A MAGYAR NYELVŰ ADATKEZELÉSI TÁJÉKOZTATÓ ELÉRÉSÉHEZ KÉREM GÖRGESSEN LE A LAP KÖZEPÉIG. / TO ACCESS THE PRIVACY NOTICE IN HUNGARIAN, PLEASE SCROLL DOWN TO THE MIDDLE OF THE PAGE.

PRIVACY NOTICE

dr. Patrik Hancz sole trader (hereinafter: Data Controller)

By publishing this Privacy Notice, the Data Controller fulfils its prior information obligation regarding the processing of personal data of data subjects, as prescribed by REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. Pursuant to the Regulation, all information must be provided in a concise, transparent, intelligible and easily accessible form, using clear and plain language.

I. IDENTIFICATION OF THE DATA CONTROLLER

In relation to the processing of the data subject’s personal data, the Data Controller is:

COMPANY NAME: dr. Patrik Hancz sole proprietor

REGISTRATION NUMBER: 38473695

TAX NUMBER: 66745891-1-28

NAME OF DATA PROTECTION OFFICER: DR. PATRIK HANCZ

E-MAIL:

Personal data may be accessed by:

• employees of the Data Controller with access rights related to the relevant data processing purpose,
• persons and organizations performing data processing activities on behalf of the Data Controller under service agreements, within the scope defined by the Data Controller and to the extent necessary for performing their activities.

Method of storage of personal data processed in electronic form:

• cloud service used by the Data Controller (name of cloud service): Microsoft SharePoint

II. IDENTIFICATION OF THE DATA PROCESSOR(S)

The data processors are as follows:

Odoo S.A.

Chaussée de Namur, 40

1367 Grand Rosière

Belgium

Website: https://www.odoo.com/privacy#part_5

E-mail: privacy@odoo.com

Activity: Odoo S.A. provides the Data Controller with enterprise resource planning (ERP), customer relationship management, invoicing and administrative software services, during which personal data may be processed.

The following service providers are participants in the EU–USA Data Privacy Framework, therefore the adequacy of data transfers is ensured:

Google LLC

1600 Amphitheatre Pkwy

Mountain View, CA 94043

E-mail: dpf-core-team@google.com

Phone: +1 650 253 0000

Activity: Google LLC provides the Data Controller with electronic mail, cloud-based data storage, document management and online collaboration services, which may involve the processing of personal data.

Meta Platforms, Inc.

1 Meta Way

Menlo Park, California 94025-1453

E-mail: dpfinquiry@support.facebook.com

Phone: (650) 543-4800

Activity: Meta Platforms, Inc. provides the Data Controller with online communication, social media and marketing services, within the framework of which personal data may be processed.

Microsoft Corporation

1 Microsoft Way

Redmond, Washington 98052-8300

E-mail: dpoffice@microsoft.com

Phone: +353 1 706 3117

Activity: Microsoft Corporation provides the Data Controller with cloud-based office, email, document management and collaboration services (in particular Microsoft 365, OneDrive, SharePoint), which require the processing of personal data.

III. DEFINITIONS

1. data subject: any identified or identifiable natural person;

1a. identifiable natural person: a natural person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, identification number, location data, online identifier, or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

1. personal data: any information relating to the data subject;
2. special categories of data: all data belonging to special categories of personal data, i.e. personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, as well as genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation;

3a. genetic data: personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

3b. biometric data: personal data resulting from specific technical processing relating to the physical, physiological or behavioral characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

3c. data concerning health: personal data related to the physical or mental health of a natural person, including the provision of healthcare services, which reveal information about their health status;

1. consent: any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which the data subject, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to them;
2. data controller: a natural or legal person, or an organization without legal personality, which alone or jointly with others determines the purposes and means of the processing of personal data and makes and implements decisions regarding the processing (including the means used), or has them carried out by a data processor, within the framework defined by law or by a binding legal act of the European Union;

5a. joint controller: a data controller which jointly with one or more other controllers determines the purposes and means of the processing of personal data and jointly makes and implements decisions regarding the processing (including the means used), or has them carried out by a data processor, within the framework defined by law or by a binding legal act of the European Union;

1. processing: any operation or set of operations which is performed on personal data, regardless of the procedure applied, such as collection, recording, organization, storage, alteration, use, retrieval, disclosure by transmission, dissemination, alignment or combination, restriction, erasure or destruction, as well as preventing further use of the data, taking photographs, audio or video recordings, and recording physical characteristics suitable for identification (e.g. fingerprints, palm prints, DNA samples, iris scans);
2. data transfer: making data accessible to a specified third party;

7a. indirect data transfer: the transfer of personal data to a controller or processor in a third country or within an international organization, for onward transfer to another controller or processor in another third country or within another international organization;

1. disclosure: making data accessible to anyone;
2. erasure: rendering data unrecognizable in such a way that its restoration is no longer possible;
3. restriction of processing: marking stored data for the purpose of limiting its further processing;
4. data destruction: the complete physical destruction of the data carrier containing the data;
5. data processing operations (by processor): the totality of processing operations carried out by a processor acting on behalf of or under the instructions of the controller;
6. data processor: a natural or legal person, or an organization without legal personality, which processes personal data on behalf of or under the instructions of the data controller, within the framework defined by law or by a binding legal act of the European Union.
7. data set (data file): the totality of data processed within a single register;
8. third party: a natural or legal person, or an organization without legal personality, which is not the data subject, the data controller, the data processor, or persons who, under the direct authority of the controller or processor, are authorized to process personal data;
9. personal data breach: a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed;
10. profiling: any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyze or predict aspects concerning work performance, economic situation, health, personal preferences or interests, reliability, behavior, location or movements;
11. recipient: a natural or legal person, or an organization without legal personality, to whom personal data are disclosed by the controller or the processor;
12. pseudonymization: the processing of personal data in such a manner that the data can no longer be attributed to a specific data subject without the use of additional information stored separately, and ensuring through technical and organizational measures that the data cannot be linked to an identified or identifiable natural person;
13. undertaking: a natural or legal person engaged in an economic activity, regardless of its legal form, including partnerships and associations regularly engaged in economic activity;
14. Regulation: REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (27 April 2016);
15. data processing system: the tools used for data processing.

IV. LEGAL BASIS OF PROCESSING

1. Consent of the data subject

(1) The lawfulness of the processing of personal data must be based on the consent of the data subject or on another lawful basis established by law.

