Adatkezelési tájékoztató
/Privacy Notice

*For English version scroll down*

ADATKEZELÉSI TÁJÉKOZTATÓ

HATÁLYOS: 2025. 08.26. NAPJÁTÓL VISSZAVONÁSIG

1. Az adatkezelő adatai:

Név:                                    Wágner András ev.

Székhely:                                  1037. Budapest, Domoszló köz 15.

Adószám:                                 90536289141

Nyilvántartási szám:                       59780926

Statisztikai számjel:   90536289855123101

Képviselő:                                    Wágner András

Telefonszám:                           06202073281

E-mail cím:                           [email protected] 

2.Az Adatkezelési Tájékoztató célja:

Az adatkezelő magára nézve kötelezőnek ismeri el jelen jogi közlemény tartalmát. Jelen Adatkezelési Tájékoztató célja a felhasználók (a továbbiakban: Felhasználók), ajánlatkérők (a továbbiakban: Ajánlatkérők), az adatkezelő fiókkal rendelkező üzleti partnerei (a továbbiakban: Expertek), valamint fiókkal nem rendelkező üzleti partnerei (a továbbiakban: Partnerek) tájékoztatása személyes adataik kezelését illetően. Az adatkezelő kizárólag a hatályos jogszabályok rendelkezéseivel összhangban, az adatkezelési és adatvédelmi rendelkezések előírásait szigorúan betartva végzi a személyes adatok kezelését, figyelembe véve a jogszerűség, tisztességes eljárás és átláthatóság, a célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság alapelveit.

Az adatkezelő megtesz minden olyan technikai és szervezési intézkedést, hogy partnerei személyes adatait biztonságos, az Európai Parlament és a Tanács (EU) 2016/679. rendelete által előírt módon kezelje.

Az adatkezelő fentieknek megfelelve alakította ki hétköznapi tevékenységét, dolgozta ki szabályzatait, nyilvántartásait, iratmintáit, tájékoztatóit. 

Az adatkezelő adatkezeléseivel kapcsolatosan felmerülő adatvédelmi irányelvek folyamatosan elérhetők az adatkezelő székhelyén, weboldalán. Az adatkezelő fenntartja magának a jogot jelen tájékoztató bármikori megváltoztatására. Természetesen az esetleges változásokról kellő időben értesíti közönségét. 

Az adatkezelő elkötelezett ügyfelei és partnerei személyes adatainak védelmében, kiemelten fontosnak tartja megbízói információs önrendelkezési jogának tiszteletben tartását. Az adatkezelő a személyes adatokat bizalmasan kezeli, és megtesz minden olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát garantálja. Az adatkezelő az alábbiakban ismerteti adatkezelési gyakorlatát.

3.Az Adatkezelési Tájékoztató személyi, tárgyi és időbeli hatálya:

A jelen Adatkezelési Tájékoztató személyi hatálya kiterjed az adatkezelőre, valamint azon természetes személyekre, akik adatait a jelen Tájékoztató hatálya alá tartozó adatkezelések tartalmazzák, továbbá azon személyekre, akik jogait vagy jogos érdekeit az adatkezelés érinti.

A Tájékoztató tárgyi hatálya kiterjed az adatkezelő üzletviteli, egyéb tanácsadási tevékenysége során felmerülő összes adatkezelésre. 

Jelen Tájékoztató a jóváhagyás napján lép érvénybe, további rendelkezésig, határozatlan ideig hatályos.

4.Fontosabb fogalom meghatározások:

Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális, vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére, vagy szexuális irányultságára vonatkozó személyes adatok.

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés-továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, illetve megsemmisítés.

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Adatfeldolgozó: az a természetes személy vagy jogi személy, közhatalmi szerv, ügynökség, vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Közös adatkezelők: ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőnek minősülnek.

Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval, vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó által, adatbiztonsági irányelvek betartása mellett a személyes adatok kezelésére felhatalmazást kaptak.

