Adatkezelési szabályzat
verziószám: 2.0
Hatálybalépés dátuma: 2023.08.22
1. Mi a tájékoztató célja?
Jelen Tájékoztatót abból a célból fogadjuk el, hogy a CollectSign szolgáltatás iránt érdeklődő, vagy azokat igénybe vevő természetes személyek, illetve jogi személyek képviselői (a továbbiakban egységesen: Felhasználók vagy Ügyfelek, a 3. fejezetben ismertetett adatkezeléseknél pedig Érdeklődők, vagy Kapcsolattartók, vagy Előfizetők) részére minden lényeges információt és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva közöljünk, valamint segítsük a Felhasználókat a 4. pontban szereplő jogaik gyakorlásában.
Az Infoscope Kft. elkötelezett, hogy Ügyfelei részére a legmagasabb biztonságú szolgáltatást nyújtsa. Törekszik arra, hogy a legnagyobb odafigyeléssel és szakértelemmel kezelje Ügyfelei adatait, dokumentumait, a hitelesség és a megbízhatóság keretein belül. Az alábbi adatkezelési - adatbiztonsági elvek alapján dolgozunk:
- Bizalmasság elve, hogy az információ, a hozzáférhetőség, csak és kizárólag az arra felhatalmazottak számára legyen elérhető.
- Sértetlenség elve, hogy az információk, dokumentumok sértetlenül álljanak Ügyfeleink rendelkezésére.
- Rendelkezésre állás elve, hogy az Ügyfeleink, valamint a jogosultsággal rendelkező felhasználóink mindig hozzáférjenek dokumentumaikhoz a CollectSign rendszeren keresztül.
A Tájékoztató mind a CollectSign-rendszer (továbbiakban: Rendszer) használatával, mind a CollectSign-szolgáltatás weboldalával (továbbiakban: CollectSign.hu weboldal; alairom.hu weboldal) és cégünk weboldalával (továbbiakban: Céges Weboldal) kapcsolatos adatkezelési körülményeket ismerteti. A Rendszerbe az Előfizetők által feltöltött személyes adatok vonatkozásában adatfeldolgozóként járunk el, így a jelen Tájékoztatóban az ezzel kapcsolatos adatkezelési kérdésekre is kitérünk.
A CollectSign rendszer böngésző alapú (Chrome, Edge, Firefox, Safari) szolgáltatási felületet biztosít az Ügyfeleihez/Felhasználóihoz kapcsolódó beállításokhoz, a munkatársak felvételéhez, előre meghatározott szerepkör alapú jogosultságok beállításához és az aláírás folyamatok kezeléséhez.
A CollectSign rendszer, a Microsoft AZURE felhőben futó alkalmazás, amely a PDF (Portable Document Format) formátumú elektronikus dokumentumok elektronikusan (biometrikus és/vagy digitális aláírás) történő aláírás folyamatát támogatja. A CollectSign rendszer a mySigno rendszerre épül, annak a webes, alapvető folyamat irányító felülete. Az elektronikus aláírás a mySigno rendszer mySigno SignPad alkalmazásában (app) valósul meg, mely ingyenes letölthető az alkalmazás boltokból vagy a CollectSign rendszerből Windows, Android és iOS operációs rendszerekre).
A Tájékoztató rendelkezései a CollectSign rendszer vonatkozásában a szolgáltatásra irányadó általános szerződési feltételekben, az Előfizetői szerződésben, valamint az üzemeltetési szabályzatban leírtakkal együttesen értelmezendő.
Tájékoztatási kötelezettségünk alapja a 2018. május 25. napjától alkalmazandó, az Európai Parlament és Tanács (EU) 2016/679. számú Rendelet (a továbbiakban: GDPR) 12. cikke, az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény (a továbbiakban: Infotv.) 16. §-a, illetve – a Weboldalak vonatkozásában – elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Elkertv.) 4. §-a.
A Tájékoztató a GDPR, az Infotv., valamint az egyes adatkezelések szempontjából releváns további jogszabályok figyelembevételével készült. A jogszabályok felsorolását a Tájékoztató 1. számú melléklete, a legfontosabb fogalmakat a 2. számú melléklet, az egyes érintetti jogok részletes ismertetését a 3. számú melléklet tartalmazza.
Jelen tájékoztató kialakítása és alkalmazása során a Nemzeti Adatvédelmi és Információszabadság Hatóságnak az előzetes tájékoztatás adatvédelmi követelményeiről szóló ajánlásban foglalt megállapítások, valamint a GDPR 5. cikkének figyelembevételével, különösen az 5. cikk (2) bekezdésében szereplő elszámoltathatóság elvének szellemében jártunk el.
Ugyancsak figyelemmel kísérjük az Európai Unió gyakorlatát a személyes adatok védelme tekintetében; ennek megfelelően az Európai Bizottság 29-es Munkacsoportjának az átláthatóságról szóló iránymutatásának tartalmában foglaltakat is beültetjük adatkezelési gyakorlatunkba.
