Adatkezelési tájékoztató

7.3.2 Adatvédelem

A Felek a Szolgáltatás nyújtásának és igénybevételének időtartama alatt megvalósuló adatkezelések során a hatályos adatvédelmi jogszabályok rendelkezéseinek kötelesek megfelelni, ideértve különösen az Európai Unió Általános Adatvédelmi Rendeletét (GDPR – az Európai Parlament és a Tanács (EU) 2016/679 Rendelete ((2016. április 27.)), valamint az információs önrendelkezései jogról és az információszabadságról szóló 2011. évi CXII. törvényt (Infotv.).

A Szolgáltatás nyújtása és igénybevétele során az egymás tudomására hozott kapcsolattartói személyes adatok kezelésére a Felek szerződéses kötelezettségeinek teljesítése érdekében kerül sor. Ezen adatokat jogszabály eltérő rendelkezése hiányában a Felek között fennálló jogviszony időtartama alatt lehet kezelni. A Felek kötelesek a személyes adatok másik Fél részére történő átadása tekintetében a megfelelő jogalapról és az érintettek megfelelő tájékoztatásáról gondoskodni. Amennyiben a jogviszony bármely okból megszűnik, úgy a kapcsolattartó személyek személyes adatait a Felek a továbbiakban nem kezelik, a jogviszony fennállásáról szóló dokumentumot kivéve, azt vissza nem állítható módon valamennyi nyilvántartásukból kötelesek törölni.

A Megbízó tudomásul veszi, hogy a Szolgáltatás részeként a Chatbot többek között akár természetes személyek, mint érintettek (továbbiakban: Érintettek) személyes adatainak a kezelését is lehetővé teheti, habár nem a Szolgáltató nem ezzel a céllal telepíti. A Szolgáltatás igénybevétele során a Chatbotba a Megbízó által beírt személyes adatok az Érintettek részére a Megbízó által nyújtott szolgáltatással kapcsolatban felvett, rögzített, keletkezett személyazonosító adatok (vagy az Érintetthez köthető egyéb adatok) az ügyfél dokumentáció részét képező személyes adatoknak minősülnek. Ennek megfelelően a Szolgáltatás igénybevétele útján kezelt, a Chatbotba beírt és abban eltárolódott személyes adatok tekintetében az adatkezelés céljait és eszközeit a Megbízó, mint adatkezelő határozza meg. A Megbízó az Érintettek személyes adatait saját nevében, önálló adatkezelőként kezeli.

A Megbízó, mint adatkezelő köteles gondoskodni arról, egyben szavatolni, hogy személyes adatkezelése megfelel a vonatkozó adatvédelmi rendelkezéseknek, és mindenkor megfelelő technikai és szervezési intézkedéseket hajt végre az adatvédelmi elvek megvalósítása, valamint az adatvédelmi rendelkezésekben foglalt követelmények teljesítése, valamint az Érintettek jogainak védelme érdekében. A Megbízó az Érintettekre vonatkozó személyes adatokat az Érintettek megfelelő tájékoztatása mellett köteles kezelni. Az Érintettek tájékoztatása és az adatkezelés tekintetében a hozzájárulás beszerzése mindenkor a Megbízó kötelessége és felelőssége.

A Megbízó, mint adatkezelő köteles a Szolgáltatással kapcsolatban alkalmazottait, alvállalkozóit, szerződéses partnereit is tájékoztatni arról, hogy a Szolgáltató által nyújtott Szolgáltatás igénybevételével akár személyes adatokat is tárolhat vagy kezelhet, azonban ezt a Szolgáltatást a Szolgáltatótól nem mint adatfeldolgozótól veszi igénybe. Amennyiben a Megbízó ezen kötelezettségének nem tesz eleget, úgy az ebből származó valamennyi hátrány – vagyoni és nem vagyoni – megtérítéséért teljes kártérítési felelősséggel tartozik, továbbá a helytelen adatkezelésből származó jogkövetkezmények is a Megbízót terhelik

Az Érintettek adataihoz a Megbízó, mint adatkezelő – amennyiben az a Szolgáltatás teljesítéséhez szükséges – biztosít hozzáférést a Szolgáltató részére. A Szolgáltató feladatainak teljesítésével kapcsolatban kizárólag a Megbízó kifejezett kérése esetén a Megbízó, mint adatkezelő kérésének megfelelő okból, célból, időtartamig és körben (pl. terméktámogatás, távoli segítségnyújtás, illetve a Chatbot bárminemű karbantartása) jogosult az Érintettek személyes adataihoz hozzáférni.

A Szolgáltató adatfeldolgozóként a Szolgáltatás nyújtásával kapcsolatban bármilyen adatkezelési tevékenységet (pl. egyedi igények teljesítése) csak és kifejezetten a Megbízó, mint adatkezelő írásos kérelmére, annak felügyeletével és tudtával, továbbá a Megbízó által (különösen a kezelt adatok kategóriái, adatok címzettje tekintetében stb.) meghatározott módon végez. A Szolgáltató adatfeldolgozóként kizárólag a Megbízó, mint adatkezelő konkrét utasítása szerint és megfelelő biztonsági védőintézkedések végrehajtása mellett továbbít személyes adatokat harmadik felek számára, a jogosulatlan adatkezelés és közlés elkerülése érdekében.