Az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

5.Jogszerű adatkezelés az adatkezelőnél:

A személyes adatok kezelésére az adatkezelőnél kizárólag az alábbi esetekben kerül sor:

1. ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez,
2. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél,
3. az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,
4. az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges,
5. az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Az adatkezelés jogszerűségét az adatkezelő a tevékenysége minden fázisában vizsgálja, csak olyan adatot és addig kezel, amelynek célját, jogalapját igazolni tudja. Valamely jogalap feltételének megszűnése esetén az adatkezelés csak abban az esetben folytatható, ha az adatkezelő megfelelő másik jogalapot tud igazolni.

A jogalapok igazolásának módja fő szabály szerint az írásbeliség, a ráutaló magatartással létrejött jogalap esetén is vizsgálni kell, hogy az utólag egyértelműen igazolható-e. Kétség esetén az észszerűség és a gazdaságosság szempontjaira tekintettel törekedni kell a ráutaló magatartással létrejött adatkezelés írásbeli megerősítésére.

A hozzájáruláson alapuló adatkezelés esetén az érintett írásbeli hozzájárulását adja a személyes adatai kezeléséhez. A hozzájárulás formai kötöttség nélküli, de az utólagos bizonyíthatóság papír, vagy elektronikus alapú írásbeli hozzájárulást igényel.

Jogi kötelezettség teljesítése jogalapon alapuló adatkezelés az érintett hozzájárulásától független, mivel az adatkezelést jogszabály határozza meg.

Az adatkezelés kötelező jellegétől függetlenül az érintett magánszeméllyel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés kötelező és nem kerülhető el, továbbá az érintett számára az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatást kell adni az adatai kezelésével kapcsolatos minden jelentős tényről.

A GDPR (Általános Adatvédelmi Rendelet) szerint abban az esetben is lehetőség van személyes adatok kezelésére, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett magánszemély az egyik fél, vagy az adatkezelés, adatfelvétel a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Az adatkezelő a szerződés teljesítése jogalappal a szerződés megkötése, teljesítése, megszűnése céljából kezelhet személyes adatokat.

6.Személyes adatok kezelése az adatkezelőnél:

Az adatkezelő tanulmányi és karrier területeket érintő, egyéni és csoportos szolgáltatások (kivéve felnőttképzési tevékenység) megszervezésével, valamint önéletrajzok feltöltésének lehetőségével, illetve azoknak az erre előfizető partnerek számára elérhetővé tételével áll rendelkezésre. Az adatkezelő ezen tevékenységek elvégzése során kerül kapcsolatba természetes személyek vagy jogi személyek képviselőinek személyes adataival. Az alábbi adatkezelési tevékenységet folytatja:

1.Felhasználó esetén fiók létrehozása érdekében a regisztráció során a kezelt adatok körénél személyes adatok felvételére és kezelésére kerül sor. Amennyiben az egyes szolgáltatások igénybevétele során kerül sor a regisztrációra, az űrlap szerinti szükségszerűen kitöltendő adatok köre eltérő lehet.

A regisztráció megkönnyítésére adatkezelő többféle módon is lehetőséget biztosít. A Felhasználó hozzájárulása alapján adatkezelő, illetve a külső szolgáltatók útján kerül sor a felhasználói e-mail cím való(di)ságának ellenőrzésére valamennyi e-mail cím esetében.

Facebook, LinkedIn és Google felhasználói fiók útján megvalósuló regisztráció esetén nincs szükség a regisztrációs email cím érintett általi hitelesítésére. Facebook, LinkedIn és Google alkalmazással való regisztráció esetén a regisztráció közben a Meta Platforms Ireland Ltd., LinkedIn Corporation/LinkedIn Ireland Unlimited Company és a Google Inc. által elérhetővé tett tájékoztatásban meghatározott személyes adatok a Felhasználó önkéntes hozzájárulása alapján kerülnek továbbításra adatkezelő felé a Meta Platforms Ireland Ltd., LinkedIn Corporation/LinkedIn Ireland Unlimited Company és a Google Inc. adatvédelmi irányelveinek betartása mellett.

