1. Adatkezelő adatai
Adatkezelő neve: Droposal Kft. Székhelye: 1021 Budapest, Labanc út 29. a. ép. földszint 2. Adószáma: 29318588-2-41 Cégjegyzékszám: 01-09-386947 Nyilvántartó hatóság: Fővárosi Törvényszék E-mail: [email protected] Honlap: https://droposal.com
Adatvédelmi kapcsolattartó: [email protected]
Tárhelyszolgáltatók: Rackforest Kft. – Cím: 1132 Budapest, Victor Hugo utca 18-22. 3. em. 3008. – Adószám: 14671858-2-41 Amazon Web Services EMEA SARL – Székhely: 38 Avenue John F. Kennedy, L-1855 Luxembourg – Adattárolás: Frankfurt, Németország (eu-central-1)
2. Jogszabályi háttér
Az adatkezelési tevékenységünket az alábbi jogszabályok alapján végezzük:
| Jogszabály | Megnevezés |
|---|---|
| GDPR | Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről |
| Infotv. | 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról |
| Eker.tv. | 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások egyes kérdéseiről |
| Grt. | 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól |
| Fgytv. | 1997. évi CLV. törvény a fogyasztóvédelemről |
| Számv.tv. | 2000. évi C. törvény a számvitelről |
| eIDAS | Az Európai Parlament és a Tanács (EU) 910/2014 rendelete az elektronikus azonosításról és bizalmi szolgáltatásokról |
3. Értelmező rendelkezések
A jelen tájékoztatóban használt fogalmak – így különösen a „személyes adat", „adatkezelés", „adatkezelő", „adatfeldolgozó", „érintett" és „hozzájárulás" – a GDPR 4. cikkében meghatározott jelentéssel bírnak.
4. Felhasználói kategóriák és jogalapok
A szolgáltatás igénybevétele során az alábbi felhasználói kategóriákat és jogalapokat alkalmazzuk:
| Felhasználó típusa | Jogalap | Magyarázat |
|---|---|---|
| Fogyasztó (magánszemély) | GDPR 6. cikk (1) b) – szerződés teljesítése | A szolgáltatási szerződés teljesítéséhez szükséges |
| Egyéni vállalkozó / Adószámos magánszemély | GDPR 6. cikk (1) b) – szerződés teljesítése | A szolgáltatási szerződés teljesítéséhez szükséges |
| Céges képviselő (jogi személy nevében eljáró) | GDPR 6. cikk (1) f) – jogos érdek | Az adatkezelő jogos érdeke a szerződéses kapcsolattartás; érdekmérlegelési teszt elvégezve |
Érdekmérlegelés céges képviselők esetén: Az adatkezelő jogos érdeke a szerződéses partnerekkel való hatékony kapcsolattartás. A céges képviselő ésszerűen számíthat arra, hogy munkaköri feladatai ellátása során kapcsolattartási adatait a szerződéses partnerek kezelik. Az adatkezelés az érintett jogaira és szabadságaira nézve nem jár aránytalan korlátozással.
5. Kapcsolatfelvételi csatornák adatkezelése
5.1. E-mail kapcsolatfelvétel
Az adatkezelés célja: Érdeklődők megkereséseinek fogadása és megválaszolása.
Jogalap: Az adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont) – a megkeresés megválaszolása és az üzleti kapcsolattartás. Az érintett ésszerűen számíthat arra, hogy megkeresésére választ kap.
Kezelt adatok: Név, e-mail cím, az üzenet tartalma.
Megőrzési idő: A válaszadást követő 1 hónap, kivéve, ha az üzenetváltás szerződéskötéshez vezet.
5.2. Chat és Help Center (Intercom, Tawk.to)
Az adatkezelés célja: Valós idejű ügyfélszolgálat és tudásbázis biztosítása.
Jogalap: Az adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont) – valós idejű ügyfélszolgálati támogatás nyújtása. Regisztrált felhasználók esetén: szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Kezelt adatok: Név (ha megadja), e-mail cím (ha megadja), chat üzenetek tartalma, böngésző adatok.
Megőrzési idő: 3 év vagy a fiók törléséig.
Adatfeldolgozók:
- Intercom, Inc. (San Francisco, USA)
- Tawk.to Inc. (Las Vegas, USA)
5.3. Közösségi média (Facebook, Instagram, LinkedIn)
Az adatkezelés célja: Közösségi médián keresztüli kommunikáció, tájékoztatás.
Jogalap: Az érintett hozzájárulása (GDPR 6. cikk (1) a) pont) – a követéssel/üzenetküldéssel.
Kezelt adatok: Nyilvános profil adatok, üzenetek tartalma.
Megőrzési idő: Az üzenetváltás lezárását követő 1 hónap, kivéve, ha szerződéskötéshez vezet.
Közös adatkezelők:
- Meta Platforms Ireland Limited (Facebook, Instagram)
- LinkedIn Ireland Unlimited Company
5.4. Online konzultáció (Google Meet)
Az adatkezelés célja: Értékesítési vagy támogatási konzultáció lebonyolítása.
Jogalap: Szerződés teljesítése vagy az azt megelőző lépések (GDPR 6. cikk (1) b) pont).
Kezelt adatok: Név, e-mail cím, konzultáció időpontja.
