1. Bevezetés
A jelen Adatkezelési Tájékoztató (továbbiakban: Tájékoztató) rendelkezéseinek kialakításakor kiemelten figyelembe vettük az Európai Parlament és a Tanács 2016/679 Rendelete ( "GDPR”), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) és a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”) rendelkezéseit.
A Tájékoztató célja kettős. Egyfelől meghatározza a weblapunkra (https://www.optaplan.com) látogató személyek adatai kezelésének szabályait, másfelől pedig (a szolgáltatási szerződés megkötését követő időkre) rendezi az OPTAPLANx rendszer ("Rendszer") használata során megadott személyes adatok feldolgozásának kereteit. Előbbi esetben társaságunk adatkezelőnek, míg utóbbi esetben adatfeldolgozónak minősül.
A fentiekre figyelemmel a jelen Tájékoztató tekinthető egyfelől a webes felületünkre látogató személyek (,,Látogatók") felé irányuló, a GDPR 12. Cikke szerinti részletes tájékoztatásnak, másfelől viszont szerződött ügyfeleink (,,Ügyfelek") munkavállalói, partnerei és ügyfelei személyes adatainak kezelésére vonatkozó, a GDPR 28. Cikk (3) bekezdése szerinti adatfeldolgozói megállapodásnak.
A Látogató a webes felületen történő regisztráció, tájékoztatás, illetve szaktanács iránti kérés elküldését megelőzően automatikusan felütődő jelölőnégyzet kitöltésével ismeri el, hogy a jelen Tájékoztató tartalmát megismerte, valamint hogy megadott személyes adatai kezelésére a jelen Tájékoztatóban foglaltak szerint kerül sor.
Ügyfeleink pedig az egyedi szerződés (,,Szerződés") megkötésével ismerik el, hogy munkavállalóik, partnereik és ügyfeleik személyes adatainak kezelésére a jelen Tájékoztatóban foglaltak szerint kerül sor olyképpen, hogy jelen Tájékoztató a megkötött Szerződés elválaszthatatlan részét képezi, mint adatfeldolgozói megállapodás.
2. Az adatkezeléssel érintett személy
Látogató kizárólag 18. életévét betöltött, cselekvőképes személy lehet, továbbá az Ügyfél kizárólag 18. életévét betöltött, cselekvőképes személyre vonatkozó adatot közölhet/tölthet fel a Rendszerbe. A Látogató és az Ügyfél különleges személyes adatot sem a regisztráció során, sem később, semmilyen formában nem bocsát rendelkezésünkre. Különleges személyes adatnak minősül többek között a faji, etnikai származás; politikai vélemény; vallási és világnézeti hit; szakszervezeti tagság; genetikai vagy biometriai adat; egészségügyi adat, vagy a szexuális élettel illetve szexuális irányultsággal kapcsolatos adat. A Látogató és az Ügyfél nyilatkozik továbbá, hogy személyi azonosításra alkalmas számot – teljesség igénye nélkül útlevélszám, személyi szám, személyigazolvány szám, lakcímkártya sorszám, jogosítvány sorszám – sem bocsát rendelkezésünkre.
3. Az adatkezelő/adatfeldolgozó elérhetőségei
Cégnév: OPTAPLAN Szoftverfejlesztő és Tanácsadó Zrt.
Cég teljes neve: OPTAPLAN Szoftverfejlesztő és Tanácsadó Zártkörűen Működő Részvénytársaság
Cím: 1095 Budapest, Mester u. 36. I./IV.
Igazgatóság tagjai: Polony István, Tamók Zoltán és Hernádi László
Email: info@optaplan.com
Telefon: +36 (1) 633 3825
Weboldal: https://www.optaplan.com
Cégjegyzékszám: 01-10-140028
Adószám: 26556484-2-43
4. Az adatkezelés jogalapja
Előfizetést megelőzően az adatkezelés jogalapja
A Látogató a webes felületen történő regisztráció, kérés elküldését megelőzően automatikusan felütődő jelölőnégyzet kitöltésével önkéntes és kifejezett hozzájárulását adja az általa megadott adatok jelen fejezetben foglaltak szerinti kezeléséhez. A Látogató jogosult a hozzájárulását bármikor visszavonni, amely azonban nem érinti a visszavonás előtti adatkezelés jogszerűségét.