A kezelt adatok köre: Felhasználónév, e-mail cím, a közösségi oldal használatával történő regisztráció esetén továbbá: közösségi oldalon használt név és e-mail cím, Facebook ID, LinkedIn ID, Google, LinkedIn, Facebook profil fotó; mobileszközön történt regisztráció ténye és a készülék azonosítója (IOS_ID, Android_ID, device_ID); annak a ténye, hogy a Felhasználó hozzájárult-e ahhoz, hogy a Társaság reklám tartalmú közvetlen üzletszerzési és marketing célú megkeresést küldjön számára.

Az adatkezelés célja a Felhasználói regisztráció, a Felhasználó azonosítása, a többi Felhasználótól való megkülönböztetése, a Felhasználóval való kapcsolatfelvétel/- tartás, a Felület alapvető és egyes funkcióinak elérhetővé tétele, az egyes Szolgáltatások testre szabásának elősegítése, a kényelmi funkciók igénybevétele, a Felhasználók nyilvántartása.

Az adatkezelés jogalapja a Felhasználó kifejezett és írásos hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

A regisztrációs adatok a felhasználói fiókban bármikor módosíthatók, törölhetők.

2.Az adatkezelőnél igénybe vehető egyéni és csoportos szolgáltatásokra jelentkezni a weboldalon (www.peopleindustryinsideout.com) keresztül fiók létrehozása nélkül is lehet felhasználók részére. A honlapon keresztül szolgáltatásokat nyújtó személyek (Expertek és Partnerek) szolgáltatására való jelentkezés adatok megadásához kötött. A jelentkezés alkalmával az adatkezelő a felhasználó nevét, telefonszámát, e-mail címét kéri megadni. A személyes adatokat az adatkezelő az egyéni vagy csoportos szolgáltatások megszervezésének érdekében kezeli. Az ilyen módon tudomására jutott személyes adatok kezelésének jogalapja a szerződés létrehozása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). Az egyéni és csoportos szolgáltatások szervezése során történő adatkezelés vonatkozásában az adatkezelés – az adatoknak az adott szolgáltatást nyújtó Expert számára való továbbítása – az adatkezelő jogos érdekeit szolgálja (GDPR 6. cikk (1) bekezdés f) pontja). Jogos érdekünk fűződik ahhoz, hogy lehetővé tegyük az Expert számára az időpontot foglaló felhasználók adataihoz való hozzáférést, és ennek alapján lehetősége legyen a szolgáltatással kapcsolatos módosításról, számla kiállításról  értesíteni a felhasználót. Adatkezelő minden Expertet felszólít, hogy tegyenek eleget az adatbiztonság követelményének. Adatkezelő a felhasználóhoz tartozó személyes adatokat a felhasználó kérésére történő törlésig kezeli. 

3.Önéletrajz feltöltésre az erre a célra létrehozott aloldalon van lehetőség. Az önéletrajzon túlmenően megadható adatok: név, telefonszám, munkatapasztalat (évek száma), munkavállalási és tartózkodási engedély,  nyelvismeret, álláskeresési, munkahelyi preferenciák (munkavégzés helye, formája, foglalkozási terület), 

Az adatkezelés célja az önéletrajz és az önéletrajzon túlmenően megadható adatok elérhetővé tétele (megtekintésre és letöltésre) az arra előfizető partnerek (munkáltatók/hirdetők, munkaerő-közvetítők és kölcsönzők) részére, keresés, szűrés az Üzemeltető részéről a Felhasználók között a munkáltatók/hirdetők által megadott preferenciáknak megfelelően, előzetes hozzájárulás esetén a felhasználók önéletrajzának és az önéletrajzon túlmenően megadhatól adatainak átadása az arra előfizető partnerek részére.

Az önéletrajz és az önéletrajzon túlmenően megadható adatok kezelése a hozzájárulás visszavonásáig tart. Az adatkezelés jogalapja az érintett kifejezett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

Önéletrajz és az önéletrajzon túlmenően megadható adatok kezelését Üzemeltető mellett az arra előfizető partnerek (munkáltatók/hirdetők, munkaerő-közvetítők és kölcsönzők) is végzik, így ők közös adatkezelőknek minősülnek. A partner adatkezelésének menetéről, a partner által alkalmazott eszközökről, adatfeldolgozókról és általában a partner által végzett adatkezelés körülményeiről a partnerek tudnak tájékoztatást nyújtani.

