1. Bevezető rendelkezések
Frissítve: 2024.09.01.
Az Oktelo Solutions (Szabó Norbert E.V.), nyilvántartási szám: 59572806, adószám: 90386613-2-42, székhely: Magyarország, 1172 Budapest, Jásztelek utca 32/2, alatt bejegyezve („Szolgáltató”) az Oktelo internetes alkalmazást („Oktelo”), amely elérhető a(z) https://oktelo.com, https://app.oktelo.com, https://oktelo.hu weboldalon, a felhasználó („Felhasználó”) számára biztosít, a Szolgáltatási Feltételeknek megfelelően, amelyek elérhetők a https://oktelo.com/altalanos-szerzodesi-feltetelek/ oldalon („ÁSZF”). A Szolgáltató és a Felhasználó a továbbiakban „felek” néven szerepelnek. A félreértések elkerülése érdekében a Felhasználó a Szolgáltatási Feltételekben meghatározott Felhasználót jelenti.
Ez a szabályzat a teljes szervezetünkre vonatkozik, beleértve a tisztviselőket, alkalmazottainkat, ügynökeinket és alvállalkozóinkat, és meghatározza, hogy mik a megőrzési időszakok, és mikor törölhetők az ilyen adatok.
1.2 Adatkezelési megállapodás
Tekintettel arra, hogy a Szolgáltató személyes adatokat fog kezelni a Felhasználó számára az Oktelo szolgáltatás nyújtása során, a felek megkötik ezt az Adatkezelési Megállapodást („DPA”), az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (általános adatvédelmi rendelet, „GDPR”) 28. cikk (3) bekezdése értelmében.
1.3 Melléklet kötésének kötelezettsége
A felek egyetértenek abban, hogy amennyiben szükséges a személyes adatvédelmi szabályozások (például a személyes adatok védelméről szóló 2019. évi XLVIII. törvény és a GDPR; együttesen „DPR”) követelményeinek teljesítése érdekében, a Szolgáltatási Feltételeket vagy ezt az DPA-t indokolatlan késedelem nélkül módosítják a szükséges követelmények tükrözése érdekében.
1.4 A Szolgáltató felhatalmazása
A Felhasználó ezúton felhatalmazza a Szolgáltatót, hogy személyes adatokat kezeljen az Oktelo szolgáltatás nyújtása során. A Szolgáltató köteles a személyes adatokat a Felhasználó utasításai szerint kezelni, és azokat a Szolgáltatási Feltételekben foglalt kötelezettségek megfelelő teljesítéséhez szükséges mértékben kezelni.
1.5 A Felhasználó nyilatkozata
A(z) DPA megkötésével a Felhasználó megerősíti, hogy minden, az Oktelo szolgáltatás használata során megadott személyes adat pontos, a DPR-nek megfelelően gyűjtötték be, és jelenleg is a DPR-nek megfelelően kezelik, és hogy a Felhasználó teljesíti a DPR szerinti adatkezelői kötelezettségeket. A Felhasználó kijelenti, hogy a személyes adatok kezelése, amelyet a Szolgáltatóra bízott e Megállapodás alapján, a Szeméyes Adatvédelmi Hatóságnál (a továbbiakban: „OPDP”) bejegyzésre került a DPA megkötése előtt, amennyiben a vonatkozó adatkezelés alá esik.
1.6 Nagybetűs kifejezések
mennyiben a DPA nagybetűs kifejezéseket használ, azok a Szolgáltatási Feltételekben meghatározott jelentéssel bírnak, amelyek elérhetők a https://oktelo.com/altalanos-szerzodesi-feltetelek/ oldalon.
2. Adatkezelés tárgya, az adatkezelés alá eső személyek kategóriái, személyes adatok típusai
2.1 Személyes adatok meghatározása
Az e DPA alapján végzett adatkezelés tárgya a Felhasználó által az Oktelo szolgáltatás használata során megadott személyes adatok, és esetleg más, harmadik felek által a Felhasználó nevében megadott adatok („Személyes Adatok”). Csak azokat a személyes adatokat dolgozzuk fel, amelyeket Ön kér tőlünk, a Szolgáltatási Feltételekben meghatározottak szerint.