Adatkezelés-adatbiztonság terén (nem kizárólagosan) az alábbi jogszabályi előírásokat vesszük figyelembe:
a) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i 2016/679/EU európai parlamenti és tanácsi rendelet (GDPR) 12. cikke
b) az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény (a továbbiakban Infotv.) 16. §-a
c) elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Elkertv.) 4. §-a
d) a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.)
e) az elektronikus aláírásokra vonatkozó eiDAS rendelet (910/2014/EU rendelet)
Számunkra fontos, hogy adatkezelésünk megfeleljen a tisztességesség, a jogszerűség és az átláthatóság követelményeinek.
Ügyfeleink/Felhasználónk ingyenes tájékoztatást kérhetnek személyes adataik kezelésének részleteiről, valamint jogszabályban meghatározott esetekben kérhetik azok helyesbítését, törlését, zárolását, vagy kezelésének korlátozását.
Adatfeldolgozóként járunk el, az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segítjük az Előfizetőt abban, hogy teljesíteni tudja kötelezettségét az érintettek (Előfizető azon ügyfelei, munkavállalói, akinek személyes adatait rögzíti a rendszerben) GDPR-ban rögzített jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
2. Adatkezelő adatai
Név: InfoScope Informatikai és Szolgáltató Kft.
Céges weboldal: www.infoscope.hu
CollectSign weboldal
collectsign.hu; alairom.hu
Cégjegyzékszám: 01-09-350550
Székhely: 1116 Budapest, Dália utca 13. – ügyfélszolgálat nincs!
Adószám: 12796539-2-43
E-mail: info@infoscope.hu
Telefonszám: +36 20 313-5060
3. Egyes adatkezelési folyamatok
Jelen pontban részletezzük az egyes adatkezelésekhez tartozó azon lényeges körülményeket, melyeket a GDPR és az egyéb ágazati jogszabályok elvárnak minden adatkezelőtől.
3.1. Kapcsolatfelvétel
Céges weboldalunkon, valamint a CollectSign weboldalon keresztül fel lehet venni velünk a kapcsolatot bármilyen célból. Az ehhez kapcsolódó adatkezelések részletei az alábbiakban láthatóak.
3.1.1. A kezelt személyes adatok és az adatkezelés célja
| személyes adat | adatkezelés célja |
| név | Érdeklődő beazonosítása |
| e-mail cím | kapcsolatfelvétel az Érdeklődővel |
| telefonszám | kapcsolatfelvétel az Érdeklődővel |
3.1.2. Az adatkezelés jogalapja
Az Érdeklődőnek a kapcsolatfelvételkor megadott, önkéntes, kifejezett magatartás tanúsításával (telefonhívás, e-mail küldése, igény jelzése) megadott hozzájárulása személyes adatainak 3.1.1. pontban szereplő céljából történő kezeléséhez (GDPR 6. cikk (1) bekezdés a) pontja).
Amennyiben az Érdeklődő adatait az eredeti adatfelvételtől eltérő célja használjuk, akkor erről az Érdeklődőt tájékoztatjuk, és ehhez előzetes, kifejezett hozzájárulását megszerezzük, illetőleg lehetőséget biztosítunk számára, hogy a felhasználást megtiltsa (lásd: 9.2. pont).
3.1.3. Az adatkezelés időtartama
A megadott személyes adatokat a hozzájárulás visszavonásáig kezeljük. Hozzájárulását az Érdeklődő bármikor visszavonhatja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét.
3.1.4. Az adatkezelés módja
Elektronikus formában.
3.2. Előfizetői szerződés létrejötte, teljesítése és a rendszer működtetése
Amennyiben megrendelik CollectSign-szolgáltatásunkat, előfizetői szerződést kötünk és a szerződéskötés folyamatában, valamint a szolgáltatás teljesítése keretében kezeljük az Előfizető, vagy kapcsolattartójának, vagy – amennyiben a Rendszerbe feltöltött elektronikus dokumentumok kerülnek feltöltésre, adatfeldolgozóként – ügyfelének, vagy munkavállalójának személyes adatait.
A rendszer használatával járó szolgáltatások biztosítása céljából történő adatkezelések tekintetében adatfeldolgozóként járunk el. Az Aláírók által szolgáltatott személyes adatok vonatkozásában az adatkezelő az Előfizető, mint munkáltató (vagy szolgáltató), hiszen – összhangban a GDPR 4. cikk 7. pontjával – önállóan meghatározza az adatkezelés céljait és eszközeit. Ez minden esetben irányadó, tehát akkor is, ha az Előfizető saját magánál üzemelteti a rendszert és akkor is, ha annak használatát felhő alapú szolgáltatás keretében biztosítja.