(2) Where processing is based on consent, the data subject may give their consent in the following forms:

a) in writing, by means of a declaration consenting to the processing of personal data,

b) electronically, through explicit action on the website of the undertaking, such as ticking a checkbox, or by making appropriate technical settings when using information society services, as well as any other statement or action which clearly indicates, in the given context, the data subject’s consent to the intended processing of their personal data.

(3) Silence, pre-ticked boxes or inactivity do not constitute consent.

(4) Consent shall cover all processing activities carried out for the same purpose or purposes.

(5) Where processing serves multiple purposes, consent must be given for all purposes. If consent is given following an electronic request, the request must be clear and concise and must not unnecessarily disrupt the use of the service for which consent is requested.

(6) The data subject has the right to withdraw consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. The data subject must be informed of this prior to giving consent. Withdrawal of consent shall be as easy as giving consent.

2. Performance of a contract

(1) Processing shall be lawful where it is necessary for the performance of a contract to which the data subject is a party, or in order to take steps at the request of the data subject prior to entering into a contract.

(2) Consent to the processing of personal data not necessary for the performance of a contract may not be made a condition for entering into the contract.

3. Compliance with a legal obligation or protection of vital interests

(1) Where processing is based on a legal obligation, the legal basis is defined by law; therefore, the consent of the data subject is not required.

(2) The Data Controller shall inform the data subject of the purpose, legal basis and duration of the processing, the identity of the controller, as well as the data subject’s rights and available legal remedies.

(3) The Data Controller shall be entitled to process personal data necessary for compliance with its legal obligations even after the withdrawal of consent.

4. Performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or legitimate interests of the controller or a third party

(1) The legitimate interests of the Data Controller – including a controller to whom the personal data may be disclosed – or of a third party may constitute a legal basis for processing, provided that such interests are not overridden by the interests or fundamental rights and freedoms of the data subject, taking into consideration the reasonable expectations of the data subject based on their relationship with the Data Controller. Such legitimate interest may exist, for example, where there is a relevant and appropriate relationship between the data subject and the controller, such as when the data subject is a client of the controller or is in its employment.

(2) In order to establish the existence of a legitimate interest, careful assessment must in any case be carried out, including whether the data subject can reasonably expect, at the time of the collection of the personal data and in the context thereof, that processing for that purpose may take place.

(3) The interests and fundamental rights of the data subject may override the interests of the controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing.

V. RIGHTS OF THE DATA SUBJECT

The Data Controller provides the following summary information on the rights of the data subject:

The data subject has the right to:

• be informed prior to the commencement of data processing,
• obtain confirmation from the Data Controller as to whether or not personal data concerning them are being processed, and, where that is the case, access to the personal data and the following information,
• request rectification or erasure of their data and be informed of such actions,
• request restriction of processing and be informed thereof,
• data portability,
• object to processing where personal data are processed for reasons of public interest or on the basis of the legitimate interests of the controller,
• not be subject to automated decision-making, including profiling,
• lodge a complaint with a supervisory authority. The data subject may exercise this right at the following authority: National Authority for Data Protection and Freedom of Information (NAIH), address: 1055 Budapest, Falk Miksa u. 9-11., mailing address: 1363 Budapest, Pf. 9.; http://www.naih.hu
• an effective judicial remedy against a supervisory authority,
• an effective judicial remedy against the Data Controller or the Data Processor,
• be informed of a personal data breach.

VI. PROCEDURE IN CASE OF A REQUEST BY THE DATA SUBJECT

(1) The Data Controller shall facilitate the exercise of the data subject’s rights and may not refuse to comply with a request unless it demonstrates that it is not in a position to identify the data subject.

(2) The Data Controller shall provide information on action taken on the request without undue delay and in any event within a maximum of 25 days from receipt of the request.

If the request was submitted electronically, the information shall be provided electronically where possible, unless otherwise requested by the data subject.

(4) Where the Data Controller does not take action on the request, it shall inform the data subject without delay, and at the latest within 25 days of receipt of the request, of the reasons for not taking action and of the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

(5) The Data Controller shall provide the following information and actions free of charge: confirmation of processing, access to personal data, rectification, completion, erasure, restriction of processing, data portability, objection to processing, and notification of a personal data breach.

(6) Where the request is manifestly unfounded or excessive, in particular because of its repetitive character, the Data Controller may, taking into account the administrative costs of providing the information or taking the requested action, charge a fee of HUF 5,000 or refuse to act on the request.

(7) The burden of demonstrating the manifestly unfounded or excessive character of the request lies with the Data Controller.

(8) Without prejudice to Article 11 of the Regulation, where the Data Controller has reasonable doubts concerning the identity of the natural person making a request under Articles 15–21 of the Regulation, it may request additional information necessary to confirm the identity of the data subject.

(9) If the Data Controller refuses a request for rectification, erasure or restriction of processing of personal data processed by it or by a processor acting on its behalf, it shall inform the data subject in writing without delay:

a) of the fact of refusal and the legal and factual reasons thereof, and

b) of the rights available to the data subject and the means of exercising them, in particular the possibility to exercise these rights with the assistance of the supervisory authority.

(10) If the Data Controller rectifies, erases or restricts the processing of personal data processed by it or by a processor acting on its behalf or under its instructions, the Data Controller shall notify those controllers and processors to whom the data had been transferred prior to such measure of the fact and content of that measure, in order to enable them to carry out the rectification, erasure or restriction of processing within the scope of their own processing activities.

(11) In order to enforce the right to erasure, the Data Controller shall erase the personal data of the data subject without undue delay if:

a) the processing is unlawful, in particular if the processing:

• is contrary to the principles laid down in this Policy,
• its purpose has ceased to exist, or further processing is no longer necessary for achieving the purpose of the processing,
• the period specified by law, international treaty or a binding legal act of the European Union has expired, or
• its legal basis has ceased to exist and there is no other legal basis for the processing,
  b) the data subject withdraws the consent given for the processing or requests the erasure of their personal data, unless the processing is based on legal authorisation or on the protection of the vital interests of the data subject or another person,
  c) the erasure of the data has been ordered by law, a legal act of the European Union, the Authority or a court, or
  d) the period during which there exists a legitimate interest in not erasing the data of the data subject has expired, or, in the case of international data transfers, the retention period prescribed for compliance with documentation obligations has expired.

VII. PROCEDURE TO BE FOLLOWED IN THE EVENT OF A PERSONAL DATA BREACH

(1) Pursuant to the Regulation, a personal data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.