Előfizetés esetén szerződésen alapuló jogalap
A Rendszer előfizetése során mindig Szerződést kötünk ügyfeleinkkel, amely egyértelműen tartalmazza az előfizetés feltételeit. Ennek megfelelően ilyenkor az adatkezelés jogalapja a GDPR rendelet szerint már szerződésen alapuló jogalap lesz.
5. A kezelt adatok köre
A webes felületen történő regisztráció, kérés elküldése során a Látogató által megadott alábbi adatokat kezeljük:
- Név
- Telefonszám
- Skype név
- Weboldal
- LinkedIn/Facebook profil link
- Számlázási cím, telephely
- Weboldal látogatás adatok
- IP cím
- sütik (cookie) által gyűjtött adatok.
Az előfizetést követően, a Rendszer használata során Ügyfelünk munkavállalóinak, partnereinek és ügyfeleinek azon személyes adatait kezeljük, amelyeket Ügyfelünk a Rendszerbe feltölt és ott felhasznál. Mivel ezen személyes adatok körét előre meghatározni nem tudjuk, az Ügyfél kötelezettsége az, hogy a Szerződésben az adatkezeléssel érintett adattípusokat megjelölje. Amennyiben Ügyfelünk ilyen adattípusokat nem ad meg, úgy tekintjük, hogy kizárólag a Rendszer használatára feljogosított személyek ("Felhasználók"), valamint az általuk a Rendszer használatára feljogosított további felhasználók ("Alfelhasználók") alábbi adatait kezeljük:
- Név
- Telefonszám
- Skype név
- Weboldal
- LinkedIn/Facebook profil link
- Számlázási cím, telephely
- a Felhasználó/Alfelhasználó által képviselt Ügyfél neve
- Előfizetéshez kapcsolódó dátumok
- Üzleti tervek megnevezése, amelyhez a Felhasználónak/Alfelhasználónak hozzáférése van
- Mikor melyik üzleti tervben végzett a Felhasználó/Alfelhasználó módosításokat
- Aktivitás log tartalma
- IP cím
- Időpont
- Aktivitás csoport (belépés, kilépés, létrehozás, mentés stb…)
- Felhasználói/Alfelhasználói megjegyzések.
6. Az adatkezelés célja
A Rendszerre való előfizetést megelőzően:
→ Beazonosítás, kapcsolattartás a Látogatóval;
→ termékek bemutatása, kérdések megválaszolása;
→ Szerződéskötés előkészítése, ezzel kapcsolatos adminisztráció;
→ Statisztikák, elemzések készítése, döntéselőkészítés. Ez alapján a tartalomfejlesztés és termékfejlesztés koordinálása, hogy valóban használt funkciók, valóban olvasott tartalmak készüljenek;
→ Hírlevelek, reklámok, promóciós anyagok küldése.
A Rendszerre való előfizetést követően:
→ A Szerződésben meghatározott szolgáltatási cél;
→ Statisztikák, elemzések készítése, döntéselőkészítés. Ez alapján a tartalomfejlesztés és termékfejlesztés, hogy valóban használt funkciók, valóban olvasott tartalmak készüljenek;
→ Felhasználói, Alfelhasználói hozzáféréshez kapcsolódó jogosultságok azonosítása;
→ Ügyféltámogatás, tanácsadás;
→ Célzott hírlevelek, reklámok, promóciós anyagok megjelenítése (retargeting)
A Személyes Adatokat a jelen Tájékoztatóban és a Szerződésben meghatározottaktól eltérő célokra nem használjuk. A Személyes Adatokat marketing célokra nem értékesítjük.
7. Sütik (cookie) használata
Honlapunk (https://www.optaplan.com) szolgáltatásaink színvonalának emelése, a webhely felhasználásának megkönnyítése, illetve a biztonsági és adatvédelmi kockázatok megfelelő kezelése érdekében ún. „süti”-ket használ. A süti egy olyan adategyüttes, amelyet a Látogató által felkeresett webhely szervere küld és helyez el a Látogató eszközén. A süti a Látogató böngészésre használt eszközének (számítógép, telefon vagy táblagép) böngészőprogramjában tárolódik, s a küldő később kiolvashatja azt. A sütiket csak a küldő webhely képes kiolvasni, más webhelyek számára nem elérhetőek. A sütik a Látogatók webhely használattal kapcsolatos szokásairól tájékoztatnak minket. Segítségükkel automatikusan rögzítésre kerülhet a Látogató látogatásának kezdő és befejező időpontja, IP-címe, továbbá a beállítások függvényében a Látogató által használt eszköz paraméterei, a Felhasználó által a weboldalon megadott beállítások, a meglátogatott aloldalak és az azokon eltöltött idő.