3.2.1. A kezelt személyes adatok és az adatkezelés célja
| személyes adat | adatkezelés célja |
| név | a szerződéskötés folyamatában, vagy a szolgáltatás teljesítése során, a név megadásával tudjuk azonosítani az Előfizetőt vagy kapcsolattartóját |
| telefonszám | az Előfizetővel vagy kapcsolattartójával történő kommunikáció és tájékoztatás a szolgáltatás részleteiről (például fejlesztések, karbantartások, hibaelhárítások, stb.) |
| e-mail cím | az Előfizetővel vagy kapcsolattartójával történő kommunikáció és tájékoztatás a szolgáltatás részleteiről (például fejlesztések, karbantartások, hibaelhárítások, stb.), továbbá a rendszer működése kapcsán a hozzáférések kiosztása |
| arra vonatkozó információ, hogy az Előfizető vagy kapcsolattartó milyen jogi személlyel van szerződéses viszonyban | a rendszer használatával járó szolgáltatások biztosítása (a folyamatok részletes leírása a szolgáltatáshoz kapcsolódó általános szerződési feltételekben, az Előfizetői szerződésben, valamint az üzemeltetési szabályzatban található) |
| jogosultság szintje | a rendszer használatára való jogosultság terjedelmének meghatározása |
| Egyedi azonosító | Az egyedi azonosítót az arra jogosult felhasználó adja meg új felhasználó felvételekor. Ezért, hogy az egyedi azonosító mi alapján képződik, a rendszer üzemeltetője nem tudja. Ha nem kerül első alkalommal megadásra, akkor a rendszer automatikusan generál egy egyedi azonosítót. |
| Azon személyek biometrikus adatai, akik az Előfizető által indított aláírás folyamatban aláírnak (pl. felhasználó, munkavállaló, ügyfél, …) | a rendszer használatával járó szolgáltatások és a hitelesség, beazonosítás biztosítása (a folyamatok részletes leírása a szolgáltatáshoz kapcsolódó általános szerződési feltételekben, az Előfizetői szerződésben, valamint az üzemeltetési szabályzatban található) |
3.2.2. Az adatkezelés jogalapja
Ha az Előfizető természetes személy az adatkezelés olyan szerződés teljesítéséhez szükséges, melynek felei az Adatkezelő és az Előfizető (GDPR 6. cikk (1) b) pont)
Ha az Előfizető jogi személy, kapcsolattartójának fenti személyes adatai kezelésének jogalapja az adatkezelői és az Előfizetői jogos érdek (GDPR 6. cikk (1) f) pont). Mindkét fél jogos érdeke, hogy a szerződéskötés, vagy a szolgáltatás teljesítése/igénybevétele során hatékonyan és hitelesen történjen a kommunikáció és bármilyen, a köztünk létrejött szerződést vagy egyéb dokumentum esetén (pl. teljesítés igazolás, …) érintő lényeges körülményről tájékoztatást tudjunk nyújtani egymás kijelölt képviselőjének. Az Előfizető kapcsolattartójának információs önrendelkezési jogának sérelme nem állapítható meg, mert munkaköri, vagy szerződéses kötelezettsége elősegíteni a felek közötti kommunikációt és megadni személyes adatait ebből a célból. A kapcsolattartó jogosult tiltakozni az adatkezeléssel szemben (lásd: 4.7. pont).
A rendszer működéséhez szükséges személyes adatok kapcsán az adatkezelés jogalapja a Rendszer működéséhez fűződő előfizetői jogos érdek (GDPR 6. cikk (1) f) pont).
3.2.3. Az adatkezelés időtartama
Amennyiben a felek között nem jön létre előfizetői szerződés, a kapcsolattartó személyes adatait tiltakozásának elbírálásáig kezeljük, feltéve, ha kérelmét teljesítjük (lásd: 4.7. pont).
Amennyiben a felek között létrejön előfizetői szerződés, de a kapcsolattartó él tiltakozási jogával, személyes adatait tiltakozásának elbírálásáig kezeljük, feltéve, ha kérelmét teljesítjük (lásd: 4.7. pont).
Amennyiben a felek között létrejön előfizetői szerződés, mivel az Előfizetői szerződésben rögzítésre kerülnek az Előfizető kapcsolattartójának személyes adatai, azokat – ahogyan a szerződést is – a szerződésen alapuló számviteli bizonylat kiállítását követő 8 évig őrizzük meg. (a számvitelről szóló 2000. évi C. törvény, továbbiakban: Sztv. 166. § (6) bekezdésére figyelemmel az Sztv. 169. § (1) bekezdése).
Amennyiben a felek között létrejön előfizetői szerződés, a számviteli kötelezettségek teljesítéséhez nem szükséges – az Előfizetői szerződésben nem szereplő, például munkadokumentumon, vagy e-mailben rögzített – személyes adatokat – figyelemmel a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.) 6:22. § (1) bekezdésére – a fenti célok érdekében a szerződés megszűnését követő 5 évig tároljuk.
A rendszer működéséhez szükséges személyes adatokkal az Előfizető rendelkezik, így az általa meghatározott ideig, vagy az Előfizetői szerződés megszűnéséig és a felhasználói fiók törléséig tároljuk a rendszerbe feltöltött személyes adatokat.
3.2.4. Az adatkezelés módja
Elektronikus formában, illetve papír alapon.