(2) A personal data breach includes the loss or theft of a device containing personal data (such as a laptop or mobile phone), as well as the loss or inaccessibility of the code used to decrypt files encrypted by the Data Controller, infection by ransomware rendering the data processed by the Data Controller inaccessible until payment of a ransom, an attack on the IT system, an email containing personal data sent by mistake, the disclosure of a mailing list, etc.

(3) Upon detection of a personal data breach, the representative of the Undertaking shall immediately carry out an investigation in order to identify the breach and determine its possible consequences. The necessary measures must be taken in order to remedy the damage.

(4) The personal data breach shall be notified to the competent supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. If the notification is not made within 72 hours, it shall be accompanied by reasons justifying the delay.

(5) The processor shall notify the Data Controller of the personal data breach without undue delay after becoming aware of it.

(6) The notification referred to in paragraph (3) shall at least:

a) describe the nature of the personal data breach, including, where possible, the categories and approximate number of data subjects concerned, as well as the categories and approximate number of personal data records concerned;

b) communicate the name and contact details of the data protection officer or other contact point from whom more information can be obtained;

c) describe the likely consequences of the personal data breach;

d) describe the measures taken or proposed to be taken by the Data Controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

(7) Where and insofar as it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

(8) The Data Controller shall document personal data breaches, including the facts relating to the breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with the requirements of Article 33 of the Regulation.

VIII. DATA PROCESSING RELATED TO THE WEBSITE

3.1. Information concerning data of visitors to the Data Controller’s website

(1) During visits to its website, the Data Controller sends one or more cookies – small packets of information sent by the server to the browser and returned by the browser to the server with each request directed to the server – to the computer of the person visiting the website, through which their browser may be uniquely identified, provided that, following clear and explicit information, the visitor has given their express (active) consent by their conduct aimed at continuing to browse the website. The person visiting the website may disable cookie processing in their browser settings.

(2) Cookies operate solely for the purpose of improving the user experience and automating the login process. Cookies used on the website do not store information suitable for identifying individuals, and the Data Controller does not carry out personal data processing in this context; only the logging of users’ IP addresses, operating system and browser type, the URL of visited pages and the time of the visit takes place.

(3) In the case of embedding social media plugins into the website, the Data Controller provides the following information: as a result of the embedded plugins, the Data Controller transmits user data to the respective social media platform (Facebook, Twitter, Pinterest, LinkedIn) whose plugin is integrated into the website. The scope of the transmitted data is defined in paragraph (2). Following the transfer, the social media platform is responsible for providing information to users regarding the processing of the received data.

3.2. Newsletter subscription, registration

3.2.1. Newsletter subscription

(1) The legal basis for data processing in the case of newsletter subscription is the consent of the data subject, which is given by ticking the checkbox next to the “newsletter subscription” text on the Data Controller’s website after receiving information on data processing.

(2) Data subjects in the case of newsletter subscription: all natural persons who subscribe to the Data Controller’s newsletter or register on the website and consent to the processing of their personal data.

(3) Scope of processed data:

• date of subscription
• name
• email address

(4) Purpose of data processing: to inform the data subject about the services and products of the Data Controller, changes thereto, and to provide information on news and events.

(5) Recipients of the data: the head of the Data Controller, employees responsible for customer relations, and employees of the data processor responsible for operating the website.

(6) Duration of processing: until the withdrawal of consent or unsubscribing from the newsletter.

(7) The data subject may unsubscribe from the newsletter or request the deletion of their personal data at any time. Unsubscription is possible via the unsubscribe link in the footer of emails sent to the data subject or by sending a postal letter to the Data Controller’s registered office.

3.2.2. Registration

(1) The legal basis for data processing in the case of registration is the consent of the data subject, given by ticking the checkbox next to the “registration” text on the Data Controller’s website after receiving information on data processing.

(2) Data subjects: all natural persons who register on the Data Controller’s website and consent to the processing of their personal data.

(3) Scope of processed data:

• date of registration
• name
• address
• email address
• phone number
• password

(4) Purpose of processing: contacting the data subject for the purpose of preparing a contract, providing free services available on the website, and granting access to non-public content.

(5) Recipients: the head of the Data Controller, employees responsible for customer relations, and employees of the data processor operating the website.

(6) Duration: until withdrawal of consent.

(7) The data subject may request the deletion of their registration (personal data) at any time by sending an email to the Data Controller.

3.3. Data processing related to direct marketing activities on the website

(1) The legal basis for direct marketing data processing is the explicit and informed consent of the data subject, given by ticking the checkbox next to the relevant consent text on the website.

(2) Data subjects: all natural persons who provide explicit consent to the processing of their personal data for direct marketing purposes.

(3) Purpose: identification, maintaining contact, and sending promotional messages, offers and notifications about campaigns electronically.

(4) Recipients: the head of the Data Controller and employees responsible for customer service and marketing activities.

(5) Scope of processed data:

• name
• address
• phone number
• email address
• other

(6) Duration: until withdrawal of consent (objection).

3.4. Data processing related to the webshop operated by the Data Controller

(1) The provisions of sections 3.1, 3.2 and 3.3 shall apply to registration, newsletter subscription and information provided to visitors of the webshop.

(2) Online contracts (purchases) concluded electronically on the Data Controller’s website fall within the scope of Act CVIII of 2001 (E-commerce Act). Accordingly, in addition to the above, the purpose of data processing is to demonstrate compliance with the service provider’s obligation to provide consumer information as required by law, to prove the conclusion of the contract, to establish the contract, determine and modify its content, monitor its performance, invoice fees arising therefrom, and enforce related claims.

(3) In the case of purchases made in the webshop, the legal basis for data processing is the performance of a contract and compliance with a legal obligation.

(4) Categories of data processed:

• name of the purchaser
• address of the purchaser
• phone number of the purchaser
• login password of the purchaser
• bank account number of the purchaser

(5) Categories of data subjects: all natural persons who register in the Data Controller’s webshop, subscribe to the newsletter, or make a purchase.

(6) Categories of recipients of the data: the head of the Data Controller, employees performing customer relationship and sales-related tasks, employees of the data processor responsible for operating the website, as well as employees responsible for accounting tasks and the data processor’s staff performing such activities.

(7) The place of data processing is specified in Section IV (4) of this Policy.

(8) Duration of data processing: 5 years from the termination of the contract.

3.5. Rules on presence on social media platforms

(1) The Data Controller is present on the following social media platforms:

• Facebook
• Twitter
• Instagram
• YouTube
• TikTok
• LinkedIn

(2) Categories of data subjects: natural persons who follow the Data Controller’s social media pages.