Weboldalunk böngészésének megkezdésekor, a főoldalon felugró ablak figyelmezteti a Látogatót a sütik eszközön történő elhelyezésére. Amennyiben a felugró ablak megjelenése után tovább használja a weboldalt, abban az esetben automatikusan hozzájárul az elengedhetetlen és funkcionális sütik elhelyezéséhez. A statisztika sütik, valamint a közösségi média vagy marketing sütik használatához ugyanakkor az Ön kifejezett hozzájárulása szükséges, amelyet a felubró ablakban szereplő „Mehet” gombra kattintva fogadhat el. Annak ellenére, hogy Ön a böngészés megkezdésekor hozzájárult a sütik használatához, bármikor dönthet úgy, hogy letiltja és törli a sütiket az internetes böngésző beállításaiban.
A sütik addig vannak jelen, amíg Ön nem törli azokat, de legkésőbb az utolsó felhasználástól számított 1 évig.
8. Hírlevelek, reklámok, promóciós anyagok küldése
A weboldalunkra Látogató a webes felületen történő regisztráció, kérés elküldését megelőzően automatikusan felütődő jelölőnégyzet kitöltésével önkéntes és kifejezett hozzájárulását adhatja, hogy megadott e-mailcímére ügyfélszerzés, termékbemutatás céljából hírleveleket, reklámokat, promóciós anyagokat (együtt "Hírlevél") küldjünk. A Hírlevél küldéséhez adott hozzájárulás bármikor, korlátozás és indokolás nélkül, ingyenesen visszavonható a Hírlevelet tartalmazó e-mail alján szereplő leiratkozás gombra kattintva, avagy a székhelyünkre címzett visszavonó nyilatkozat megküldésével. Ebben az esetben a Látogató nevét és e-mailcímét nyilvántartásunkból nyomban töröljük.
Az előfizetést követően, a Rendszer használata során arra törekszünk, hogy a Felhasználók/Alfelhasználók felé olyan üzeneteket közöljünk, amelyek számukra a Rendszer használatát megkönnyítik, és amelyeket napi munkájuk során valóban érdekesnek, relevánsnak találnak. Ennek érdekében a profiladatok alapján a Felhasználókra szabottan, manuálisan létrehozott szűrők segítségével célzunk, építünk Hírleveleket. A folyamat során nincs automatizált adatfeldolgozással hozott döntés. Mivel ezen Hírlevelek önmagukban promóciós anyagoknak is tekinthetők, az Ügyfél biztosítja azt, hogy a Rendszer használatára feljogosított Felhasználói/Alfelhasználói hozzájárulásukat adták ahhoz, hogy üzleti e-mailcímükön vagy üzleti telefonszámukon az Ügyfél felé irányuló Hírleveleket megkapják.
9. A Látogatókat megillető jogok
Az alábbiakban részletezett jogok megilletik minden Látogatónkat. A Látogató megkeresését fenti e-mailcímünkre vagy postai címünkre címezheti. A megkeresést akkor tekintjük hitelesnek, ha a megküldött kérelem alapján az adott személy egyértelműen beazonosítható (pl. e-mailben küldött tájékoztatáskérést csak akkor tekintünk hitelesnek, ha azt a Látogató a regisztrált e-mail címéről küldi). A Látogató által kezdeményezett megkeresésre legfeljebb 1 hónapon belül válaszolunk. Megteszünk ugyanakkor mindent, hogy ennél sokkal hamarabb reagáljunk.
Tájékoztatás és hozzáférés joga
A Látogató az általunk kezelt személyes adatairól bármikor tájékoztatást kérhet, azokhoz hozzáférhet. A tájékoztatáskérés kiterjedhet az általunk kezelt adatokra, azok forrására, az adatkezelés céljára, jogalapjára, időtartamára, az esetleges adatfeldolgozók nevére és címére, az adatkezeléssel összefüggő tevékenységekre, valamint a személyes adatok továbbítása esetén arra, hogy kik és milyen célból kapták vagy kapják meg azokat.