3.2.5. A személyes adatok szolgáltatása
Tekintettel arra, hogy a jelen pontban szereplő személyes adatok ismerete nélkül az Előfizetői szerződést nem tudjuk megkötni, illetve a szolgáltatás nem teljesíthető, a személyes adatok megadása szerződés kötésének előfeltétele.
3.3. Nyilatkozat adatfeldolgozói tevékenységgel kapcsolatban
A GDPR 4. cikk 7. és 8. pontjaiban leírt fogalmak értelmében a CollectSign szolgáltatást igénybe vevő Előfizető az általa feltöltött személyes adatok tekintetében adatkezelőnek (a személyes adatok kezelésének céljait és eszközeit önállóan meghatározza), míg az InfoScope Kft. adatfeldolgozónak (az adatkezelő nevében személyes adatokat kezel) minősül. A GDPR 28. cikkében foglaltak kiegészítéseként az alábbi nyilatkozatot tesszük jelen pontban a CollectSign szolgáltatást igénybe vevő Előfizetők felé:
Tevékenységünk során megfelelő garanciákat nyújtunk a GDPR követelményeinek való megfelelés és az érintettek (Előfizető azon ügyfelei, munkavállalói, akinek személyes adatait rögzíti a rendszerben) jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtása érdekében.
Az Előfizető által a Rendszerbe feltöltött személyes adatokat kizárólag a szolgáltatásra irányadó általános szerződési feltételekben, az Előfizetői szerződésben, valamint az üzemeltetési szabályzatban leírt célokból kezeljük.
Biztosítjuk azt, hogy a személyes adatok kezelésére feljogosított munkatársaink titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
Megfelelő, kockázattal arányos technikai és szervezési intézkedéseket hajtunk végre a rendszerben kezelt személyes adatok védelme érdekében.
További adatfeldolgozót – a jelen Tájékoztató 6.2. pontjában meghatározott szolgáltatón kívül – nem, vagy kizárólag az Előfizető utasítása alapján veszünk igénybe, a köztünk fennálló szerződéses keretek között.
Adatbiztonsági intézkedések végrehajtása, adatvédelmi incidensek és érintetti megkeresések kivizsgálása, továbbá adatvédelmi hatásvizsgálatok elvégzése során teljes mértékben együttműködünk az Előfizetővel, a köztünk fennálló szerződéses keretek között.
A szolgáltatás teljesítésének esetleges befejezését követően az Előfizető döntése alapján minden személyes adatot törlünk vagy visszajuttatunk az Előfizetőnek, és töröljük a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog a személyes adatok további tárolását írja elő.
Az Előfizető rendelkezésére bocsátunk minden olyan információt, amely a GDPR-ban az adatfeldolgozók igénybevételére meghatározott kötelezettségek teljesítésének igazolásához szükséges.
4. Milyen jogai vannak a Felhasználóknak?
Számunkra fontos, hogy adatkezelésünk megfeleljen a tisztességesség, a jogszerűség és az átláthatóság követelményeinek. Ennek fényében jelen pontban röviden bemutatjuk az egyes érintetti jogokat, majd ezeket bővebben kifejtjük a tájékoztató 3. számú mellékletében.
Felhasználónk ingyenes tájékoztatást kérhet személyes adatai kezelésének részleteiről, valamint jogszabályban meghatározott esetekben kérheti azok helyesbítését, törlését, zárolását, vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen. A tájékoztatás kérését és a jelen pontban szereplő kérelmeket Felhasználónk 2. pontban szereplő elérhetőségeinkre tudja címezni.
Amennyiben adatfeldolgozóként járunk el, az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segítjük az Előfizetőt abban, hogy teljesíteni tudja kötelezettségét az érintettek (Előfizető azon ügyfelei, munkavállalói, akinek személyes adatait rögzíti a rendszerben) GDPR-ban rögzített jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében. A tudomásunkra jutott, Előfizetőnek címzett érintetti kérelmeknek kizárólag az Előfizetőnek történő továbbítására vagyunk kötelesek.
4.1. Hozzáférési jog
Felhasználónk visszajelzést kaphat tőlünk személyes adatainak kezeléséről és ezekhez a személyes adatokhoz, illetve kezelésük részleteihez hozzáférhet.
4.2. Helyesbítéshez való jog
Felhasználónk kérésére indokolatlan késedelem nélkül helyesbítjük a rá vonatkozó pontatlan személyes adatokat, illetve jogosult kérni a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
4.3. Törléshez való jog
Felhasználónk kérésére töröljük a rá vonatkozó személyes adatokat, ha azok kezelésére nincsen szükségünk, vagy visszavonja hozzájárulását, vagy tiltakozik az adatkezelés ellen, vagy kezelésük jogellenes.
4.4. Elfeledéshez való jog
Felhasználónk törlésre irányuló kérelméről – ha igényli – igyekszünk értesíteni minden olyan adatkezelőt, aki Felhasználónk esetlegesen nyilvánosságra került adatait megismerte, illetve megismerhette. Felhasználóink személyes adatait nem hozzuk nyilvánosságra.