2.2 Különleges kategóriájú személyes adatok
A Felhasználó egyetért azzal, hogy az Oktelo szolgáltatás nem a különleges kategóriájú személyes adatok feldolgozására szolgál, ahogyan azt a GDPR 9. cikkelye („Érzékeny adatok”) meghatározza. Ha a Felhasználó érzékeny adatokat kíván feldolgozni az Oktelo szolgáltatás segítségével, először a Szolgáltató kifejezett előzetes írásbeli hozzájárulását kell beszereznie, és bármilyen további megállapodást meg kell kötnie, amelyet a Szolgáltató szükségesnek tart.
2.3 Adatkezelés alá eső személyek
Az adatkezelés alá eső személyek azok, akikről a Felhasználó személyes adatokat kezel az Oktelo szolgáltatás segítségével.
2.4 Felhasználó felelőssége
Az adatkezelés terjedelmét kizárólag a Felhasználó határozza meg, és ő felelős annak biztosításáért, hogy a meghatározott adatkezelési terjedelem megfeleljen a DPR előírásainak.
3. Az adatkezelés jellege és célja
3.1 Az adatkezelés jellege
A személyes adatok kezelése automatizált módon történik.
3.2 Az adatkezelés célja
Az adatkezelés célja a Szolgáltatási Feltételek által meghatározott cél, amely az Oktelo szolgáltatás megfelelő nyújtása és minden ahhoz kapcsolódó tevékenység.
3.3 Célkitűzések korlátozása
A Szolgáltató elismeri, hogy személyes adatokat csak az e DPA-ban meghatározott célokra használhat fel, azaz az adatkezelés céljainak és/vagy módjának meghatározása érdekében, és nem jogosult a személyes adatokat ezen DPA-ban meghatározott terjedelem túlmenően kezelni.
4. Az adatkezelés időtartama
4.1 Az adatkezelés időtartama
A személyes adatok kezelése addig történik, amíg az Oktelo szolgáltatások nyújtásra kerülnek. A Szolgáltató vállalja, hogy a Felhasználó személyes adatainak védelmével kapcsolatos kötelezettségeit az Oktelo szolgáltatás nyújtásának teljes időtartama alatt teljesíti, kivéve, ha a Szolgáltatási Feltételek és/vagy e DPA előírja, hogy ezen kötelezettségek a megszűnés után is fennmaradnak.
5. A felhasználó nyilatkozatai
5.1 A felhasználó kötelezettségei
Az DPA aláírásával a Felhasználó, mint adatkezelő, kijelenti, hogy az DPA aláírásának időpontjától kezdődően maradéktalanul teljesíti a DPR (adatvédelmi rendelet) szerinti kötelezettségeit, különösen az alábbiakat:
5.1.1 Az adatkezelés jogszerűsége: Személyes adatokat a DPA-ban meghatározott célokra, mértékben, eszközökkel és módon jogszerűen kezel, különösen, ha a jogszabály megköveteli, rendelkezik az összes érintett érvényes hozzájárulásával a személyes adataik kezeléséhez.
5.1.2 Adatkezelési tájékoztatás kötelezettsége:. Tájékoztatja az érintetteket a személyes adataik kezeléséről a DPR által előírt módon és mértékben.
5.1.3 Az érintettek jogainak teljesítése: Lehetővé teszi az érintettek számára a DPR által biztosított jogaik gyakorlását.
5.1.4 Személyes adatok kezelésének befejezése: Megszünteti a személyes adatok kezelését, amint azok kezelésének célja lejárt.
A Felhasználó vállalja ezen kötelezettségek teljesítését az Oktelo szolgáltatás nyújtásának teljes időtartama alatt.