Helyesbítés joga
A Látogató bármikor kérheti személyes adatai helyesbítését vagy módosítását. Figyelembe véve az adatkezelés célját, kérheti a hiányos személyes adatok kiegészítését.
Elfeledtetéshez való jog (Végleges anonimizáláshoz való jog)
A Látogató kérheti az általunk kezelt személyes adatainak elfeledését. Ennek technikai módja a megadott személyes adatok és a rendszer által generált egyedi azonosító korábbi összerendelésének végleges szétválasztása. Személyes adat végleges anonimizálását követően a korábbi összerendelés, amely lehetővé tenné a felhasználó és az általa végzett tevékenységek azonosítását, már nem állítható helyre. A hírlevelek, egyéb marketing, promóciós anyagok az azokban található leiratkozás linken keresztül mondhatók le.
Az adatkezelés korlátozásához való jog
A Látogató kérheti, hogy személyes adatai kezelését korlátozzuk, ha vitatja a kezelt személyes adatok pontosságát. Ebben az esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy ellenőrizzük a személyes adatok pontosságát. Abban az esetben, ha a Látogató vitatja az általunk kezelt személyes adatának helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen, megjelöljük azt.
Amennyiben a Látogató a személyes adatok végleges anonimizálása helyett az adatok kezelésének korlátozását szeretné kérni, erre módot adunk neki. Hasonlóan lehetőséget adunk erre abban az esetben is, ha az adatkezelés célja megvalósult, de a Látogató igényli adatainak kezelését jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez.
Ha a Látogató tiltakozik az adatkezelés ellen, akkor a személyes adatai kezelését korlátozzuk, mely korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
Az adathordozhatósághoz való jog
A Látogató kérheti, hogy az általa rendelkezésünkre bocsátott és az általa automatizált módon kezelt személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban részére átadjuk és/vagy azokat egy másik adatkezelő részére továbbítsuk.
A tiltakozáshoz való jog
Tiltakozhat a Látogató személyes adatainak kezelése ellen (i) ha a Személyes adatok kezelése kizárólag a ránk vonatkozó jogi kötelezettség teljesítéséhez vagy jogos érdekeink érvényesítéséhez szükséges; (ii) ha az adatkezelés célja közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás; vagy (iii) ha az Adatkezelésre közérdekű feladat teljesítése érdekében kerül sor. A tiltakozás jogszerűségét megvizsgáljuk, és ha a tiltakozás megalapozottságát megállapítjuk, az Adatkezelést megszüntetjük és a kezelt személyes adatokat zároljuk, továbbá a tiltakozásról és az annak alapján tett intézkedésekről értesítjük mindazokat, akik részére a tiltakozással érintett személyes adatok korábban továbbításra kerültek.
10. Az Ügyfelet megillető jogok
Az Szerződés megkötését követően adatfeldolgozónak minősülünk, minél fogva a személyes adatok kezelésével kapcsolatos kérdésekben kizárlag szerződéses Ügyfelünk, az adatkezelő utasításait követjük, az adatkezelést érintő érdemi döntést nem hozunk, saját céljainkraára adatfeldolgozást nem végzünk.
Ügyfelünk utasításai kötelezőek ránk - az alábbi kitétellel. A Felhasználó/Alfelhasználó által a Rendszerbe rögzített üzleti tervekhez kapcsolódó Személyes Adatokra munkatársaink sem látnak rá, minél fogva az így tárolt Személyes Adatokon adatkezelési műveleteket (pl. tárolt adat törlése, módosítása etc.) alapvetően Ügyfelünk tud végezni. Amennyiben a Felhasználó/Alfelhasználó a “tanácsadó meghívása” funkción keresztül hozzáférést ad az üzleti tervhez egy munkatársunknak, és ott valamely adatkezelési művelet végrehajtását kéri, úgy az érintett adatkezelési műveletet mi is megalósítjuk, de az utasítás teljesítéséért díjtételt fogunk felszámítani (pl. a Rendszer használatával kapcsolatos oktatás, szaktanácsadás díja).
Haladéktalanul tájékoztatjuk az Ügyfelet, ha úgy véljük, hogy valamely utasítása sérti a vonatkozó adatvédelmi jogszabályokat, avagy a jelen Tájékoztatóban foglaltakat.