4.5. Adatkezelés korlátozásához való jog
Felhasználónk kérésére korlátozzuk az adatkezelést, ha a személyes adatok pontossága vitatott, vagy jogellenes az adatkezelés, vagy Felhasználónk tiltakozik az adatkezelés ellen, illetve ha nincsen szükségünk a továbbiakban a megadott személyes adatokra.
4.6. Adathordozhatósághoz való jog
Felhasználónk a rá vonatkozó, általa megadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkaphatja, illetve ezeket továbbíthatja egy másik adatkezelőnek. A Rendszer zártságára tekintettel a biometrikus adatok nem továbbíthatók más adatkezelőnek, ezt a Felhasználónak sem áll módunkban kiadni.
4.7. Tiltakozáshoz való jog
Felhasználónk jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen (lásd: 3.2.2. pont). Ebben az esetben a személyes adatokat nem kezelhetjük tovább, kivéve, ha bizonyítjuk, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Felhasználó érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. Tiltakozás esetén a személyes adatok a továbbiakban e célból főszabály szerint nem kezelhetők.
4.8. Reagálás a kérelmekre
A kérelmet annak benyújtásától számított legrövidebb időn belül, de legfeljebb 30 nap – tiltakozás esetén 15 nap – alatt megvizsgáljuk, és annak megalapozottsága kérdésében döntést hozunk, amelyről a kérelmezőt írásban tájékoztatjuk. Ha Felhasználónk kérelmét nem teljesítjük, döntésünkben közöljük a kérelem elutasításának ténybeli és jogi indokait. Az Előfizetőknek címzett érintetti kérelmeket indokolatlan késedelem nélkül, de legkésőbb a kérelem beérkezését követő 72 órán belül továbbítjuk az Előfizető részére.
4.9. Jogorvoslati lehetőségek
Számunkra fontos a személyes adatok védelme, egyúttal tiszteletben tartjuk a Felhasználók információs önrendelkezési jogát, ezért igyekszünk minden kérelemre korrekt módon és határidőn belül reagálni. Erre tekintettel kérjük a Tisztelt Felhasználókat, hogy az esetleges hatósági és bírósági igényérvényesítés igénybevétele előtt szíveskedjenek felvenni a kapcsolatot – panasz megtétele céljából – velünk a felmerült konfliktusok békés úton történő rendezése érdekében.
Amennyiben a megkeresés nem vezet eredményre, Felhasználónk
- a Polgári Törvénykönyvről szóló 2013. évi V. törvény alapján bíróság előtt érvényesítheti jogait (a per Felhasználónk lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható; a törvényszékek felsorolását és elérhetőségét az alábbi linken keresztül lehet megtekinteni: http://birosag.hu/torvenyszekek), valamint
- az Infotv.-ben foglaltak szerint a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400; fax: +36-1-391-1410; e-mail: ugyfelszolgalat@naih.hu; honlap: https://www.naih.hu/panaszuegyintezes-rendje.html; online ügyindítás: https://www.naih.hu/online-uegyinditas.html; a továbbiakban: NAIH) fordulhat és panaszt tehet.
5. Joggyakorlásra irányuló kérelemmel kapcsolatos eljárásunk
5.1. Címzettek értesítése
Helyesbítésről, törlésről, adatkezelés-korlátozásról minden esetben értesítjük azokat a címzetteket akikkel, illetve amelyekkel a Felhasználó személyes adatait közöltük, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. A Felhasználó kérésére tájékoztatást nyújtunk ezekről a címzettekről.
5.2. Tájékoztatás módja, határideje
A 4. ponthoz kapcsolódó kérelmek nyomán hozott intézkedésekről legfeljebb a kérelem beérkezésétől számított egy hónapon belül – ha a Felhasználó másként nem kéri – elektronikus formában tájékoztatást nyújtunk. Ez a határidő szükség esetén – a kérelem összetettsége, illetve a kérelmek számára tekintettel – további két hónappal meghosszabbítható. A határidő meghosszabbításáról annak okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatjuk a Felhasználót.
A Felhasználó kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolja személyazonosságát.
Amennyiben nem intézkedünk a kérelem nyomán, legfeljebb annak beérkezésétől számított egy hónapon belül tájékoztatjuk a Felhasználót ennek okairól, valamint arról, hogy panaszt nyújthat be a NAIH-nál, és élhet bírósági jogorvoslati jogával (4.9. pont).
5.3. Ellenőrzés
Kivételes esetben, ha megalapozott kétségeink vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, további, személyazonosság megerősítéséhez szükséges információk nyújtását kérjük. Ez az intézkedés a GDPR 5. cikk (1) bekezdés f) pontjában meghatározott, az adatkezelés bizalmasságának elősegítése, azaz a személyes adatokhoz való jogosulatlan hozzáférés megakadályozása céljából szükséges.