(3) Legal basis for data processing: voluntary consent of the data subject when following the Data Controller’s social media page.

(4) Categories of data processed: the Data Controller does not process data published on social media by visitors or by users sharing content. The purpose of the social media presence is to share and promote content related to the Data Controller’s services and products and to maintain contact with followers in this context. The Data Controller processes the names of followers; other data published by followers are not processed by the Data Controller and are subject to the respective social media platform’s privacy policy.

(5) Categories of recipients: the employee responsible for managing the Data Controller’s social media presence and the head of the Data Controller.

(6) Duration of data processing: until withdrawal of consent by the data subject.

IX. DATA PROCESSING RELATED TO THE PERFORMANCE OF A CONTRACT

(1) The Data Controller processes the personal data of natural persons contracting with it – including clients, customers and suppliers – in connection with the contractual relationship. The data subject must be informed about the processing of their personal data.

(2) Categories of data subjects: all natural persons who enter into a contractual relationship with the Data Controller, as well as contact persons of legal entities having a contractual relationship with the Data Controller.

(3) Legal basis and purpose of data processing: performance of a contract; purposes include maintaining contact, enforcing claims arising from the contract, and ensuring compliance with contractual obligations.

(4) Recipients of the personal data: the head of the Data Controller, employees of the Data Controller performing customer service and accounting tasks within their roles, and data processors.

(5) Categories of personal data processed:

• name of the natural person client
• address of the natural person client
• phone number of the natural person client
• email address of the natural person client
• bank account number of the natural person client
• tax identification number of the natural person
• social security identification number of the natural person
• sole trader registration number
• agricultural producer registration number
• name of the contact person of the business entity client
• email address of the contact person of the business entity client
• phone number of the contact person of the business entity client

(6) Duration of data processing: 5 years from the termination of the contract.

1. Accounting and payroll services

(1) Categories of data subjects: clients who have entered into an accounting service agreement.

(2) Legal basis for data processing: performance of a contract.

(3) Purpose of data processing: maintaining contact, enforcing claims arising from the contract, and ensuring compliance with contractual obligations.

(4) Recipients of personal data: the head of the Data Controller, employees performing accounting tasks within their roles, and data processors – in their case, the purpose of processing is to ensure compliance with contractual obligations.

Recipient: Hungarian Tax Authority (NAV) – purpose: fulfilment of invoicing data reporting obligations;

Recipient: National Health Insurance Fund (NEAK) – purpose: fulfilment of obligations related to health insurance status;

Recipient: local municipality – purpose: fulfilment of obligations related to local business tax.

(5) Categories of personal data processed:

• name of the natural person client
• address of the natural person client
• phone number of the natural person client
• email address of the natural person client
• bank account number of the natural person client
• tax identification number of the natural person
• social security identification number of the natural person
• sole trader registration number
• agricultural producer registration number
• name of the contact person of the business entity client
• email address of the contact person of the business entity client
• phone number of the contact person of the business entity client

X. DATA SECURITY PROVISIONS

(1) The Data Controller shall process personal data only in accordance with the activities set out in this Policy and in line with the purpose of processing.

(2) The Data Controller shall ensure the security of the data and undertakes to implement all technical and organisational measures necessary to enforce data security legislation and data and confidentiality protection rules, and to establish the procedural rules required for compliance with such legislation.

(3) The Data Controller shall protect the data with appropriate measures against unauthorised access, alteration, transmission, disclosure, deletion or destruction, as well as against accidental destruction or damage and against inaccessibility resulting from changes in applied technology.

(4) The technical and organisational measures to be implemented by the Data Controller for data security purposes are set out in the Data Controller’s internal data protection policy.

(5) When determining and applying measures ensuring data security, the Data Controller shall take into account the state of the art and, where multiple possible solutions exist, shall choose the one that ensures a higher level of protection of personal data, unless this would involve disproportionate effort.

XII. RULES RELATING TO DATA PROCESSING

1. General rules on data processing

(1) The rights and obligations of the data processor in relation to the processing of personal data shall be determined by law and, within that framework, by the Data Controller.

(2) The Data Controller declares that the data processor does not have the authority to make substantive decisions regarding data processing; it may process personal data only in accordance with the instructions of the Data Controller, may not process data for its own purposes, and is obliged to store and retain personal data in accordance with the Data Controller’s instructions.

(3) The Data Controller is responsible for the lawfulness of instructions given to the data processor concerning processing operations.

(4) The Data Controller is obliged to inform data subjects about the identity of the data processor and the place of data processing.

(5) The Data Controller does not authorise the data processor to engage further sub-processors.

(6) The contract governing data processing must be concluded in writing. A processor may not be engaged if it has an interest in a business activity involving the use of the personal data to be processed.

Done at: Budapest, 4 January 2026

ADATKEZELÉSI TÁJÉKOZTATÓ

dr. Hancz Patrik egyéni vállalkozó (továbbiakban: Adatkezelő)

Az Adatkezelő jelen adatvédelmi tájékoztató közzététele útján tesz eleget az érintettek személyes adatok kezelésére vonatkozó, a AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE által előírt előzetes tájékoztatási kötelezettségének, amelynek értelmében a Rendelet vonatkozó cikkei szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell az adatkezeléssel érintettek rendelkezésére bocsátani.

I. AZ ADATKEZELŐ MEGNEVEZÉSE

Az érintett személyes adatainak kezelése körében adatkezelőnek minősül:

CÉGNÉV: dr. Hancz Patrik egyéni vállalkozó

NYILVÁNTARTÁSI SZÁM: 38473695

ADÓSZÁM: 66745891-1-28

ADATVÉDELMI TISZTVISELŐ NEVE: DR. HANCZ PATRIK

E-MAIL:

A személyes adatokat megismerhetik:

·       az Adatkezelő vonatkozó adatkezelési célhoz kapcsolódó hozzáférési jogosultságokkal rendelkező munkavállalói,

·       az Adatkezelő részére szolgáltatási szerződések alapján adatfeldolgozási tevékenységet végző személyek, szervezetek az Adatkezelő által meghatározott terjedelemben, a tevékenységük végzéséhez szükséges mértékben.

Az elektronikus állomány formájában kezelt személyes adatok tárolásának módja:

·       Adatkezelő által igénybe vett felhőszolgáltatás (felhőszolgáltatás megnevezése): Microsoft SharePoint

II. AZ ADATFELDOLGOZÓ(K) MEGNEVEZÉSE

Az adatfeldolgozók a következők:

Odoo S.A.