Fontos: A konzultációk hang- és képanyaga NEM kerül rögzítésre, kivéve, ha erről az érintettet előzetesen tájékoztatjuk és ahhoz külön hozzájárul.
Megőrzési idő: A konzultáció adatai 1 hónapig kerülnek megőrzésre, kivéve, ha szerződéskötéshez vezet.
6. Regisztrált felhasználók adatkezelése
6.1. Fiók létrehozása és kezelése
Az adatkezelés célja: A szolgáltatás nyújtása, felhasználói fiók kezelése.
Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Kezelt adatok:
| Adatkategória | Adatok |
|---|---|
| Azonosító adatok | Név, e-mail cím, titkosított jelszó, profilkép |
| Kapcsolattartási adatok | Telefonszám (opcionális, 2FA/SMS azonosításhoz) |
| Számlázási adatok | Cégnév, székhely/lakcím, adószám |
| Felhasználási adatok | Bejelentkezések, tevékenységnapló |
Megőrzési idő: A fiók törléséig, illetve a szerződéses jogviszony megszűnését követő 5 évig (polgári jogi elévülési idő).
6.2. Dokumentumok (árajánlatok, szerződések) tárolása
Az adatkezelés célja: Az Ügyfél által létrehozott és tárolt dokumentumok kezelése.
Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Kezelt adatok: A dokumentumokban szereplő összes adat (pl. ügyfél neve, címe, szerződés tartalma).
Megőrzési idő: Az előfizetés időtartama alatt korlátlan.
Fontos tudnivalók:
- Az előfizetés lemondása esetén az Ügyfélnek 30 nap áll rendelkezésére a dokumentumok letöltésére.
- A 30 napos türelmi időt követően a dokumentumok véglegesen törlésre kerülnek.
- A Szolgáltató nem vállal felelősséget a le nem töltött dokumentumok elvesztéséért.
- Az Ügyfél kötelessége a számára fontos dokumentumok saját rendszerébe történő mentése.
6.3. Sablonok (template-ek) kezelése
Az adatkezelés célja: Újrafelhasználható dokumentumsablonok tárolása és kezelése.
Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Kezelt adatok: A sablonokban szereplő adatok.
Megőrzési idő: Az előfizetés időtartama alatt, a dokumentumokkal azonos feltételekkel.
Fontos: A feltöltött sablonok tartalmáért kizárólag az Ügyfél felel. A Szolgáltató nem ellenőrzi a sablonok tartalmát.
7. Elektronikus aláírás és időbélyegzés
7.1. Aláírási folyamat
Az adatkezelés célja: Elektronikus dokumentumok fokozott biztonságú elektronikus aláírással (AdES) és minősített elektronikus időbélyeggel (QTS) történő ellátása.
Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Kezelt adatok:
| Adattípus | Részletek |
|---|---|
| Aláíró azonosítása | Név, e-mail cím, telefonszám (SMS azonosítás esetén) |
| Aláírási kép | A rajzolt aláírás digitális képe |
| Aláírás hash | SHA-256 algoritmussal képzett egyedi lenyomat |
| Metaadatok | Aláírás időpontja, IP-cím, böngésző/eszköz adatok |
| Audit trail | Az aláírási folyamat minden lépésének naplózása |
7.2. Időbélyeg szolgáltató
Szolgáltató: Microsec zrt. (1033 Budapest, Szentendrei út 89-93.)
Státusz: Minősített bizalmi szolgáltató az eIDAS rendelet alapján.
Továbbított adatok: Dokumentum hash (a dokumentum tartalma NEM kerül továbbításra).
7.3. Aláírási adatok megőrzése
Megőrzési idő: Az aláírás időpontjától számított 10 év (összhangban a Ptk. általános elévülési szabályaival és az elektronikus aláírásokra vonatkozó ajánlásokkal).
8. Számlázás és fizetés
8.1. Számlázási adatok
Az adatkezelés célja: Számla kiállítása, számviteli kötelezettségek teljesítése.
Jogalap: Jogi kötelezettség teljesítése (GDPR 6. cikk (1) c) pont) – Számviteli tv. 169. §.
Kezelt adatok: Név, számlázási cím, adószám, számla összege, fizetés dátuma.
Megőrzési idő: 8 év (számviteli törvény).
8.2. Online fizetés (Stripe)
Az adatkezelés célja: Biztonságos online fizetés lebonyolítása.
Adatfeldolgozó: Stripe Payments Europe, Ltd. (Dublin, Írország)
Jogalap a továbbításhoz:
- Szerződés teljesítése (GDPR 6. cikk (1) b) pont) – fizetés lebonyolítása
- A Stripe jogos érdeke (GDPR 6. cikk (1) f) pont) – csalásmegelőzés (fraud prevention)
Továbbított adatok: Név, e-mail cím, számlázási cím, tranzakció összege.
Fontos: A bankkártya adatok (kártyaszám, lejárat, CVC) KÖZVETLENÜL a Stripe-hoz kerülnek, a Szolgáltató szerverein NEM tárolódnak és a Szolgáltató azokhoz NEM fér hozzá.
9. Hírlevél és marketing
Az adatkezelés célja: Rendszeres tájékoztatás termékekről, szolgáltatásokról, frissítésekről.