5.4. Tájékoztatás és intézkedés költségei
A 4. ponthoz kapcsolódó kérelmekre adott tájékoztatást, illetve az azok alapján megtett intézkedéseket díjmentesen biztosítjuk.
Ha a Felhasználó kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, – figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre – ésszerű díjat számítunk fel, vagy megtagadjuk a kérelem alapján történő intézkedést.
6. Személyes adatok lehetséges címzettjei, adatfeldolgozók
6.1. Weboldalak működésével összefüggésben
A Weboldalak használata során megadott személyes adatokhoz a tárhelyszolgáltató, mint adatfeldolgozó jogosult hozzáférni.
6.1.1. Céges weboldal: www.infoscope.hu
Név: [MX2001 Számítástechnikai és Szolgáltató Kft.]
Elérhetőségek: 2316 Tököl Ledina Dűlő 4. e-mail: info@mx2001.hu telefon: +36 70 209-4500
6.1.2. CollectSign weboldal: www.collectSign.hu
Név: folyamatban az adatok beszerzése
Elérhetőségek: [www.collectsign.hu; alairom.hu]
6.2. Rendszer működésével összefüggésben
A CollectSign szolgáltatás a Microsoft Azure felhőszolgáltatóban működik, így annak üzemeltetője adatfeldolgozó.
Név: Microsoft Corporation Inc.
Elérhetőségek: https://azure.microsoft.com/hu-hu/
A Microsoft AZURE egy olyan biztonságos és rugalmas felhő alapú platform, amely alkalmas üzleti alkalmazások készítésére, üzembe helyezésére, futtatására, valamint virtuális szerverek létrehozására.
7. Adatbiztonság
A Felhasználó személyes adatai megismerésére a mi és az adatfeldolgozók alkalmazottai a munkakörükbe tartozó feladatok teljesítéséhez szükséges mértékben jogosultak. Megteszünk minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja.
7.1. Szervezési intézkedések
Informatikai rendszereinkhez a hozzáférést személyhez köthető jogosultsággal tesszük lehetővé. A hozzáférések kiosztásánál érvényesül a „szükséges és elégséges jogok elve”, azaz informatikai rendszereinket és szolgáltatásainkat minden alkalmazott csak a feladatának ellátásához szükséges mértékben, az ennek megfelelő jogosultságokkal és a szükséges időtartamig használhatja. Az informatikai rendszerekhez és szolgáltatásokhoz hozzáférési jogot csak az a személy kaphat, aki biztonsági vagy egyéb (pl. összeférhetetlenségi) okokból nem esik korlátozás alá, valamint rendelkezik az annak biztonságos használatához szükséges szakmai, üzleti és információbiztonsági ismeretekkel.
Mi és az adatfeldolgozók írásos nyilatkozatban szigorú titoktartási szabályokat vállalunk, és a tevékenységünk során ezek szerint a titoktartási szabályok szerint kötelesek vagyunk eljárni.
7.2. Technikai intézkedések
Az adatokat – az adatfeldolgozóink által tárolt adatok kivételével, – adatközpontban tároljuk. Az adatokat tároló informatikai eszközök elhatároltan, külön zárt szerverteremben kerülnek tárolásra, többlépcsős, jogosultság ellenőrzéshez kötött beléptető rendszerrel védetten.
Az adatok és alkalmazások többszintű, tűzfalas védelemmel vannak védve. Az alkalmazott nyilvános hálózatok belépési pontjain mindenhol minden esetben hardveres tűzfal (határvédelmi eszköz) helyezkedik el. Az adatokat redundánsan – azaz több helyen – tároljuk, hogy védjük azokat az informatikai eszköz meghibásodásából fakadó megsemmisüléstől, elvesztéstől, sérüléstől, a jogellenes megsemmisítéstől.
Többszintű, aktív, komplex kártékony kódok elleni védelemmel (pl. vírusvédelem) védjük a belső hálózatainkat a külső támadásoktól. Az általunk működtetett informatikai rendszerekhez, adatbázisokhoz az elengedhetetlen külső elérést titkosított adatkapcsolaton keresztül valósítjuk meg (VPN).
Mindent megteszünk azért, hogy informatikai eszközeink, szoftvereink folyamatosan megfeleljenek a piaci működésben általánosan elfogadott technológiai megoldásoknak.
A fejlesztéseink során olyan rendszereket alakítunk ki, amelyekben a naplózás révén kontrollálhatók és nyomon követhetők a végzett műveletek, észlelhetők a bekövetkezett incidensek, például a jogosulatlan hozzáférés.
Szerverünk a tárhelyszolgáltató elkülönített dedikált szerverén, védetten és zártan található.
Weboldalainkon https protokollt használunk, amely magasabb adatbiztonsági szintet jelent a http protokolhoz képest.
7.3. Titkosító kulcspárok és tanúsítványok kezelése
Az Infoscope Kft. minden esetben a belsőleg szabályozott és kiadott "mySigno biometria titkosítási eljárási rend szabályzata" alapján jár el.