Chaussée de Namur, 40

1367 Grand Rosière

Belgium

Weblap: https://www.odoo.com/privacy#part_5

E-mail: privacy@odoo.com

Tevékenység: Az Odoo S.A. az adatkezelő részére vállalatirányítási (ERP), ügyfélkapcsolat-kezelési, számlázási és adminisztratív folyamatokat támogató szoftveres szolgáltatásokat biztosít, amelyek során személyes adatok feldolgozására kerülhet sor.

Az alábbi szolgáltatók az EU-USA adatvédelmi megállapodás (Data Privacy Framework) tagjai, így az adattovábbítás megfelelősége biztosított:

Google LLC

1600 Amphitheatre Pkwy

Mountain View, CA 94043

E-mail: dpf-core-team@google.com

Phone: +1 650 253 0000

Tevékenység: A Google LLC az adatkezelő számára elektronikus levelezési, felhőalapú adattárolási, dokumentumkezelési és online együttműködési szolgáltatásokat nyújt, amelyek személyes adatok kezelésével járhatnak.

Meta Platforms, Inc

1 Meta Way

Menlo Park, California 94025-1453

dpfinquiry@support.facebook.com

Phone: (650) 543-4800

Tevékenység: A Meta Platforms, Inc. az adatkezelő részére online kommunikációs, közösségi média és marketing szolgáltatásokat biztosít, amelyek keretében személyes adatok kezelése történhet.

Microsoft Corporation

1 Microsoft Way

Redmond, Washington 98052-8300

dpoffice@microsoft.com

Phone: +353 1 706 3117

Tevékenység: A Microsoft Corporation az adatkezelő számára felhőalapú irodai, levelezési, dokumentumkezelési és együttműködési (különösen Microsoft 365, OneDrive, SharePoint) szolgáltatásokat nyújt, amelyek személyes adatok feldolgozását teszik szükségessé.

III. FOGALOMMEGHATÁROZÁSOK

1. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;

1a. azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható;

2. személyes adat: az érintettre vonatkozó bármely információ;

3. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,

3a. genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;

3b. biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;

3c. egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

4. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;

5. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;

5a. közös adatkezelő: az az adatkezelő, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;

6. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;

7. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

7a. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;

8. nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

9. adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;

10. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;

11. adatmegsemmisítés: az adatot tartalmazó adathordozó teljes fizikai megsemmisítése;

12. adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;

13. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel;

14. adatállomány: az egy nyilvántartásban kezelt adatok összessége;

15. harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek;

16. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

17. profilalkotás: személyes adat bármely olyan - automatizált módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;

18. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;

19. álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;

20. vállalkozás: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is.

21. rendelet: az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.).

22. adatkezelő rendszer: az adatkezeléshez használt eszközök.

IV. AZ ADATKEZELÉS JOGALAPJA

1. Az érintett hozzájárulása

(1) A személyes adatok kezelésének jogszerűségének az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított alappal kell rendelkeznie.

(2) Az érintett hozzájárulása alapján történő adatkezelés esetén az érintett a személyes adatainak kezeléséhez való hozzájárulását a következő formában adhatja meg:

a) írásban, személyes adatkezeléshez hozzájárulást adó nyilatkozati formában,

b) elektronikus úton, a Vállalkozás internetes weboldalán megvalósított kifejezett magatartásával, jelölőnégyzet kipipálásával, vagy ha az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.

(3) A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

(4) A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.

(5) Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.

(6) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

2. Szerződés teljesítése

(1) Az adatkezelés jogszerűnek minősül, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

(2) A szerződés teljesítéséhez nem szükséges személyes adatok kezeléséhez való érintetti hozzájárulás nem lehet feltétele a szerződéskötésnek.

3. Az adatkezelőre vonatkozó jogi kötelezettség teljesítése, vagy az érintett, illetve más természetes személy létfontosságú érdekeinek védelme 

(1) Az Adatkezelés jogalapját jogi kötelezettség teljesítése esetén törvény határozza meg, így az érintett hozzájárulása az személyes adatainak kezeléséhez nem szükséges.

(2) Az Adatkezelő köteles tájékoztatni az érintettet az adatkezelés céljáról, jogalapjáról, időtartamáról az adatkezelő személyéről, továbbá a jogairól, a jogorvoslati lehetőségekről.

(3) Az Adatkezelő jogi kötelezettség teljesítése címén az érintett hozzájárulásának visszavonását követően jogosult kezelni azon adatkört, amely valamely rá vonatkozó jogi kötelezettség teljesítése végett szükséges.

4. Közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása, az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése.

(1) Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az Adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.

(2) A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.

(3) Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre. 

V. AZ ÉRINTETT SZEMÉLY ADATAINAK KEZELÉSÉVEL KAPCSOLATOS JOGAI

Az érintett személy jogairól röviden a következő tájékoztatást adja az Adatkezelő:

Az érintettnek joga van:

●        a tájékoztatáshoz az adatkezelés megkezdése előtt,

●        arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz,

●        adatainak helyesbítését, törlését kérni, értesítést kapni az adatkezelőtől ennek megtörténtéről,

●        az adatkezelés korlátozását kérni, értesítést kapni az adatkezelőtől ennek megtörténtéről,

●        az adathordozhatósághoz,

●        tiltakozáshoz, ha személyes adatait közérdekű célból, vagy az adatkezelő jogos érdekére hivatkozással kezelik.

●        mentesüljön az automatikus döntéshozatal alól, beleértve a profilalkotást,

●       a felügyeleti hatóságnál való panasztételhez. Panasztételhez való jogát az érintett az alábbi elérhetőségeken gyakorolhatja: Nemzeti Adatvédelmi és Információszabadság Hatóság, cím: 1055, Falk Miksa u. 9-11., levelezési cím: 1363 Budapest, Pf. 9.; http://www.naih.hu

●        felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz,

●        Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz

●        Az adatvédelmi incidensről való tájékoztatáshoz.

VI. AZ ÉRINTETT KÉRELME ESETÉN ALKALMAZANDÓ ELJÁRÁS

(1) Adatkezelő elősegíti az érintett jogainak gyakorlását, az érintett jelen adatkezelési tájékoztatóban is rögzített jogainak gyakorlására irányuló kérelem teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

(2) Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított legfeljebb 25 napon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről.

Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.