6. A Szolgáltató kötelezettségei
6.1 A Szolgáltató kötelezettségei
Személyes adatok kezelése során a Szolgáltatónak az alábbi kötelezettségei vannak:
6.1.1 Kötelező utasítások: Személyes adatokat kizárólag a Felhasználó által dokumentált utasítások alapján kezel. A Szolgáltató kötelezettségeinek megfelelő személyes adatkezelés a Felhasználó utasításainak megfelelőnek minősül. További utasítások a Portálon keresztül érhetők el, amikor a Felhasználó az adott Eszközt használja.
6.1.2 Átadás harmadik országokba és nemzetközi szervezetekhez: Követi a Felhasználó utasításait a személyes adatok harmadik országba vagy nemzetközi szervezethez történő átadásával kapcsolatban, kivéve, ha az ilyen adatkezelés az Európai Unió vagy a tagállam jogszabálya szerint kötelező a Szolgáltató számára, ekkor a Szolgáltató tájékoztatja a Felhasználót erről a jogszabályi kötelezettségről az adatkezelés előtt, ha az ilyen jogszabály nem tiltotta meg ezt a tájékoztatást fontos közérdekű okokból.
6.1.3 Titoktartás: Gondoskodik arról, hogy bárki, aki jogszerűen személyes adatokat kezel a Felhasználó számára, vállalja a titoktartási kötelezettséget vagy jogi titoktartási kötelezettség alá tartozzon.
6.1.4 Technikai intézkedések és joggyakorlás: Segíti a Felhasználót megfelelő technikai és szervezési intézkedések révén, amennyiben lehetséges, a Felhasználó kötelezettségének teljesítésében az érintettek jogainak gyakorlására vonatkozóan.
6.1.5 Együttműködés: Segíti a Felhasználót a következő kötelezettségek betartásában: (i) az adatkezelés biztonsági szintjének biztosítása, (ii) személyes adatvédelmi incidensek jelentése az OPDP-nek és, ahol alkalmazható, az érintetteknek, (iii) adatvédelmi hatásvizsgálat elvégzése, és (iv) előzetes konzultáció az OPDP-vel, figyelembe véve az adatkezelés jellegét és a Szolgáltató rendelkezésére álló információkat.
6.1.6 Adatok visszaadása és törlése: A Felhasználó döntése alapján az adatkezelés megszűnésekor a személyes adatokat vagy törli, vagy visszaadja a Felhasználónak, és törli a meglévő másolatokat, kivéve, ha az ilyen tárolás jogszabály által kötelező.
6.1.7 Tájékoztatási kötelezettség: Biztosítja a Felhasználó számára minden szükséges információt annak igazolására, hogy a DPR-ban meghatározott kötelezettségek teljesültek.
6.1.8 Auditok: Lehetővé teszi a Felhasználó számára az auditok elvégzését; a felek megállapodnak abban, hogy a Felhasználó legfeljebb kétévente végezhet auditot a Szolgáltató adatkezelésén, független auditor által, akit a Felhasználó választ. Az audit költségeit a Felhasználó viseli.
6.2 Utasítások, jogszabálysértés
A Szolgáltató azonnal értesíti a Felhasználót írásban, ha úgy véli, hogy a Felhasználó által adott utasítások sértik az adatvédelmi jogszabályokat.
6.3 Titoktartás és szolgáltatás megszűnése
Az Oktelo szolgáltatás megszűnése esetén a Szolgáltató, annak alkalmazottai és/vagy engedéllyel rendelkező harmadik felek, akik kapcsolatba kerültek a személyes adatokkal, nem mentesülnek a titoktartási kötelezettség alól. Ebben az esetben a titoktartási kötelezettség továbbra is érvényes marad az Oktelo szolgáltatás megszűnését követően is, függetlenül az érintett személyek és a Szolgáltató közötti kapcsolat időtartamától.