Az Ügyféltől származó utasításnak kell tekinteni, amennyiben az utasítás a Rendszer használatára feljogosított Felhasználótól származik. E tekintetben a Felhasználó az Ügyfél képviselőjének minősül.
Amennyiben az adatkezeléssel érintett természetes személy Személyes Adatainak kezelésével kapcsolatos megkereséssel fordul felénk, segítséget nyújtunk az Ügyfél számára az érintett természetes személytől érkezett kérések teljesítésében, ugyanakkor az érintett természetes személynek közvetlenül nem válaszolhatunk. Erre figyelemmel az Ügyfél köteles mindenkor megőrizni a Személyes Adatok kezelésére vonatkozó rendelkezési és irányítási jogosultságát.
11. Az OPTAPLAN jogai és kötelezettségei
A személyes adatok kezelését/feldolgozását mindenkor az alkalmazandó adatvédelmi jogszabályoknak és a jelen Tájékoztatóban foglaltaknak megfelelően végezzük, továbbá Ügyfelünk rendelkezésére bocsátunk minden olyan információt, amely ezen megfelelés igazolásához szükséges.
Adatvédelmi incidens esetén, ide értve a biztonsági intézkedések olyan mértékű megszegését, amely a Személyes Adatok véletlen vagy jogtalan megsemmisítéséhez, elvesztéséhez, megváltoztatásához, közléséhez vagy a Személyes Adathoz való jogosulatlan hozzáféréshez vezethet, haladéktalanul (ám mindenképpen 72 órán belül), lehetőség szerint e-mail útján értesítjük az Ügyfelet. Az Adatvédelmi incidens bejelentésének legalább a következőket kell tartalmaznia: az adatvédelmi incidens leírását, beleértve az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Minden Adatvédelmi Incidenst dokumentálunk, és az erről készített nyilvántartást az Ügyfél kérésére rendelkezésre bocsátjuk.
Adatvédelmi incidens bekövetkezte esetén megfelelő intézkedéseket hozunk annak érdekében, hogy az incidens érintettekre gyakorolt hatását enyhítsük. Együttműködik az Ügyféllel, annak érdekében, hogy megfelelően reagáljon az adatvédelmi incidensre.
Lehetővé tesszük és elősegítjük az Ügyfél által vagy az általa megbízott más ellenőr által végzett auditokat, az audit ugyanakkor nem terjedhet ki a más ügyfeleihez tartozó adatok vizsgálatára, továbbá nem biztosít hozzáférést a Rendszer biztonsági adataival kapcsolatos információkhoz. Segítséget nyújtunk az Ügyfél számára az adatvédelmi hatásvizsgálatok és a felügyeleti hatósággal folytatott előzetes konzultációk során, olyan mértékben, amilyen mértékben ezt jogszabály számunkra előírja.
12. Jogorvoslati lehetőségek
Adatkezeléssel kapcsolatos panaszaival közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) fordulhat.
A Felhasználó, jogai megsértése esetén bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – választása szerint – lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Kérésére tájékoztatjuk a jogorvoslat lehetőségéről és eszközeiről.
13. At adatkezelés bizalmas jellege
A rögzített adatokat bizalmasan kezeljük. Ide értendő többek között az email és sms küldés a Felhasználó által megadott elérhetőségekre, mely esetben az üzenet az adott szolgáltatón keresztül kerül kiküldésre. Úgy választjuk meg az adatok kezelése során alkalmazott informatikai eszközöket, hogy az üzemeltetés során a kezelt adatok kizárólag munkatársaink és al-adatfeldolgozóink legszükségesebb köre számára legyenek hozzáférhetőek, az adatok hitelességüket megőrizzék, a rögzített adatokon – az adatrögzítő eljárásán kívül – változás ne álljon be, a rögzített adatokhoz jogosulatlan személy hozzá ne férjen (ide nem értve a Felhasználót, valamint az általa hozzáféréssel feljogosított Alfelhasználókat).
Biztosítjuk azt, hogy a személyes adatok feldolgozására feljogosított munkavállalóink/al-adatfeldolgozóink titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. Munkatársaink számára a munkához feltétlenül szükséges hozzáférést biztosítjuk csak az általunk kezelt személyes adatokhoz. Minden hozzáférést naplózunk, az adat-kimentés funkcióhoz erősen korlátozott hozzáférést biztosítunk csak.