Jogalap: Az érintett előzetes, kifejezett hozzájárulása (GDPR 6. cikk (1) a) pont, Grt. 6. §).
Kezelt adatok: E-mail cím, név (opcionális), feliratkozás időpontja, aktivitási adatok (megnyitás, kattintás).
Megőrzési idő: A hozzájárulás visszavonásáig (leiratkozásig), de legfeljebb az utolsó aktivitástól számított 3 évig.
Leiratkozás módja:
- A hírlevél alján található „Leiratkozás" linkre kattintva
- E-mailben a [email protected] címen
- A fiók beállításaiban
Adatfeldolgozó: MailerLite Limited (Dublin, Írország)
10. Cookie-k (sütik) és webanalitika
10.1. Cookie-k használata
A Szolgáltató a honlap és az alkalmazás működéséhez sütiket (cookie-kat) használ. A sütik kis szöveges fájlok, amelyeket a böngésző tárol a felhasználó eszközén.
10.2. Süti kategóriák
| Kategória | Cél | Jogalap | Hozzájárulás szükséges? |
|---|---|---|---|
| Szükséges | Alapvető működés, bejelentkezés, biztonság | Jogos érdek | Nem |
| Funkcionális | Beállítások megjegyzése, nyelv | Hozzájárulás | Igen |
| Analitikai | Látogatottság mérése, felhasználói viselkedés | Hozzájárulás | Igen |
| Marketing | Célzott hirdetések, remarketing | Hozzájárulás | Igen |
10.3. Alkalmazott sütik
| Szolgáltató | Típus | Cél | Élettartam |
|---|---|---|---|
| Droposal | Szükséges | Munkamenet, bejelentkezés | Munkamenet – 1 év |
| Google Analytics | Analitikai | Látogatottsági statisztikák | 2 év |
| Google Firebase | Analitikai | App analitika | 2 év |
| Hotjar | Analitikai | Hőtérképek, felhasználói viselkedés elemzése | 1 év |
| Mixpanel | Analitikai | Termékanalitika | 1 év |
| Intercom | Funkcionális | Chat, ügyfélszolgálat | 1 év |
| Tawk.to | Funkcionális | Chat, Help Center | 1 év |
| Meta Pixel | Marketing | Hirdetések mérése, remarketing | 90 nap |
| Nolt | Funkcionális | Visszajelzés-kezelés (feedback) | Munkamenet |
| FirstPromoter | Marketing | Affiliate (ajánlói) program követése | 90 nap |
10.4. Sütik kezelése
Cookie consent: A honlap első látogatásakor süti-kezelő banner jelenik meg, ahol az érintett kategóriánként engedélyezheti vagy letilthatja a sütiket.
Beállítások módosítása:
- A honlapon a „Cookie beállítások" linkre kattintva bármikor
- A böngésző beállításaiban
Következmények: A szükséges sütik letiltása esetén a szolgáltatás nem működik megfelelően.
10.5. Analitika opt-out
Az analitikai követés letiltható:
- A cookie beállításokban az „Analitikai" kategória kikapcsolásával
- Google Analytics opt-out: https://tools.google.com/dlpage/gaoptout
- Hotjar opt-out: https://www.hotjar.com/policies/do-not-track/
11. Adatmegőrzési időtartamok összefoglalása
| Adatkategória | Megőrzési idő | Jogalap |
|---|---|---|
| Kapcsolatfelvételi üzenetek (nem szerződéses) | Válasz + 1 hónap | Jogos érdek |
| Regisztrációs adatok | Fiók törlésig + 5 év | Szerződés, jogos érdek |
| Szerződéses dokumentumok | Szerződés megszűnése + 5 év | Jogos érdek (elévülés) |
| Elektronikus aláírás adatok | Aláírás + 10 év | Szerződés, jogos érdek |
| Számlázási bizonylatok | Kiállítás + 8 év | Jogi kötelezettség |
| Hírlevél adatok | Leiratkozásig, max. 3 év inaktivitás | Hozzájárulás |
| Chat/ügyfélszolgálat | 3 év | Jogos érdek |
| Cookie adatok | Max. 2 év | Hozzájárulás/jogos érdek |
12. Adatfeldolgozók
Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe:
12.1. Infrastruktúra és tárhely
| Szolgáltató | Cél | Székhely |
|---|---|---|
| Rackforest Kft. | Szerver tárhely | Budapest, Magyarország |
| Amazon Web Services EMEA SARL | Felhő infrastruktúra | Luxembourg (adattárolás: Frankfurt, eu-central-1) |
12.2. Fizetés és számlázás
| Szolgáltató | Cél | Székhely |
|---|---|---|
| Stripe Payments Europe, Ltd. | Online fizetés | Dublin, Írország |
| Billingo Technologies Zrt. | Számlázás | Budapest, Magyarország |
12.3. Kommunikáció és ügyfélszolgálat
| Szolgáltató | Cél | Székhely |
|---|---|---|
| Intercom, Inc. | Chat, ügyfélszolgálat | San Francisco, USA |
| Tawk.to Inc. | Chat, ügyfélszolgálat, Help Center | Las Vegas, USA |
| MailerLite Limited | Hírlevél küldés | Dublin, Írország |
| Wildbit LLC (Postmark) | Tranzakciós e-mail küldés | Philadelphia, USA |
| Nolt Software OÜ | Visszajelzés és fejlesztési javaslatok | Tallinn, Észtország |
12.4. Analitika és fejlesztés
| Szolgáltató | Cél | Székhely |
|---|---|---|
| Google Ireland Limited | Analytics, Firebase | Dublin, Írország |
| Hotjar Ltd. | UX analitika | Málta |
| Mixpanel, Inc. | Termékanalitika | San Francisco, USA |
| Sentry (Functional Software, Inc.) | Hibakövetés | San Francisco, USA |
12.5. Belső működés
| Szolgáltató | Cél | Székhely |
|---|---|---|
| Notion Labs, Inc. | CRM, projektmenedzsment | San Francisco, USA |
| Slack Technologies, LLC | Belső kommunikáció | San Francisco, USA |
| Inflex Studio Kft. | Fejlesztés | Budapest, Magyarország |
| FirstPromoter (Starter Story, Inc.) | Affiliate/partner program | Wilmington, USA |
12.6. Mesterséges intelligencia
| Szolgáltató | Cél | Székhely |
|---|---|---|
| OpenAI, L.L.C. | AI Asszisztens (GPT) | San Francisco, USA |
| Anthropic, PBC | AI Asszisztens (Claude) | San Francisco, USA |
| Google Ireland Limited | AI Asszisztens (Gemini) | Dublin, Írország |
Fontos: Az AI szolgáltatókra vonatkozó adatkezelési korlátozásokat a 21.2. pont tartalmazza.