A fokozott elektronikus aláírásnál, melynek a mySigno rendszerben történő biometrikus aláírás megfelel:
a) az aláírás kizárólag az aláíróhoz köthető
b) az aláírás alkalmas az aláíró azonosítására
c) az aláírást olyan, elektronikus aláírás létrehozásához használt adatok felhasználásával hozták létre, amelyeket az aláíró nagy megbízhatósággal kizárólag saját maga használhat
d) az aláírás olyan módon kapcsolódik azokhoz az adatokhoz, amelyeket aláírtak vele, hogy az adatok minden későbbi változása nyomon követhető
A CollectSign rendszerben a biometrikus adatok védelmére használatos titkosítási kulcsok privát része (a titkosító magánkulcs) használatára alapesetben nincsen szükség.
EZ CSAK BÍRÓSÁGI ELJÁRÁS KERETÉBEN, ÉRVÉNYES BÍRÓSÁGI HATÁROZAT ESETÉN HASZNÁLHATÓ!
A bírósági határozat alapján a Felhasználó érdekkörében a CollectSign rendszerben rögzített és a bírósági határozat szerint bevont dokumentumokon szereplő aláírások vizsgálatát zárt rendszerben, a felhasználó által a 3 jogosított személyből (3 független ügyvéd) legalább 2 jelenlétében lehet végrehajtani, amennyiben a Bíróság másképpen nem rendelkezik.
Mindenek felett az adatbiztonság bírósági határozat esetén: A kijelölt kulcsbirtokosok (3-ból 2 ügyvéd) az adatok elemzését csak offline PC környezetben végezhetik, az elemzéshez, ellenőrzéshez használt PC-nek az ellenőrzés befejezését követően legalább 3-szor olyan adattörlésen és formázáson kell átesnie, mely során az adatok biztosan törlésre kerülnek.
Az aláíró biometrikus adataihoz, még az InfoScope Kft. saját rendszergazdái, fejlesztői sem férnek hozzá, ezzel is biztosítva a biometrikus adatok adatbiztonságát, sérthetetlenségét! De ugyan így nem férnek hozzá az Ügyfél rendszergazdái, fejlesztői sem!
8. Sütik (cookies)
Weboldalaink, valamint a Rendszer megfelelő működése érdekében bizonyos esetekben apró adat file-okat helyezünk el a Felhasználó számítógépes eszközén, a legtöbb modern honlaphoz hasonlóan.
8.1. Mi az a süti?
A süti egy olyan, kisméretű szöveges file, amit a honlap a Felhasználó számítógépes eszközére (beleértve a mobil telefonokat is) helyez el. Ennek köszönhetően a honlap „emlékezni” tud a Felhasználó beállításaira (pl.: használt nyelv, betűméret, megjelenítés, stb.), így nem kell azt minden alkalommal újra beállítani, amikor felkeresi weboldalunkat.
A Céges weboldalunkon használt sütik listája:
| Cookie forrása | Cookie funkciója |
| google.com | bejelentkezéskor recaptcha |
| googletagmanager.com | kulcsszavak |
| google-analytics.com | keresés analitika |
| use.fontawesome.com | fontok |
A CollectSign.eu weboldalon használt sütik listája:
| Cookie forrása | Cookie funkciója |
| google.com | bejelentkezéskor recaptcha |
| googletagmanager.com | kulcsszavak |
| google-analytics.com | keresés analitika |
| use.fontawesome.com | fontok |
A Rendszerben használt sütik listája:
| Cookie forrása | Cookie funkciója | Cookie lejárata |
| https://collectsign.azurewebsites.net/ | bejelentkezéskor felhasználóhoz egyedi azonosító rendelése | 50 perc |
| https://collectsign-test.azurewebsites.net/ | bejelentkezéskor felhasználóhoz egyedi azonosító rendelése | 50 perc |
Ezek a sütik letörölhetők, vagy blokkolhatók, de ebben az esetben a Weboldalak, illetve a Rendszer nem biztos, hogy megfelelően fog(nak) működni.
A sütiket nem használjuk arra, hogy a Felhasználót személy szerint beazonosítsuk. Ezek a sütik csak a fent leírt célokat szolgálják.
8.2. Google Analytics
1. A Weboldalak a Google Analytics alkalmazást használja, amely a Google Inc. („Google”) webelemző szolgáltatása. A Google Analytics úgynevezett „cookie-kat”, szövegfájlokat használ, amelyeket a számítógépére mentenek, így elősegítik Felhasználó által látogatott weblap használatának elemzését.
2. A Felhasználó által használt weboldallal kapcsolatos cookie-kkal létrehozott információk rendszerint a Google egyik USA-beli szerverére kerülnek és tárolódnak. Az IP-anonimizálás weboldali aktiválásával a Google a Felhasználó IP-címét az Európai Unió tagállamain belül vagy az Európai Gazdasági Térségről szóló megállapodásban részes más államokban előzőleg megrövidíti.