A Felhasználó/Alfelhasználó által a Rendszerbe rögzített saját üzleti tervekhez kapcsolódó személyes adatokra munkatársaink sem látnak rá. Ha a Felhasználó/Alfelhasználó a “tanácsadó meghívása” funkción keresztül hozzáférést ad az üzleti tervhez egy munkatársunknak, ő a beállításokat, valamint az üzleti terv vagy tervek rögzített adatait is fogja látni, de csak a hibakereséshez vagy a Felhasználó más kéréséhez elkerülhetetlenül szükséges mértékben.
A kezelt Személyes Adatok kötelező erejű hatósági vagy bírósági felhívásra továbbításra kerülhetnek, mely esetleges tényről Ügyfeleinket haladéktalanul értesítjük, amennyiben az nem ellentétes a hatósági vagy bírósági felhívással, vagy a vonatkozó jogszabályi előírással.
14. Adatfeldolgozók/Al-adatfeldolgozók megnevezése, adattovábbítás
Szerver elhelyezés szolgáltatás:
Microsoft publikus felhő Amsterdam
Név: T-Systems Magyarország Zrt. - Adatpark Budapest
Cím: 1087 Budapest, Asztalos Sándor út 13.,
Telefon: 1400
E-mail: TS_ugyfelkapcsolat@t-systems.hu
Weboldal: http://www.t-systems.hu/
Tárolt adatok: rendszer naplók, CRM rendszerben tárolt adatok.
Műveletek: rack szekrény szolgáltatás, Internet kapcsolat biztosítás, áram biztosítás.
Webanalítika, email és dokumentum kezelés, naptár, telefon kontaktok, táblázat szinkronizáció, célzott reklám megjelenítés:
Név: Google LLC
Cím: 1 Hacker Way, Menlo Park, California 94025
Telefon: N/A
E-mail: N/A
Weboldal: https://www.google.com/
Tárolt adatok: weboldal látogatás adatok, levelezés, egyedi szerződések és ajánlatok, naptárbejegyzések, telefon kontaktok, szűrők alapján táblázatokba megosztott adatok, egyedi felhasználó azonosítók, látogató azonosító süti (cookie).
Műveletek: weboldal látogatási adatok elemzése, A/B teszt futtatás, email szolgáltatás, dokumentum menedzsment, naptár szolgáltatás, telefon kontaktok szinkronizálása eszközök között, online táblázat kezelő, célzott reklámok megjelenítése (retargeting).
Tömeges SMS szolgáltatás:
Név: Opennetworks Kft.
Cím: Budapest, Fehérvári út 50-52. II. emelet, 1117 Hungary
Telefon: +36-1-999-6000
E-mail: info@opennet.hu
Weboldal: http://www.opennet.hu/
Tárolt adatok: telefonszám, SMS üzenet tartalma és meta adatai
Műveletek: tömeges SMS szolgáltatás Ügyfeleink számára.
Nemzetközi SMS szolgáltatás eseti
Twillio vagy Plivo
E-mail szolgáltatás
SendGrid
Számlázás:
OTP ebiz
Könyvelés:
Név: DiaKont Ügyviteli és Mérnöki Iroda
Cím: H-1042 Budapest, Árpád út 90-92.
Telefon: +36 (1) 272-1572
E-mail: diakont@diakont.eu
Weboldal: http://www.diakont.eu/
Tárolt adatok: számlán szereplő vevő és eladó adatok, számla tételek, számla részletes adatai.
Műveletek: könyvelés, törvényben előírt jelentések és bevallások elkészítése.
Online adatszolgáltatás (számlázó):
Név: Nemzeti Adó- és Vámhivatal (NAV)
Cím: 1134 Budapest, Dózsa György út 128-132.
Telefon: +36-1-427-3200
E-mail: N/A
Weboldal: https://www.nav.gov.hu/
Tárolt adatok: számlán szereplő vevő és eladó adatok, számla tételek, számla részletes adatai.
Műveletek: online adatszolgáltatás számlázó modulból, adatelemzés, kockázat elemzés, hatósági ellenőrzés.