12.7. Bizalmi szolgáltatás
| Szolgáltató | Cél | Székhely |
|---|---|---|
| Microsec zrt. | Elektronikus időbélyeg | Budapest, Magyarország |
13. Adattovábbítás harmadik országba
13.1. USA-ba történő adattovábbítás
Az alábbi szolgáltatók az Amerikai Egyesült Államokban működnek. Az adattovábbítás jogalapja:
EU-US Data Privacy Framework (DPF): Az Európai Bizottság 2023. július 10-i megfelelőségi határozata alapján a DPF-tanúsítvánnyal rendelkező amerikai vállalatok megfelelő szintű védelmet biztosítanak.
DPF-tanúsított szolgáltatók:
- Google LLC
- OpenAI, L.L.C.
- Anthropic, PBC
- Stripe, Inc.
- Intercom, Inc.
- Tawk.to Inc.
- Wildbit LLC (Postmark)
- Mixpanel, Inc.
- Functional Software, Inc. (Sentry)
- Notion Labs, Inc.
- Salesforce, Inc. (Slack)
- Starter Story, Inc. (FirstPromoter)
EU-alapú szolgáltatók:
- MailerLite Limited (Dublin, Írország)
- Nolt Software OÜ (Tallinn, Észtország)
- Hotjar Ltd. (St Julian's, Málta)
- Billingo Technologies Zrt. (Budapest, Magyarország)
13.2. Standard Contractual Clauses (SCC)
Amennyiben valamely szolgáltató nem rendelkezik DPF-tanúsítvánnyal, az adattovábbítás az Európai Bizottság által 2021. június 4-én elfogadott általános szerződési feltételek (SCC) alapján történik.
13.3. Az érintett jogai
Az érintett jogosult:
- Tájékoztatást kérni az adattovábbítás részleteiről
- Az alkalmazott garanciák (DPF tanúsítvány, SCC) másolatát megkapni
Kérését a [email protected] címre küldheti.
14. Adatbiztonság
Az adatkezelő megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok védelme érdekében. Az intézkedések teljes listáját a 21.8. pont (DPA 1. melléklet) tartalmazza.
14.1. Adatvédelmi incidensek kezelése
Adatvédelmi incidens esetén az adatkezelő:
- 72 órán belül bejelenti az incidenst a NAIH-nak, ha az valószínűsíthetően kockázattal jár az érintettek jogaira
- Indokolatlan késedelem nélkül értesíti az érintetteket, ha az incidens magas kockázattal jár
- Dokumentálja az incidenst és a megtett intézkedéseket
15. Az érintett jogai
15.1. Jogok összefoglalása
| Jog | Leírás | Válaszidő |
|---|---|---|
| Tájékoztatás | Információ az adatkezelésről | Azonnal (jelen tájékoztató) |
| Hozzáférés | Kezelt adatok másolata | 1 hónap |
| Helyesbítés | Pontatlan adatok javítása | 1 hónap |
| Törlés | Adatok törlése („elfeledtetés") | 1 hónap |
| Korlátozás | Adatkezelés felfüggesztése | 1 hónap |
| Hordozhatóság | Adatok géppel olvasható formátumban | 1 hónap |
| Tiltakozás | Jogos érdek alapú kezelés ellen | 1 hónap |
| Visszavonás | Hozzájárulás visszavonása | Azonnal |
15.2. Hozzáféréshez való jog
Az érintett jogosult visszajelzést kapni arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult:
- a kezelt adatok másolatára
- az adatkezelés céljára, jogalapjára, időtartamára vonatkozó információkra
- az adattovábbítás címzettjeire vonatkozó információkra
15.3. Törléshez való jog
Az érintett kérheti adatai törlését, ha:
- az adatokra már nincs szükség
- visszavonja hozzájárulását és nincs más jogalap
- tiltakozik és nincs elsőbbséget élvező jogos ok
- az adatokat jogellenesen kezelték
- jogi kötelezettség írja elő a törlést
A törlés NEM kérhető, ha az adatkezelés szükséges:
- jogi kötelezettség teljesítéséhez (pl. számviteli megőrzés)
- jogi igények előterjesztéséhez vagy védelméhez
15.4. Adathordozhatóság
Az érintett kérheti adatait géppel olvasható formátumban (JSON, CSV). Ez a jog csak a hozzájárulás vagy szerződés alapján, automatizált módon kezelt adatokra vonatkozik.