A Szolgáltató csakis a Szolgáltatások teljesítéséhez feltétlenül szükséges mértékben biztosít hozzáférést az adatokhoz az alkalmazottai számára. A Szolgáltató, mint adatfeldolgozó egyben szavatolja, hogy a Szolgáltatás által érintett adatokat kezelő valamennyi alkalmazottja utasítást kap arra, hogy betartsa az összes alkalmazandó adatvédelmi jogszabályt.

Mind a Megbízó, mind a Szolgáltató tudomásul veszi, hogy amennyiben adattovábbítás történik, az adattovábbítás biztonságának biztosítása, a jogosulatlan hozzáférés megakadályozása érdekében kötelesek megtenni a megfelelő technikai szervezési intézkedéseket. Ennek megfelelően a Felek kötelesek az Érintettek személyes adatait és azokat tartalmazó minden dokumentumot biztonságos módon továbbítani egymásnak, így
– elektronikusan jelszóval titkosított fájlban e-mail-en,
– sFTP szerveren keresztül.

A Szolgáltatással kapcsolatban személyes adatok kezelésére alapvetően az Európai Unió, illetve az Európai Gazdasági Térség területén kerül sor. Személyes adatok harmadik országokba, vagy nemzetközi szervezetek részére történő továbbítására csak a GDPR V. fejezetében (különösen a 45.- 46. cikkében) foglaltak alapján és abban az esetben kerülhet sor, ha az ott meghatározott kötelezettségeket a Megbízó, mint adatkezelő és a Szolgáltató, mint adatfeldolgozó teljesíti. Ilyen esetekben mindenkor előzetesen megvizsgálandó, hogy az adott ország, illetve szervezet intézkedései, garanciái elegendőek-e a megfelelő, az uniós védelmi szinttel lényegében azonos védelmi szint biztosításához.

A Szolgáltató, mint adatfeldolgozó az Érintettek személyes adatait – a GDPR rendelkezéseinek (és adott esetben a magyar jog szerinti bármely megfelelő végrehajtási aktusnak) megfelelően – nem tárolja tovább, mint ameddig azt a Megbízó, mint adatkezelő által meghatározott kezelési cél szükségessé teszi.

A Szolgáltató – tekintettel a szóban forgó személyes adatok kezelésével, illetve jellegével járó kockázatokra – megfelelő technikai és szervezeti biztonsági intézkedéseket tesz annak érdekében, hogy:

a) megakadályozza a jogosulatlan személyeket abban, hogy hozzáférjenek a személyes adatokat kezelő számítógépes rendszerekhez, és különösen, hogy megakadályozza az alábbiakat:
(i) adathordozók jogosulatlan leolvasása, másolása, módosítása vagy eltávolítása;
(ii) jogosulatlan adatbevitel, valamint tárolt személyes adatok jogosulatlan közlése, megváltoztatása vagy törlése;

(iii) adatkezelő rendszerek jogosulatlan használata adatátviteli eszközök segítségével;

b) biztosítja, hogy az adatkezelő rendszer jogosult felhasználói csak azokhoz a személyes adatokhoz férnek hozzá, amelyek tekintetében hozzáférési joggal rendelkeznek;
c) biztosítja, hogy a harmadik felek nevében kezelt személyes adatokat kizárólag az adatkezelő által előírt módon lehessen kezelni;
d) biztosítja, hogy a személyes adatok közlése és az adathordozók szállítása során az adatokat engedély nélkül ne lehessen leolvasni, másolni, illetve törölni;
e) a szervezeti felépítést olyan módon tervezzék meg, hogy az megfeleljen az adatvédelemre vonatkozó követelményeknek.

Az adatvédelmi incidens az adatkezelés biztonságának olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A Felek vállalják, hogy a Szolgáltatással kapcsolatban vagy azzal összefüggésben általuk észlelt adatvédelmi incidensről tájékoztatják egymást, annak tudomásra jutásától számított legkésőbb 48 órán belül, és szükség esetén együttműködnek az incidens kezeléséhez szükséges intézkedések megtételében. A Megbízó kifejezetten tudomásul veszi, hogy az adatvédelmi incidenssel kapcsolatos kötelezettségek (így különösen a felügyeleti hatóságnak való bejelentési és az Érintettek tájékoztatásának kötelezettsége) a Megbízót, mint adatkezelőt terheli. Az Érintetteket az adatvédelmi rendelkezések megszegéséből eredő kárért az a Fél felelős, akinek az adatkezelése az adatvédelmi rendelkezéseket megsértette.

A Szolgáltató, mint adatfeldolgozó vállalja, hogy a Szolgáltatás időtartama alatt együttműködik a Megbízó, mint adatkezelő adatvédelmi tisztviselőjével a Szolgáltatás által érintett személyes adatokra vonatkozó adatvédelmi kötelezettségek betartásának ellenőrzésével kapcsolatban. A Szolgáltatással kapcsolatban a Szolgáltató részéről az adatvédelmi kérdések tekintetében illetékes kapcsolattartó: Szabó Péter (peter.szabo0517@gmail.com, 06304187383).

A Szolgáltató teljes adatvédelmi dokumentációja megtalálható a Szolgáltató weboldalán, a https://ugyfelmi.hu/adatkezelesi-tajekoztato/ webcímen. A Megbízó a Szerződés megkötésével kifejezetten elfogadja a dokumentációban leírtakat.