A Személyes Adatokat tartalmazó, papíralapon, fizikai formában létező iratokat/adathordozókat Magyarország területén őrizzük. A gyűjtött, elektronikus formában elérhető Látogatói és Ügyféladatok (ide értve az Ügyfelek munkavállalóira, partnereire és ügyfeleire vonatkozó Személyes Adatokat is), így különösen a Rendszerbe feltöltött adatok azonban az említett adatfeldolgozók külföldi informatikai rendszerein/szerverein is elérhetővé válhatnak (pl. Microsoft publikus felhő Amsterdam), míg a fent említett, USA-székhelyű adatfeldolgozók esetében, a fent megjelölt célból az Európai Gazdasági Térségen (EGT) kívüli adattovábbításra is sor kerülhet. Hangsúlyozzuk azonban, hogy az EU–USA Privacy Shield egyezménye alapján az USA az adatok megfelelő szintű védelmét biztosító harmadik országnak tekintendő.
Az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezetünk, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
15. Adatbiztonság
Az adatbiztonság komplex kérdéskör érzékeny üzleti adatokat kezelő rendszerek esetén. Társaságunknál belső szabályok és folyamatok biztosítják az adatbiztonsági és adatvédelmi elvárások teljesülését az alábbi területeken:
- Adatok szétválasztása,
- Elérhetőség,
- Adatmentés, katasztrófa elhárítás,
- Azonosítás és hozzáférés szabályozás,
- Biztonság-tudatos szoftver fejlesztés.
Technológia/Hálózati Biztonság
Rendszeresen frissítünk minden alkalmazott szoftvert az ismert támadási felületek kivédésére, minden szinten (pl. munkatársak által használt eszközök, szerver operációs rendszer, virtualizációs réteg, vendég operációs rendszer, alkalmazás).
Szervereink Európa egyik legbiztonságosabb adatközpontjában (Dataplex / Magyar Telekom) találhatóak. Redundáns és skálázható felépítésű infrastruktúrát alkalmazunk, amelyben nincs egy olyan pont/eszköz, aminek kiesése esetén a szolgáltatás kiesne. Több szintű tűzfalas védelem választja el az adatokat tároló szervereket a külvilágtól. Internet kapcsolattal csak a dedikált terheléselosztó szerverek rendelkeznek. Alkalmazás szerverek és adattároló szerverek egymástól elhatárolt belső hálózaton üzemelnek, közöttük egy köztes tűzfal/terheléselosztó réteg biztosítja a kapcsolatot.
Az elfogadott iparági megoldásokat követjük, mint Open Web Application Security Project (OWASP) és a Cloud Security Alliance Cloud Controls Matrix (CCM).
Külön hálózaton üzemel az éles/teszt/integrációs teszt/fejlesztői környezet.
Több szintű behatolás- és adathalászat-támadás riasztás védi a tárolt adatokat. Nem használt szolgáltatások, protokollok és szoftverek eltávolításra kerülnek. Minden szerverünk minimális alapokból építkezik, csak a szükséges szoftvereket telepítve.
Azonosítás és hozzáférés szabályozás
Fizikai hozzáférés az infrastruktúrához erősen korlátozott. Minden esetben szükséges a megfelelő azonosítás. Minden hozzáférés csak nevesített felhasználói fiókokon keresztül lehetséges. Felhasználói fiókokat erős jelszavak védik, jelszavak erősségét az alkalmazásba épített szabályok biztosítják (kisbetű / nagybetű / speciális karakter). Minden jelszó erősen titkosított, egyirányú “sózott” hash értékként kerül tárolásra. Felhasználói fiókokat az Ügyfél rendszerében adminisztrátor jogosultsággal rendelkező Felhasználók kezelhetik. A fiókokat jelszó-próbálkozás ellen automatizált blokkoló rendszer védi, ami több téves belépési kísérlet után a felhasználói fiókot letiltja. A Felhasználók bekapcsolhatják a kétfaktoros beléptetés funkciót is. Ilyen esetben érvényes emailcím-jelszó párossal új eszközről belépve a Rendszer egy további biztonsági kódot kér. Ez lehet SMS vagy TOTP (Google Authenticator) vagy e-mail kód.
Adatmentés, katasztrófa-elhárítás
Titkosított adatmentés készül naponta, automatikusan és továbbításra kerül más adatközpontba, hogy katasztrófa esetén az adatok visszaállíthatósága biztosított legyen.
Az adatmentések a Microsoft Azure biztonsági protokolljainak megfelelően történnek.
Minden Rendszerben rögzített adat közel valós időben több adathordozóra és több szerverre tükröződik. Az elosztott, redundáns adattárolás biztosítja, hogy egyes hardver eszközök kiesése nem vezethet adatvesztéshez.