15.5. Automatizált döntéshozatal
Az adatkezelő NEM alkalmaz kizárólag automatizált döntéshozatalt, amely az érintettre joghatással járna. Az analitikai eszközök (Google Analytics, Mixpanel, Hotjar) által gyűjtött adatok alapján az adatkezelő nem végez profilalkotást döntéshozatali vagy marketing-célú szegmentálási célokra.
15.6. Joggyakorlás módja
Az érintett jogait az alábbi módon gyakorolhatja:
- E-mail: [email protected]
- Postai úton: 1021 Budapest, Labanc út 29. a. ép. földszint 2.
Az adatkezelő az érintett személyazonosságának ellenőrzését követően teljesíti a kérelmet.
16. Felhasználó kötelezettségei és felelősségkorlátozás
Az érintett köteles:
- Pontos adatokat megadni – Valótlan adatok megadása esetén az adatkezelő nem felel a következményekért
- Adatait naprakészen tartani – A változásokat haladéktalanul bejelenteni
- Hozzáférési adatait bizalmasan kezelni – Jelszavát titokban tartani, másnak át nem adni
- A szolgáltatást rendeltetésszerűen használni – Harmadik személyek jogait nem sérteni
- Harmadik személyek adatait jogszerűen kezelni – A dokumentumokba bevitt adatokért az Ügyfél felel
Felelősségkorlátozás: Az adatkezelő az adatfeldolgozók jogellenes adatkezeléséért a GDPR szerint az adatfeldolgozókkal egyetemlegesen felel, és mindent megtesz annak érdekében, hogy kizárólag megfelelő garanciákat nyújtó adatfeldolgozókat vegyen igénybe. A szolgáltatás harmadik felek weboldalaira mutató linkeket tartalmazhat; az adatkezelő nem felel ezen weboldalak adatkezelési gyakorlatáért. Az Ügyfél által a szolgáltatásba bevitt személyes adatok (pl. szerződésekben, árajánlatokban szereplő adatok) tekintetében az Ügyfél minősül adatkezelőnek és felelős azért, hogy ezen adatokat jogszerűen kezelje.
17. Gyermekek védelme és a tájékoztató módosítása
A szolgáltatás nem irányul 16 év alatti személyekre. Az adatkezelő tudatosan nem gyűjt személyes adatokat 16 év alatti személyektől. Ha az adatkezelő tudomására jut, hogy 16 év alatti személy adatait kezeli szülői/gondviselői hozzájárulás nélkül, az adatokat haladéktalanul törli.
Az adatkezelő fenntartja a jogot a jelen tájékoztató módosítására. A módosításról az érintetteket az alábbi módon értesíti:
- Lényeges változás esetén: E-mail értesítés a regisztrált felhasználóknak legalább 15 nappal a hatálybalépés előtt
- Kisebb változás esetén: A honlapon történő közzététel
A módosított tájékoztató a közzététel napján lép hatályba, kivéve, ha a tájékoztató eltérő hatálybalépési időpontot jelöl meg.
Az érintett a szolgáltatás módosítást követő használatával elfogadja a módosított tájékoztatót.
18. Panaszkezelés, jogorvoslat és irányadó jog
18.1. Kapcsolatfelvétel az adatkezelővel
Adatkezeléssel kapcsolatos kérdés, kérelem vagy panasz esetén:
E-mail: [email protected] Postacím: 1021 Budapest, Labanc út 29. a. ép. földszint 2.
Az adatkezelő a megkeresésre 1 hónapon belül válaszol. Összetett kérelem esetén ez további 2 hónappal meghosszabbítható.
18.2. Felügyeleti hatóság
Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz lehet fordulni:
Név: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Cím: 1055 Budapest, Falk Miksa utca 9-11. Levelezési cím: 1363 Budapest, Pf.: 9. Telefon: +36-1-391-1400 E-mail: [email protected] Honlap: https://naih.hu
18.3. Bírósági jogorvoslat
Az érintett jogainak megsértése esetén bírósághoz fordulhat. A per az érintett választása szerint megindítható:
- Az adatkezelő székhelye szerinti bíróság előtt
- Az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt
18.4. Irányadó jog
A jelen tájékoztatóra és az adatkezelésre a magyar jog az irányadó, különösen a GDPR, a 2011. évi CXII. törvény (Infotv.) és a 2013. évi V. törvény (Ptk.).