(4)   Ha Adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított 25 napon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be a felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

(5) Adatkezelő díjmentesen biztosítja az érintett számára a következő tájékoztatást és intézkedést: visszajelzés a személyes adatok kezeléséről, hozzáférés a kezelt adatokhoz, adatok helyesbítése, kiegészítése, törlése, adatkezelés korlátozása, adathordozhatóság, tiltakozás az adatkezelés ellen, az adatvédelmi incidensről való tájékoztatás.

(6) Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre: 5000.- Ft összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.

(7) A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

(8) A Rendelet 11. cikkének sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a Rendelet 15–21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.

(9) Ha az érintett kérelmét az Adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja

a) az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint

b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát a Hatóság közreműködésével is gyakorolhatja.

(10) Ha az Adatkezelő az általa, illetve a megbízásából vagy rendelkezése szerint eljáró adatfeldolgozó által kezelt személyes adatokat helyesbíti, törli vagy ezen adatok kezelését korlátozza, az adatkezelő ezen intézkedés tényéről és annak tartalmáról értesíti azon adatkezelőket és adatfeldolgozókat, amelyek részére az adatot ezen intézkedését megelőzően továbbította, annak érdekében, hogy azok a helyesbítést, törlést vagy az adatok kezelésének korlátozását a saját adatkezelésük tekintetében végrehajtsák.

(11) A törléshez való jog érvényesítése érdekében az Adatkezelő haladéktalanul törli az érintett személyes adatait, ha

a) az adatkezelés jogellenes, így különösen, ha az adatkezelés

·       a jelen szabályzatban rögzített alapelvekkel ellentétes,

·       célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,

·       törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy

·       jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,

b) az érintett az adatkezeléshez adott hozzájárulását visszavonja vagy személyes adatainak törlését kérelmezi, kivéve, ha az adatok kezelése törvényi felhatalmazáson, az érintett, vagy más létfontosságú érdekeinek védelmén alapul.

c) az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte, vagy

d) az érintett adatai törlése mellőzéséhez fűződő jogos érdeke fennállásának időtartama lejárt, illetve ha a nemzetközi adattovábbítás esetén szükséges dokumentációs kötelezettség teljesítéséhez előírt adatőrzési időtartam lejárt.

VII. ADATVÉDELMI INCIDENS (PERSONAL DATA BREACH) ESETÉN ALKALMAZANDÓ ELJÁRÁS

(1) Adatvédelmi incidens a Rendelet értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

(2) Adatvédelmi incidensnek minősül a személyes adatokat tartalmazó eszköz (laptop, mobiltelefon) elvesztése, vagy ellopása, illetve az is annak minősül, ha az adatkezelő által titkosított állomány visszafejtésére szolgáló kód elvesztése, hozzáférhetetlenné válása,  ransomware (zsarolóvírus) általi fertőzés, amely a váltságdíj megfizetéséig hozzáférhetetlenné teszi az adatkezelő által kezelt adatokat,  az informatikai rendszer megtámadása, tévesen elküldött személyes adatokat tartalmazó e-mail, címlista nyilvánosságra hozatala stb.

(3) Az adatvédelmi incidens észlelése esetén a Vállalkozás képviselője haladéktalanul vizsgálatot folytat le az adatvédelmi incidens azonosítása és lehetséges következményeinek megállapítása céljából.  A károk elhárítása érdekében a szükséges intézkedéseket meg kell tenni.

(4) Az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

(5)   Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

(6)   Az (3) bekezdésben említett bejelentésben legalább:

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

(7)   Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

(8)   Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a Rendelet 33. cikkében foglalt követelményeknek való megfelelést.

VIII. A WEBOLDALLAL ÖSSZEFÜGGŐ ADATKEZELÉS

3.1. Az Adatkezelő honlapjára látogatók adataival kapcsolatos tájékoztatás

(1) Adatkezelő a honlapján tett látogatások során egy vagy több cookie - apró információcsomag, amelyet a szerver küld a böngészőnek, majd a böngésző visszaküld a szervernek minden, a szerver felé irányított kérés alkalmával – kerül küldésre a honlapot meglátogató személy számítógépére, amely(ek) révén annak böngészője egyedileg azonosítható lesz, amennyiben ehhez a honlapot meglátogató személy világos és egyértelmű tájékoztatást követően kifejezett (aktív) hozzájárulását adta a honlap további böngészésére irányuló magatartásával. A honlapot meglátogató személy a cookie adatkezelést böngészőprogramjában letilthatja.

(2) A cookie-k kizárólag a felhasználói élmény javítása, a belépési folyamat automatizálása érdekében működnek. A honlapon használt sütik személy szerinti beazonosításra alkalmas információt nem tárolnak, az Adatkezelő személyes adatkezelést e körben nem folytat, mindössze a felhasználók IP címének, az operációs rendszer és a böngészőprogram, illetve a látogatott oldalak URL címének és a látogatás idejének naplózására kerül sor.

(3)  Közösségi oldalak pluginjainak weboldalba történő ágyazása esetére Adatkezelő a következő tájékoztatást nyújtja: a beágyazott pluginek következtében Adatkezelő felhasználói adatokat továbbít azon közösségi oldal (Facebook, Twitter, Pinterest, LinkedIn) részére, amelynek pluginjét a weboldalán elhelyezte. A továbbított felhasználói adatok köre a (2) bekezdésben került meghatározásra. Az adatok továbbítását követően a közösségi oldal kötelezettsége a beérkezett adatok kezelésével kapcsolatos tájékoztatás nyújtása a felhasználó részére.    

3.2. Hírlevél feliratkozás, regisztráció

3.2.1. Hírlevél feliratkozás

(1) Az adatkezelés jogalapja hírlevél feliratkozás esetén az érintett hozzájárulása, amelyet az érintett Adatkezelő honlapján a „hírlevél feliratkozás” szövegrész melletti jelölőnégyzet kipipálásával ad meg adatainak kezelésére vonatkozó tájékoztatást követően.

(2) Az érintetti kör hírlevél feliratkozás esetén: minden olyan természetes személy, aki Adatkezelő hírlevelére feliratkozik, illetve a honlapon regisztrál és hozzájárulását adja személyes adatainak kezeléséhez.

 (3) A kezelt adatok köre hírlevél feliratkozás esetén:

·       feliratkozás időpontja

·       név

·       e-mail cím.

(4) Az adatkezelés célja hírlevél feliratkozás esetén: az érintett tájékoztatása az Adatkezelő szolgáltatásairól, termékeiről, az azokban bekövetkezett változásokról, tájékoztatás hírekről, eseményekről.