6.4 Biztonsági bontások
A Szolgáltató azonnal értesíti a Felhasználót minden tényleges vagy ésszerűen feltételezett személyes adatvédelmi incidenst, de legkésőbb 48 órával az esemény tudomására jutását követően. Az ilyen tájékoztatást a Szolgáltató e-mailben is közli, amely elérhető a Weboldalon. A fenti rendelkezések elsősorban, de nem kizárólagosan, azon esetekre vonatkoznak, amikor a Felhasználónak jogi kötelezettsége van adatvédelmi incidens jelentésére. A Szolgáltatónak legalább az alábbi információkat kell biztosítania:
6.4.1 az incidens dátuma és felfedezése;
6.4.2 az incidens jellege, oka és következményei;
6.4.3 az érintettek kategóriája és hozzávetőleges száma;
6.4.4 az incidensben érintett személyes adatok terjedelme;
6.4.5 az incidens orvoslására tett intézkedések leírása.
7. További adatkezelők
7.1 Aladatkezelők jóváhagyása
A Felhasználó ezzel elfogadja, hogy a Szolgáltató a következő aladatkezelő kategóriákat fogja alkalmazni a személyes adatok kezelése során:
7.1.1 hoszting szolgáltatók;
7.1.2 IT szolgáltatók.
7.2 Új adatkezelők
Ha a Szolgáltató úgy dönt, hogy új aladatkezelő kategóriákat alkalmaz a fenti 7.1. pontban meghatározottakon kívül, erről haladéktalanul értesíti a Felhasználót, de legkésőbb a feldolgozás megkezdése előtt. A Szolgáltató vállalja, hogy az új aladatkezelőit legalább olyan mértékben köti meg, mint ahogyan az a jelen DPA-ban szerepel.
7.3 Elállás
A Felhasználó ésszerűen ellenezheti a Szolgáltató új aladatkezelő alkalmazását, ha az adatkezelő által végzett adatvédelemre vonatkozóan aggályai vannak. Az ellenállást írásban kell közölni a Szolgáltatóval, legkésőbb hét (7) napon belül a további adatkezelő alkalmazásáról szóló értesítés kézhezvételét követően.
8. Biztonság
8.1 Technikai és szervezeti intézkedések
A Szolgáltató olyan technikai és szervezeti intézkedéseket alkalmaz és tart fenn, amelyek célja a személyes adatok jogosulatlan vagy véletlen hozzáférésének, azok módosításának, megsemmisítésének vagy elvesztésének, jogosulatlan továbbításának, egyéb jogosulatlan feldolgozásának, valamint másféle visszaélésének megakadályozása.
8.2 Intézkedések példái
Szolgáltató az alábbi intézkedéseket alkalmazza és tartja fenn a megfelelő szintű biztonság biztosítása érdekében, beleértve, de nem kizárólagosan az alábbiakat:
8.2.1 a személyes adatok álnevesítése és titkosítása;
8.2.2 a feldolgozási rendszerek és szolgáltatások folyamatos titkosságának, integritásának, elérhetőségének és ellenálló képességének biztosítása – a meglévő intézkedések és azok megfelelő működése rendszeresen felülvizsgálatra kerülnek;
8.2.3 a személyes adatok rendelkezésre állásának és hozzáférhetőségének helyreállítása fizikai vagy technikai incidensek esetén időben;
8.2.4 a technikai és szervezeti intézkedések hatékonyságának rendszeres tesztelése, értékelése és felülvizsgálata a feldolgozás biztonságának biztosítása érdekében;
8.2.5 többszintű tűzfal;
8.2.6 vírusvédelmi védelem és jogosulatlan hozzáférés ellenőrzése;
8.2.7 titkosított adatátvitel.
8.3 Biztonsági incidensek jelentése
Amennyiben a Szolgáltató személyes adatokkal kapcsolatos incidensről szerez tudomást, haladéktalanul értesíti a Felhasználót.
9. Záró rendelkezések
9.1 A DPA érvényessége és hatályossága
Jelen DPA 2024. május 18-tól érvényes és hatályos.
9.2 ÁSZF
Amennyiben azt jelen DPA nem szabályozza, a Szolgáltató és a Felhasználó közötti kapcsolatot az Általános Szerződési Feltételek szabályozzák.