19. Adattárolás helye (Data Residency)
A Szolgáltató az ügyféladatokat kizárólag az Európai Unió területén található adatközpontokban tárolja (részletes lista: 12.1. pont). Az ügyfél által létrehozott dokumentumok, szerződések, sablonok és aláírási adatok kizárólag EU-n belüli szervereken tárolódnak és kerülnek feldolgozásra; ezen adatok nem kerülnek továbbításra EU-n kívüli országokba. Egyes támogató szolgáltatások (analitika, ügyfélszolgálat, hírlevél) a 13. pontban részletezett garanciák mellett US-beli szolgáltatókat is igénybe vesznek, de ezek nem férnek hozzá ügyfél-dokumentumokhoz, szerződésekhez vagy aláírási adatokhoz.
20. Egyesült Királyság (UK) érintettek számára
20.1. Alkalmazandó szabályozás
Az Egyesült Királyságban tartózkodó érintettek esetében a jelen tájékoztatóban szereplő „GDPR" hivatkozások az alábbi jogszabályokra is vonatkoznak:
- UK GDPR (a 2018. évi Data Protection Act által módosított EU GDPR)
- Data Protection Act 2018
20.2. Adattovábbítás jogalapja
Az Európai Bizottság 2021. június 28-i megfelelőségi határozata alapján az Egyesült Királyság megfelelő szintű adatvédelmet biztosít, így az adattovábbítás nem igényel további garanciákat.
20.3. Felügyeleti hatóság
UK érintettek panaszukkal az alábbi hatósághoz is fordulhatnak:
Information Commissioner's Office (ICO) Cím: Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, United Kingdom Telefon: +44 303 123 1113 Honlap: https://ico.org.uk
21. Adatfeldolgozói Szerződés (DPA)
Data Processing Agreement — GDPR 28. cikk szerinti adatfeldolgozói megállapodás
Jelen fejezet a GDPR 28. cikke alapján szabályozza az Ügyfél (adatkezelő) és a Szolgáltató (adatfeldolgozó) közötti adatfeldolgozási jogviszonyt, amikor az Ügyfél a Droposal szolgáltatást harmadik személyek személyes adatainak kezelésére veszi igénybe.
A DPA az előfizetés aktiválásával automatikusan hatályba lép és a szolgáltatási jogviszony megszűnéséig érvényes. A DPA a Szolgáltatási Szerződés (ÁSZF) elválaszthatatlan részét képezi.
Dokumentumok hierarchiája — Ellentmondás esetén az alábbi sorrend irányadó:
- Jelen DPA (21. pont)
- Általános Szerződési Feltételek (ÁSZF)
- Adatkezelési Tájékoztató egyéb rendelkezései
21.1. Az adatfeldolgozás részletei
Az adatfeldolgozás tárgya
A Szolgáltató a Droposal platformon keresztül az Ügyfél által feltöltött és létrehozott dokumentumokban (árajánlatok, szerződések, sablonok) szereplő személyes adatokat kezeli.
Az adatfeldolgozás jellege és célja
| Jelleg | Cél |
|---|---|
| Tárolás | Dokumentumok biztonságos tárolása felhő infrastruktúrán |
| Megjelenítés | Dokumentumok megjelenítése az Ügyfél és címzettek számára |
| Továbbítás | Dokumentumok küldése e-mailben a címzetteknek |
| Aláírás | Elektronikus aláírási folyamat lebonyolítása |
| Időbélyegzés | Minősített elektronikus időbélyeg elhelyezése |
| Archiválás | Aláírt dokumentumok megőrzése |
A személyes adatok típusai
| Kategória | Példák |
|---|---|
| Azonosító adatok | Név, születési dátum, anyja neve, személyi igazolvány szám |
| Kapcsolattartási adatok | E-mail cím, telefonszám, postacím |
| Pénzügyi adatok | Bankszámlaszám, adószám |
| Foglalkoztatási adatok | Munkáltató neve, beosztás, munkaviszony adatai |
| Szerződéses adatok | Szerződés tárgya, értéke, feltételei |
| Aláírási adatok | Aláírás képe, aláírás időpontja, IP-cím |
Fontos: A Szolgáltató nem ellenőrzi a feltöltött adatok tartalmát. Az Ügyfél felelős azért, hogy csak olyan adatokat töltsön fel, amelyek kezelésére jogosult.
Az érintettek kategóriái
Az Ügyfél döntése alapján az alábbi kategóriákba tartozó személyek adatai kerülhetnek feldolgozásra:
- Az Ügyfél ügyfelei és potenciális ügyfelei
- Az Ügyfél üzleti partnerei és beszállítói
- Az Ügyfél munkavállalói és alvállalkozói
- Egyéb, az Ügyfél által meghatározott személyek
21.2. A Szolgáltató kötelezettségei
Utasítások követése
A Szolgáltató a személyes adatokat kizárólag az Ügyfél dokumentált utasításai alapján kezeli. Utasításnak minősül:
- A szolgáltatás rendeltetésszerű használata
- Az Ügyfél által a felületen végzett műveletek
- Az Ügyfél írásbeli (e-mail) utasításai
Ha a Szolgáltató úgy véli, hogy az Ügyfél utasítása jogellenes, haladéktalanul tájékoztatja erről az Ügyfelet.
Titoktartás
A Szolgáltató biztosítja, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak. Ez a kötelezettség a szolgáltatási jogviszony megszűnését követően is hatályban marad.
Biztonság
A Szolgáltató megfelelő technikai és szervezési intézkedéseket alkalmaz. Az intézkedések részleteit a DPA 1. számú melléklet tartalmazza (ld. 21.8. pont).