(5) Az adatok címzettjei (akik megismerhetik az adatokat) hírlevél feliratkozás esetén: Adatkezelő vezetője, ügyfélkapcsolatot ellátó munkatárs, a Adatkezelő weblapjának üzemeltetését ellátó adatfeldolgozó munkatársai.

(6) Az adatkezelés időtartama hírlevél feliratkozás esetén: a hozzájárulás visszavonásáig, a hírlevélről leiratkozásig.

(7) Az érintett a hírlevélről bármikor leiratkozhat, illetve kérheti személyes adatai törlését. A hírlevél leiratkozás az érintett részére megküldött elektronikus levelek láblécében elhelyezett leiratkozási linkre kattintva, vagy az Adatkezelő székhelyére megküldött postai levélben történik.

3.2.2. Regisztráció

(1) Az adatkezelés jogalapja regisztráció esetén az érintett hozzájárulása, amelyet az érintett a az Adatkezelő honlapján a „regisztráció” szövegrész melletti jelölőnégyzet kipipálásával ad meg adatainak kezelésére vonatkozó tájékoztatást követően.

(2) Az érintetti kör regisztráció esetén: minden olyan természetes személy, aki Adatkezelő honlapján regisztrál és hozzájárulását adja személyes adatainak kezeléséhez.

 (3) A kezelt adatok köre regisztráció esetén:

- regisztráció időpontja

- név

- lakcím

- e-mail cím

- telefonszám

- jelszó

(4) Az adatkezelési cél regisztráció esetén: kapcsolatfelvétel szerződéskötés előkészítése végett, a honlapon ingyenesen elérhető szolgáltatások nyújtása érintett részére, hozzáférés a weboldal nem nyilvános tartalmaihoz.

(5) Az adatok címzettjei (akik megismerhetik az adatokat) regisztráció esetén: az Adatkezelő vezetője, ügyfélkapcsolatot ellátó munkatárs, az Adatkezelő weblapjának üzemeltetését ellátó adatfeldolgozó munkatársai.

(6) Az adatkezelés időtartama regisztráció esetén: a hozzájárulás visszavonásáig,

(7) Az érintett bármikor kérheti regisztrációja (személyes adatai) törlését. A regisztráció törlését az Adatkezelő e-mail címére küldött elektronikus levélben kezdeményezheti az érintett.

3.3. Weboldalon végzett direkt marketing tevékenységgel kapcsolatos adatkezelés

(1) Az Adatkezelő direkt marketing célú adatkezelésének jogalapja az érintett hozzájárulása, amely egyértelmű és kifejezett. Az érintett egyértelmű, kifejezett előzetes hozzájárulását az Adatkezelő honlapján a hozzájárulás direkt marketing célú megkereséshez szövegrész melletti jelölőnégyzet kipipálásával adja meg adatainak kezelésére vonatkozó tájékoztatást követően.

(2) Az érintetti kör: minden olyan természetes személy, aki egyértelmű, kifejezett hozzájárulását adja ahhoz, hogy az Adatkezelő személyes adatait direkt marketing céljára kezelje.

(3) Az adatkezelési célok: azonosítás, kapcsolattartás szolgáltatásnyújtással, termékértékesítéssel kapcsolatos reklámot, ajánlatot tartalmazó üzenetek küldése, akciókról való értesítés céljából elektronikus úton.

(4) A személyes adatok címzettjei: az Adatkezelő vezetője, az ügyfélszolgálati feladatokat, marketing feladatokat munkakörük alapján ellátó munkavállalók.

 (5) A kezelt személyes adatok köre:

- név

- cím

- telefonszám

- e-mail cím

- egyéb

(6) Az adatkezelés időtartama: a személyes adatok direkt marketing céljára való kezelése érintett általi visszavonásáig. (tiltakozás)

3.4. Az Adatkezelő által üzemeltetett webáruházzal összefüggő adatkezelés

(1) A webáruházban történő regisztrációra, a hírlevélre történő feliratkozással kapcsolatos adatkezelési tevékenységre, illetve a látogatók tájékoztatására a 3.1., 3.2., 3.3. pont rendelkezései az irányadók.

(2) Az Adatkezelő weboldalán online, elektronikus úton történő szerződéskötések (vásárlások) a 2001. évi CVIII. törvény (Eker tv.) hatálya alá esnek, ezért az adatkezelés célja a fentiek mellett a jogszabály által előírt fogyasztói tájékoztatásra vonatkozó szolgáltatói kötelezettség teljesítésének a bizonyítása, a szerződés megkötésének a bizonyítása, a szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díj(ak) számlázása, valamint az az azzal kapcsolatos követelések érvényesítése.

(3) A webáruházban történő vásárlás esetén az adatkezelés jogalapja a szerződés teljesítése, jogi kötelezettség teljesítése.

(4) Az adatkezeléssel érintett adatok kategóriái:

- vásárlók neve

- vásárlók lakcíme,

- vásárlók telefonszáma,

- vásárlók belépési jelszava,

- vásárlók bankszámlaszáma.

(5) Az adatkezeléssel érintett személyek kategóriái: minden olyan természetes személy, aki az Adatkezelő webáruházában regisztrál, hírlevélre feliratkozik, vásárol.

(6) Az adatok címzettjeinek kategóriái: az Adatkezelő vezetője, az ügyfélkapcsolati feladatokat, értékesítéssel kapcsolatos feladatokat ellátó munkavállalók, az Adatkezelő weblapjának üzemeltetését ellátó adatfeldolgozó munkatársai, illetve az Adatkezelő könyvelési feladatait ellátó munkavállalói, az ezen feladatokat ellátó adatfeldolgozó munkavállalói.

(7) Az adatkezelés helye a jelen szabályzat IV. (4) bekezdésben került rögzítésre.

(8) Az adatkezelés időtartama: a szerződés megszűnésétől számított 5 év.

3.5. Közösségi oldalakon való jelenlét szabályai

(1)   Adatkezelő a következő közösségi oldalakon van jelen:

-Facebook

-Twitter

- Instagram

- YouTube

- TikTok

- LinkedIn

(2) Az érintett személyek kategóriái: azon természetes személyek, akik Adatkezelő közösségi oldalát követik.

(3) Az adatkezelés jogalapja Adatkezelő közösségi oldalának követése esetén az érintett önkéntes hozzájárulása.

