulatlan hozzáférés

• Leírás: Külső vagy belső személy jogosulatlanul fér hozzá személyes adatokhoz.
• Valószínűség: Közepes
• Hatás: Súlyos (adatlopás, bizalomvesztés, bírság)
• Kezelés:
  • Kétfaktoros hitelesítés (2FA)
  • Jogosultsági szintek korlátozása
  • Hozzáférési naplók vezetése

Adatvesztés

• Leírás: Technikai hiba, törlés vagy sérülés miatt az adatok elvesznek.
• Valószínűség: Alacsony
• Hatás: Közepes
• Kezelés:
  • Havi automatikus biztonsági mentés felhőben
  • Rendszeres teszt visszaállítás
  • Redundáns adattárolás

Adatok jogellenes továbbítása

• Leírás: Olyan partnerhez vagy szolgáltatóhoz kerül adat, aki nem jogosult annak kezelésére.
• Valószínűség: Alacsony
• Hatás: Súlyos
• Kezelés:
  • Szerződéses garanciák (pl. adatfeldolgozói megállapodás)
  • Adattovábbítási napló vezetése
  • Munkatársak adatvédelmi oktatása

Véletlenszerű közzététel

• Leírás: Az adatok véletlenül nyilvánosságra kerülnek (pl. e-mailben téves címzett).
• Valószínűség: Közepes
• Hatás: Közepes
• Kezelés:
  • Személyes adatok titkosítása e-mail küldés előtt
  • Előnézet és címzettellenőrzés bevezetése
  • Hibabejelentési protokoll

Külső szolgáltatók adatbiztonsági hiányosságai

• Leírás: Külső, harmadik fél (pl. ClickUp, OpenAI) adatkezelési gyakorlata nem felel meg az EU-s előírásoknak.
• Valószínűség: Közepes
• Hatás: Súlyos
• Kezelés:
  • EU–US adatvédelmi keretrendszer alapján történő adattovábbítás
  • Standard Contractual Clauses (SCC) alkalmazása
  • Szolgáltatói auditálási lehetőségek

Szándékos belső visszaélés

• Leírás: Munkavállaló vagy megbízott visszaél a hozzáférésével.
• Valószínűség: Alacsony
• Hatás: Súlyos
• Kezelés:
  • Munkavállalói titoktartási nyilatkozat
  • Role-based access control (RBAC)
  • Rendszeres audit és log-elemzés

Mobil eszközök, távoli munkavégzés

• Leírás: Az otthoni munkavégzés vagy mobil eszköz elvesztése adatbiztonsági kockázatot hordoz.
• Valószínűség: Közepes
• Hatás: Közepes–súlyos
• Kezelés:
  • VPN és titkosított adatátvitel
  • Eszközökre jelszavas vagy biometrikus hozzáférés
  • Távoli törlés lehetősége

Szoftverfrissítések hiánya, sebezhetőségek

• Leírás: Elavult szoftverek, nem javított biztonsági rések támadási felületet nyújtanak.
• Valószínűség: Közepes
• Hatás: Súlyos
• Kezelés:
  • Rendszeres frissítési protokoll
  • Automatikus biztonsági javítások engedélyezése
  • Vulnerability scanning használata (pl. OWASP ajánlások)

Adatmegőrzési idő túllépése

• Leírás: Az adatok a szükségesnél tovább maradnak a rendszerben.
• Valószínűség: Közepes
• Hatás: Közepes
• Kezelés:
  • Adatmegőrzési idő szabályozása és naplózása
  • Automatikus törlési mechanizmusok
  • Archiválási eljárások

Harmadik fél rendszerei vagy API-integrációk hibája

• Leírás: A külső szolgáltatók (pl. fizetési szolgáltatók, CRM-ek, marketingplatformok) adatbiztonsági hibái hatással lehetnek az Érintett adataira.
• Valószínűség: Közepes
• Hatás: Súlyos
• Kezelés:
  • Szerződéses garanciák (pl. SCC, DPA)
  • Naprakész adatfeldolgozói lista
  • Minimális adattovábbítás elve

Phishing és social engineering támadások

• Leírás: Az emberi tényezőt kihasználó támadások (pl. adathalász levelek, hamis bejelentkezési oldalak).
• Valószínűség: Magas
• Hatás: Közepes–súlyos
• Kezelés:
  • Munkatársak képzése
  • Kétfaktoros hitelesítés
  • Gyanús tevékenységek figyelése

Felhasználói hibák (pl. véletlen törlés, rossz címzettnek küldés)

• Leírás: Emberi figyelmetlenségből eredő hibák, különösen e-mailes kommunikációban.
• Valószínűség: Magas
• Hatás: Közepes
• Kezelés:
  • Adatvédelmi tréningek
  • Többlépcsős ellenőrzés érzékeny adatküldés előtt
  • Előre kitöltött sablonok használata

Nem megfelelő adatmaszkolás / álnevesítés

• Leírás: Tesztelés, riportálás vagy elemzés során az adatok nem kerülnek megfelelően maszkolásra vagy álnevesítésre.
• Valószínűség: Alacsony
• Hatás: Közepes
• Kezelés:
  • Anonimizált tesztadatok használata
  • Dokumentált maszkolási eljárások

Katasztrófahelyzetek (pl. tűz, árvíz, rendszerleállás)

• Leírás: Fizikai károk vagy szolgáltatáskiesés adatvesztéshez vezethet.
• Valószínűség: Alacsony
• Hatás: Súlyos
• Kezelés:
  • Mentési és helyreállítási terv (Disaster Recovery Plan)
  • Felhőalapú redundancia
  • Rendszeres biztonsági mentések

Jogosultságkezelés hiányosságai

• Leírás: Túl széles hozzáférési jogkörök, nem időben megszüntetett jogosultságok.
• Valószínűség: Közepes
• Hatás: Súlyos
• Kezelés:
  • Jogosultsági mátrix
  • Hozzáférések rendszeres felülvizsgálata
  • Kilépési folyamat dokumentálása

Különös figyelmet igénylő esetek

Automatizált adatkezelés

Az Adatkezelő nem végez automatizált döntéshozatalt vagy profilalkotást. Ennek hiányában a kockázati szint alacsony, és az ilyen gyakorlatok nem befolyásolják az Érintett jogait vagy szabadságait.

Adatvédelmi incidens

Az Adatkezelő vállalja, hogy:

• 72 órán belül bejelenti az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH);
• Tájékoztatja az Érintettet, ha az incidens valószínűsíthetően magas kockázattal jár számára;
• Vezeti az adatvédelmi incidensek nyilvántartását.

Összegzés és további intézkedések

Az elvégzett elemzés alapján az Adatkezelő adatkezelési gyakorlata alacsony–közepes kockázatúnak minősül. A bevezetett technikai és szervezési intézkedések megfelelnek az adatvédelmi jogszabályok által elvárt arányosság elvének.

Az Adatfeldolgozó vállalja, hogy:

• Évente legalább egyszer, vagy minden lényeges változás esetén frissíti a kockázatelemzést;
• Folyamatosan figyelemmel kíséri a technológiai és szabályozási változásokat;
• Rendszeresen oktatja munkavállalóit az adatbiztonsággal kapcsolatos kötelezettségekről.