Al-adatfeldolgozók
A Szolgáltató al-adatfeldolgozókat vesz igénybe a szolgáltatás nyújtásához. Az aktuális lista a jelen tájékoztató 12. pontjában és a DPA 2. számú mellékletben található (ld. 21.9. pont).
Értesítés: A Szolgáltató legalább 30 nappal előre e-mailben értesíti az Ügyfelet új al-adatfeldolgozó igénybevételéről vagy meglévő cseréjéről.
Kifogás: Az Ügyfél az értesítéstől számított 14 napon belül írásban kifogást emelhet. Megalapozott kifogás esetén a Szolgáltató alternatív megoldást keres, vagy lehetővé teszi az Ügyfél számára a szerződés azonnali felmondását.
Felelősség: A Szolgáltató teljes mértékben felel az al-adatfeldolgozók tevékenységéért.
Érintetti jogok támogatása
A Szolgáltató megfelelő technikai és szervezési intézkedésekkel segíti az Ügyfelet az érintettek jogainak biztosításában. Ha az érintett közvetlenül a Szolgáltatóhoz fordul, a Szolgáltató haladéktalanul továbbítja a kérelmet az Ügyfélnek.
A Szolgáltató az érintetti kérelmekről (DSAR) való tudomásszerzést követően 5 munkanapon belül tájékoztatja az Ügyfelet.
Együttműködési kötelezettség
A Szolgáltató segíti az Ügyfelet az alábbi kötelezettségek teljesítésében:
- Adatbiztonsági intézkedések (GDPR 32. cikk)
- Adatvédelmi incidensek bejelentése (GDPR 33-34. cikk)
- Adatvédelmi hatásvizsgálat (GDPR 35. cikk)
- Előzetes konzultáció (GDPR 36. cikk)
Mesterséges intelligencia korlátozások
A Szolgáltató kijelenti, hogy:
- Az Ügyfél adatait NEM használja mesterséges intelligencia modellek betanítására, finomhangolására vagy fejlesztésére
- Az AI Asszisztens funkció kizárólag az Ügyfél aktuális munkamenetében dolgozza fel az adatokat
- A feldolgozott adatok nem kerülnek aggregálásra más ügyfelek adataival
- Harmadik fél AI szolgáltatók ugyanezen korlátozások alatt állnak
Üzletmenet-folytonosság
| Mutató | Érték | Magyarázat |
|---|---|---|
| RTO | 48 óra | Maximális szolgáltatás-helyreállítási idő |
| RPO | 24 óra | Maximális adatvesztés katasztrófa esetén |
| Backup | Naponta | Teljes adatbázis mentés |
| Megőrzés | 30 nap | Visszaállítási lehetőség |
| Georedundancia | Igen | EU-n belül, földrajzilag elkülönített |
Adatszeparáció
A Szolgáltató multi-tenant architektúrát alkalmaz:
- Minden Ügyfél egyedi tenant azonosítóval rendelkezik
- Az adatbázis lekérdezések tenant szinten szűrtek
- Cross-tenant adathozzáférés technikailag kizárt
Audit naplók
| Napló típus | Megőrzési idő |
|---|---|
| Hozzáférési naplók | 90 nap |
| Biztonsági események | 1 év |
| Aláírási audit trail | 5 év |
| Rendszernaplók | 30 nap |
21.3. Az Ügyfél kötelezettségei
Az Ügyfél szavatolja, hogy:
- Jogosult a szolgáltatásba feltöltött személyes adatok kezelésére
- Rendelkezik a megfelelő jogalappal
- Teljesítette az érintettek tájékoztatására vonatkozó kötelezettségét
- Nem tölt fel különleges adatokat (GDPR 9. cikk), kivéve ha arra kifejezetten jogosult
Különleges adatok: Ha az Ügyfél különleges adatokat (egészségügyi, biometrikus, vallási stb.) kíván feldolgozni, köteles erről előzetesen írásban tájékoztatni a Szolgáltatót és igazolni a megfelelő jogalap meglétét. A Szolgáltató fenntartja a jogot különleges adatok feldolgozásának megtagadására.
21.4. Adatvédelmi incidensek kezelése
A Szolgáltató az adatvédelmi incidensről való tudomásszerzést követően indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti az Ügyfelet.
Az értesítés tartalmazza:
- Az incidens jellegének leírását
- Az érintett adatok kategóriáit és hozzávetőleges számát
- Az érintettek kategóriáit és hozzávetőleges számát
- Az incidens valószínűsíthető következményeit
- A megtett vagy tervezett intézkedéseket
- A kapcsolattartó elérhetőségét
21.5. Audit és ellenőrzés
Az Ügyfél jogosult ellenőrizni a Szolgáltató megfelelőségét.