(4) Az adatkezeléssel érintett adatok kategóriái: Adatkezelő a látogatók, a tartalmait megosztó személyek által a közösségi oldalon közzétett adatokat nem kezeli, a közösségi jelenlét célja Adatkezelő termékeivel, szolgáltatásaival kapcsolatos tartalmak közösségi oldalon történő megosztása, népszerűsítése, a követőkkel való kapcsolattartás a fenti tárgykörben. Adatkezelő a követői nevét kezeli, a követők által a közösségi oldalon közzétett egyéb adatokat nem kezeli, azokra a közösségi oldal adatkezelési szabályzatának rendelkezései alkalmazandók.

(5) Az adatok címzettjeinek kategóriái: Adatkezelő közösségi oldalának kezelését munkaköre alapján ellátó munkavállaló, Adatkezelő vezetője.

(6) Az adatkezelés időtartama: az érintett hozzájárulásának visszavonásáig.

IX. SZERZŐDÉS TELJESÍTÉSÉVEL KAPCSOLATOS ADATKEZELÉSI TEVÉKENYSÉG

(1) Az Adatkezelő a vele szerződő természetes személyek – ügyfelek, vevők, szállítók - személyes adatainak kezelését ellátja a szerződéses jogviszonnyal összefüggésben. A személyes adatok kezeléséről az érintettet tájékoztatni kell.

(2) Az érintettek köre: mindazon természetes személyek, akik Adatkezelővel szerződéses kapcsolatot létesítenek, Adatkezelővel szerződéses kapcsolatban álló jogi személyek kapcsolattartói.

(3) Az adatkezelés jogalapja szerződés teljesítése, az adatkezelés célja a kapcsolattartás, a szerződésből eredő igényérvényesítés, szerződéses kötelezettségeknek megfelelés biztosítása.

(4) A személyes adatok címzettjei: az Adatkezelő vezetője, az Adatkezelő ügyfélszolgálati, könyvviteli feladatokat munkakörük alapján ellátó munkavállalói, adatfeldolgozói.

(5) A kezelt személyes adatok köre:

- természetes személy ügyfél neve

- természetes személy ügyfél lakcíme

- természetes személy ügyfél telefonszáma

- természetes személy ügyfél e-mail címe

- természetes személy ügyfél bankszámlaszáma

- természetes személy adóazonosító jele,

- természetes személy társadalombiztosítási azonosító jele

- vállalkozói igazolvány szám

- őstermelői igazolvány szám

- gazdálkodó szervezet ügyfél kapcsolattartójának neve

- gazdálkodó szervezet ügyfél kapcsolattartójának e-mail címe

- gazdálkodó szervezet ügyfél kapcsolattartójának telefonszáma

(6) Az adatkezelés időtartama: a szerződés megszűnésétől számított 5 év.

1.   Könyvelési, bérszámfejtési szolgáltatás

(1) Érintettek köre: könyvelési megbízási szerződést létesített ügyfelek.

(2) Az adatkezelés jogalapja szerződés teljesítése.

(3) Az adatkezelés célja a kapcsolattartás, a szerződésből eredő igényérvényesítés, szerződéses kötelezettségeknek megfelelés biztosítása.

(4) A személyes adatok címzettjei: az Adatkezelő vezetője, az Adatkezelő könyvviteli feladatokat munkakörük alapján ellátó munkavállalói, adatfeldolgozói – esetükben az adatkezelési cél a szerződéses kötelezettségeknek a biztosítása. Címzett: NAV- adatkezelési cél számla adatszolgáltatás teljesítése; Címzett: NEAK – adatkezelési cél az egészségbiztosítási jogviszonyra vonatkozó kötelezettségek teljesítése; Címzett: helyi önkormányzat – adatkezelési cél helyi iparűzési adóval kapcsolatos kötelezettségek teljesítése.

(5) A kezelt személyes adatok köre:

- természetes személy ügyfél neve

- természetes személy ügyfél lakcíme

- természetes személy ügyfél telefonszáma

- természetes személy ügyfél e-mail címe

- természetes személy ügyfél bankszámlaszáma

- természetes személy adóazonosító jele,

- természetes személy társadalombiztosítási azonosító jele

- vállalkozói igazolvány szám

- őstermelői igazolvány szám

- gazdálkodó szervezet ügyfél kapcsolattartójának neve

- gazdálkodó szervezet ügyfél kapcsolattartójának e-mail címe

- gazdálkodó szervezet ügyfél kapcsolattartójának telefonszáma

X. AZ ADATBIZTONSÁGRA VONATKOZÓ RENDELKEZÉSEK

(1) Adatkezelő személyes adatot csak a jelen szabályzatban rögzített tevékenységekkel összhangban, az adatkezelés célja szerint kezelhet.

(2) Adatkezelő az adatok biztonságáról gondoskodik, e körben kötelezettséget vállal arra, hogy megteszi mindazon technikai és szervezési intézkedéseket, amelyek elengedhetetlenül szükségesek az adatbiztonságra vonatkozó jogszabályok, adat- és titokvédelmi szabályok érvényre juttatásához, illetőleg kialakítja a fentiekben meghatározott jogszabályok érvényesüléséhez szükséges eljárási szabályokat.

(3) Adatkezelő az adatokat megfelelő intézkedésekkel védi a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

(4) Az Adatkezelő által az adatbiztonság érdekében végrehajtandó technikai és szervezési intézkedéseket Adatkezelő adatvédelmi szabályzata rögzíti.

(5) Adatkezelő az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére, több lehetséges adatkezelési megoldás esetén a személyes adatok magasabb szintű védelmét biztosító megoldást választja, kivéve, ha az aránytalan nehézséget jelentene.

XII. AZ ADATFELDOLGOZÁSSAL KAPCSOLATOS SZABÁLYOK

1. Az adatfeldolgozással kapcsolatos általános szabályok

(1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg.

(2) Adatkezelő deklarálja, hogy az adatfeldolgozói tevékenysége során az adatkezelésre vonatkozó érdemi döntés meghozatalára kompetenciával nem rendelkezik, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

(3) Az adatfeldolgozó részére az adatkezelési műveletek tárgyában adott utasítások jogszerűségéért az Adatkezelő felel.

(4) Adatkezelő kötelezettsége az érintettek számára az adatfeldolgozó személyéről, az adatfeldolgozás helyéről való tájékoztatás megadása.

(5)  Az Adatkezelő az adatfeldolgozónak további adatfeldolgozó igénybevételére felhatalmazást:

- nem ad.

(6) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

Kelt: Budapest, 2026. január 4.