Adatok szétválasztása
A Rendszer kezdetektől fogva többfelhasználós szolgáltatásnak épült, a teljes platform és infrastruktúra biztosítja az adatok logikai elválasztását. Külső azonosító szolgáltatások használata (Single-Sign-On) támogatott (Google Fiók, OpenID).
Auditok
Folyamataink és belső szabályaink eredményességét külső biztonsági auditok segítségével ellenőrizzük.
Rendelkezésre állás - Microsoft
Az üzleti alkalmazások rendelkezésre állása kritikus. Több tucat minőségi szerverből épített infrastruktúránk garantálja, hogy az egyes komponensek meghibásodása ne vezessen a teljes szolgáltatás kieséséhez. Konténerekre épülő architektúra nem csak biztonsági szempontból előnyös, az egyes szolgáltatások automatikusan költöztethetőek szerverek között, folyamatos rendelkezésre állást biztosítva és kiegyenlítve a különböző időszakok eltérő terheléseit.
Biztonság-tudatos szoftverfejlesztés/naprakész technológia
A biztonság nálunk nem csak utólagos gondolat, fejlesztési folyamataink szerves része. Új fejlesztőink részletes oktatáson vesznek részt, hogy megfelelően tudatosuljanak az adatbiztonsággal és adatvédelemmel kapcsolatos kérdések.
A biztonsági szempontból érzékeny kódrészeket külön monitorozzuk, ezeket a részeket érintő módosítások kötelező kód-átnézés után emelhetőek be a következő verzióba.
Fejlesztés során meghatározott szabályok biztosítják az adatok érvényességét, az egymással összefüggésben lévő adatok közti kapcsolatok integritását.
Külön frissítési/utánkövetési/fejlesztési díj nélkül, mindig az aktuális technológiákat támogató rendszert biztosítunk.
Nem csak a szervereinken futó szoftvereket frissítjük folyamatosan, de a Rendszer Felhasználók által látható “építőkockáit” is. Így biztosítjuk, hogy az egyszer átadott megoldások évek múlva is működjenek új böngészőn, vagy j hardver (pl. notebook/mobil) eszközökön.
A Rendszer nem csak induláskor, egy tucat Felhasználóval és párezer rekorddal gyors. Ahogy gyűlnek az adatok és nő a felhasználószám, úgy allokál automatikusan több erőforrást a platform, hogy mindig kielégítse az igényeket.
16. Az adatkezelés időtartama
A Látogatói adatokat midaddig kezeljük, amíg Látogatónk regisztrációját nem törli. Az Ügyfeleink által rendelkezésünkre bocsátott adatokat a Szerződés időtartama alatt kezeljük. Ügyfelünk kérésére írásban is megerősítjük, hogy a Személyes Adatok törlésére/megsemmisítésére vagy visszaszolgáltatására sor került.
17. Tájékoztató frissítése, jogszabályi változások követése
A Tájékoztatót folyamatosan felülvizsgáljuk és aktualizáljuk a jogszabályi környezet változásainak és a hatósági elvárásoknak megfelelően. Az aktuális Tájékoztatóról a Látogató/Ügyfél weboldalunk „Adatkezelési Tájékoztató” része alatt tájékozódhat.
18. Fogalommeghatározások
Személyes adat vagy adat: bármilyen információ, amely alapján egy természetes személy – közvetett vagy közvetlen módon – azonosíthatóvá válik.
Adatkezelés: az alkalmazott eljárástól függetlenül a Személyes Adatokon végzett bármely művelet vagy a műveletek összessége, így különösen a Személyes Adatok gyűjtése, rögzítése, rendszerezése, tagolása, tárolása, átalakítása, megváltoztatása, felhasználása, lekérdezése, betekintése, felhasználása, közlése, továbbítása, terjesztése vagy egyéb módon hozzáférhetővé tétele, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, korlátozása, törlése és megsemmisítése.
Adatkezelő: az személy/szervezet, amely az adat kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.
Adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.
Adatfeldolgozó: az a szolgáltató, aki az adatkezelő megbízásából vagy rendelkezésére Személyes Adatokat kezel.
Rendszer: az általunk üzemeltetett OPTAPLANx üzleti tervező, elemző rendszer, a hozzá szorosan kapcsolódó internetes oldalak, és ezen honlapok aloldalai.