Audit formái:
| Forma | Leírás |
|---|---|
| Önértékelés | A Szolgáltató által kitöltött kérdőív vagy tanúsítvány |
| Dokumentáció | Biztonsági dokumentációk, tanúsítványok megosztása |
| Helyszíni audit | Előzetes egyeztetés alapján, az Ügyfél költségén |
| Harmadik fél | Független auditor által végzett vizsgálat |
Feltételek:
- Az Ügyfél legalább 30 nappal előre írásban jelzi audit igényét
- Az audit nem zavarhatja a szolgáltatás működését
- A helyszíni audit költségeit az Ügyfél viseli
21.6. Adatok törlése és visszaszolgáltatása
A szolgáltatási jogviszony megszűnésekor az Ügyfél választása szerint:
a) Visszaszolgáltatás:
- Az Ügyfél kérésére géppel olvasható formátumban (JSON, PDF)
- A visszaszolgáltatásra 30 nap áll rendelkezésre
b) Törlés:
- A 30 napos türelmi idő lejártát követően automatikusan
- Vagy az Ügyfél kifejezett kérelme alapján
Az Ügyfél kérésére a Szolgáltató írásbeli igazolást állít ki a törlés megtörténtéről.
Megőrzési kötelezettség: A törlés nem vonatkozik jogszabály által előírt adatmegőrzésre (pl. számlázási adatok 8 évig, aláírási adatok 10 évig).
21.7. Felelősség és módosítás
Felelősség megosztása (GDPR 82. cikk)
- Az Adatkezelő (Ügyfél) felel az adatkezelés jogszerűségéért
- Az Adatfeldolgozó (Szolgáltató) felel a DPA és GDPR adatfeldolgozókra vonatkozó rendelkezéseinek betartásáért
Ha mindkét fél felelős a kárért, az érintettel szemben egyetemlegesen felelnek.
DPA módosítása
A Szolgáltató jogosult a DPA módosítására jogszabályváltozás vagy a szolgáltatás változása esetén. A módosításról legalább 30 nappal előre értesíti az Ügyfelet. Az Ügyfél a módosítással való egyet nem értés esetén jogosult a szerződést felmondani.
21.8. DPA 1. melléklet: Technikai és szervezési intézkedések
Technikai intézkedések
| Intézkedés | Leírás |
|---|---|
| Titkosítás átvitelkor | TLS 1.3 protokoll minden adatátvitelnél |
| Titkosítás tároláskor | AES-256 titkosítás a tárolt adatokhoz |
| Jelszókezelés | Bcrypt hash algoritmus, minimum jelszókövetelmények |
| Hozzáférés-kezelés | Szerepkör-alapú hozzáférés-szabályozás (RBAC) |
| Kétfaktoros hitelesítés | Opcionális 2FA a felhasználói fiókokhoz |
| Naplózás | Minden hozzáférés és művelet naplózása |
| Biztonsági mentés | Napi automatikus mentés, földrajzilag elkülönített tárolás |
| Tűzfal | Web Application Firewall (WAF) és hálózati tűzfal |
| DDoS védelem | Automatikus DDoS támadás észlelés és elhárítás |
| Behatolás-észlelés | IDS/IPS rendszerek működtetése |
| Sebezhetőség-kezelés | Rendszeres sebezhetőség-vizsgálat és javítás |
Szervezési intézkedések
| Intézkedés | Leírás |
|---|---|
| Hozzáférés-korlátozás | Need-to-know elv, minimális jogosultságok |
| Titoktartási kötelezettség | Minden munkavállaló és alvállalkozó aláírja |
| Adatvédelmi oktatás | Rendszeres képzés a munkatársak számára |
| Incidenskezelési terv | Dokumentált eljárás incidensek kezelésére |
| Beszállító-kezelés | Adatfeldolgozói szerződések minden partnerrel |
| Fizikai biztonság | Adatközpontok fizikai védelme, beléptetés |
Adatközpont biztonság
| Szolgáltató | Tanúsítványok |
|---|---|
| Amazon Web Services (Frankfurt, eu-central-1) | ISO 27001, SOC 2 Type II, CSA STAR |
| Rackforest Kft. (Budapest) | ISO 27001 |
21.9. DPA 2. melléklet: Al-adatfeldolgozók listája
Utolsó frissítés: 2026. február 25.
Az al-adatfeldolgozók teljes listája a jelen tájékoztató 12. pontjában található részletezve.
Összefoglaló:
| Kategória | Szolgáltatók |
|---|---|
| Infrastruktúra | Rackforest Kft. (EU), AWS (EU - Frankfurt) |
| Fizetés és számlázás | Stripe (EU/DPF), Billingo (HU) |
| Kommunikáció | Intercom (DPF), Tawk.to (DPF), MailerLite (EU), Postmark (DPF), Nolt (EU) |
| Analitika | Google Analytics (DPF), Hotjar (EU), Mixpanel (DPF), Sentry (DPF) |
| AI szolgáltatók | OpenAI (DPF), Anthropic (DPF), Google Gemini (DPF) |
| Bizalmi szolgáltatás | Microsec zrt. (EU) |
Megjegyzés: Az AI szolgáltatókra vonatkozó részletes korlátozásokat a 21.2. pont tartalmazza.
21.10. UK GDPR kiegészítés
Az Egyesült Királyságban letelepedett Ügyfelek esetén a jelen DPA-t az International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (UK Addendum) egészíti ki.
A UK Addendum alkalmazása esetén:
- A felügyeleti hatóság az Information Commissioner's Office (ICO)
- Az irányadó jog az angol jog a DPA értelmezése tekintetében
- Az adatvédelmi jogszabály a UK GDPR és a Data Protection Act 2018
Budapest, 2026. február 25.