3. A teljes IP-címnek a Google USA-ban lévő szerverére történő továbbítására és ottani lerövidítésére csak kivételes esetekben kerül sor. Megbízásunkból a Google ezeket az információkat arra fogja használni, hogy kiértékelje, hogyan használta a Felhasználó a honlapot, továbbá, hogy részünkre a honlap aktivitásával összefüggő jelentéseket készítsen, valamint, hogy a weboldal- és az internethasználattal kapcsolatos további szolgáltatásokat teljesítsen.
4. A Google Analytics keretein belül a Felhasználó böngészője által továbbított IP-címet nem vezeti össze a Google más adataival. A cookie-k tárolását a Felhasználó a böngészőjének megfelelő beállításával megakadályozhatja, azonban felhívjuk figyelmét, hogy ebben az esetben előfordulhat, hogy ennek a honlapnak nem minden funkciója lesz teljes körűen használható. Megakadályozhatja továbbá, hogy a Google gyűjtse és feldolgozza a cookie-k általi, a Felhasználó weboldalhasználattal kapcsolatos adatait (beleértve az IP-címet is), ha letölti és telepíti a következő linken elérhető böngésző plugint. https://tools.google.com/dlpage/gaoptout?hl=h
8.3. Hogyan kezelhetőek a sütik?
A süti file-ok törölhetőek (részletes információk: www.AllAboutCookies.org), vagy a legtöbb mai böngészővel elhelyezésük blokkolható is. Ebben az esetben azonban a weboldalunk használatakor bizonyos beállításokat minden alkalommal újra el kell végezni, és bizonyos szolgáltatások nem feltétlenül fognak működni.
A sütik törléséről, blokkolásáról részletes információk találhatóak a www.AllAboutCookies.org (angol) oldalon és a Felhasználó által használt böngészőre vonatkozóan az alábbi linkeken:
• Firefox
• Google Chrome
• Microsoft Internet Explorer 11
• Microsoft Internet Explorer 10
• Microsoft Internet Explorer 9
• Microsoft Internet Explorer 8
• Safari 9
• Safari 8
• Safari 6/7
• Opera
9. Egyéb rendelkezések
9.1. Adatgyűjtés aktivitásról
A Felhasználók aktivitásáról adatokat gyűjthetünk, melyek nem kapcsolhatók össze a Felhasználó által korábban megadott egyéb adatokkal, sem más honlapok vagy szolgáltatások igénybevételekor keletkező adatokkal.
9.2. Adatkezelés eltérő célra
Ha a szolgáltatott adatokat az eredeti adatfelvétel céljától eltérő célra kívánjuk felhasználni, akkor erről a Felhasználókat tájékoztatjuk, és ehhez előzetes, kifejezett hozzájárulásukat megszerezzük, illetőleg lehetőséget biztosítunk számukra, hogy a felhasználást megtiltsák.
9.3. Nyilvántartási kötelezettség
A felelősségünkbe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezetünk (adatkezelési tevékenység nyilvántartása) a GDPR 30. cikkének megfelelően.
9.4. Adatvédelmi incidens
Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidens esetén a GDPR 33. és 34. cikkei szerint vagyunk köteles eljárni. Nyilvántartjuk az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. Amennyiben adatfeldolgozóként járunk el, az adatvédelmi incidenst a tudomásszerzést követően indokolatlan késedelem nélkül, de legkésőbb 48 órán belül bejelentjük az Előfizetőnek.
9.5. Módosítás
Bármikor jogosultak vagyunk jelen Tájékoztatót egyoldalúan módosítani. Erről valamennyi esetben tájékoztatást nyújtunk a Felhasználók részére, valamint folyamatosan biztosítjuk a jelen Tájékoztató korábbi verzióinak elérését.
Hatályos: 2023.08.23.
InfoScope Informatikai és Szolgáltató Kft.
Adatkezelő
1. számú melléklet; a személyes adatok kezelésével kapcsolatos fogalmak
• adatkezelő: az a jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza;
• adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
• adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
• adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;
• adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;
• adatkezelés korlátozása: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
• adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;
• adatfeldolgozó: az a jogi személy, amely az adatkezelő nevében személyes adatokat kezel;
• címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e;
• cookie: a webszerver által küldött és a felhasználó számítógépén meghatározott időre elhelyezett kis adatcsomag (szöveges fájl), amit annak jellégétől függően a szerver az újabb látogatások alkalmával ki is egészíthet, azaz, ha a böngésző visszaküld egy korábban elmentett sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalma tekintetében;
• érintett/felhasználó: azonosított vagy azonosítható természetes személy; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
• harmadik személy: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
• az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
• IP cím: valamennyi hálózatban, amelyben a kommunikáció a TCP/IP-protokoll szerint folyik, a szervergépek IP-címmel, azaz azonosítószámmal rendelkeznek, amelyek az adott gépek hálózaton keresztüli azonosítását teszik lehetővé. Tudvalévő, hogy minden hálózatra kapcsolt számítógép rendelkezik IP címmel, amelyen keresztül beazonosítható.
• személyes adat: az érintettre vonatkozó bármely információ.;
• tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.