Az önéletrajzot és az önéletrajzon túlmenően megadható adatokat Üzemeltető arra előfizető partnerek (munkáltatók/hirdetők, munkaerő-közvetítők és kölcsönzők) között elérhetővé teszi, továbbá maga az Üzemeltető is eléri.

Az Önéletrajz adatbázist igénybe vevő partnerek kereshetnek a Felhasználók között több paraméter szerint, így különösen a munkatapasztalat (évek száma), munkavállalási és tartózkodási engedély,  nyelvismeret, álláskeresési, munkahelyi preferenciák (munkavégzés helye, formája, foglalkozási terület) szerint. A szolgáltatást igénybe vevő aktuális partnerek körét a Felhasználó a Cégek aloldalon ismerheti meg.

4.Az adatkezelő szerződéses partnerei magánszemélyek és jogi személyek egyaránt lehetnek. A szerződéskötést egy ajánlatkérés előzi meg, telefonon, e-mailen érkező üzenet formájában, vagy az adatkezelő weboldalán (www.peopleindustryinsideout.com) található űrlap alkalmazásával. Az ajánlatkérő megadja nevét, telefonszámát, e-mail címét, illetve szervezet kapcsolattartójaként a szervezet nevét, kapcsolatfelvétel céljából. A kapcsolatfelvételt követően adatkezelő elküldheti azt a webhelylinket, mely az ajánlat tárgyát képező feladat teljesítéséhez releváns információkat nyújtó űrlapot, a szolgáltatás megrendelését lehetővé tevő űrlapot, az Általános szerződési feltételeket, valamint az adatkezelési tájékoztatót tartalmazza. Az ügyfél kitölti az űrlapot, valamint megvásárolja online a szolgáltatást. Ha a szolgáltatás nem kerül megvásárlásra, úgy haladéktalanul, de legkésőbb 30 napon belül törli az érdeklődő személyes adatait. A személyes adatok kezelésének jogalapja a szerződés létrehozása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). Amennyiben az érintett megrendeli a kínált szolgáltatást, létrejön a szerződéses kapcsolat a felek között. A szerződéses kapcsolat során történő adatkezelés jogalapja a szerződésben vállalt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont), jogi személy kapcsolattartója esetén az érintett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont). Az üzleti partnereink kapcsolattartójának fenti személyes adatait az adatkezelő és üzleti partnereink jogos érdeke (GDPR 6. cikk (1) f) pont) alapján kezeljük. Mindkét fél jogos érdeke, hogy a Honlap használata és a partneri egyeztetések során hatékonyan történjen az üzleti kommunikáció és bármilyen, a köztünk létrejött szerződést érintő lényeges körülményről tájékoztatást tudjunk nyújtani egymás kijelölt képviselőjének. Üzleti partnerünk kapcsolattartójának információs önrendelkezési jogának sérelme nem állapítható meg, mert munkaköri, vagy szerződéses kötelezettsége elősegíteni a felek közötti kommunikációt és megadni személyes adatait ebből a célból. Üzleti partnerünk kapcsolattartója tiltakozhat ezen adatkezelés ellen. Az adatkezelő az általa nyújtott szolgáltatások ellenértékéről számlát állít ki. A számla az érintett nevét, címét, esetleg adószámát tartalmazza. A számla kiállítása az adatkezelő jogszabályban rögzített kötelezettsége. A számlán szereplő személyes adatok kezelésének jogalapja, jogi kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pont). A számlán szereplő személyes adatokat az adatkezelő a Számviteli törvény 169. §-ában rögzített megőrzési kötelezettségnek eleget téve, 8 évig tárolja.  

5.Az adatkezelő egyéni és csoportos szolgáltatást is szervez. A szolgáltatásokra jelentkezni az adatkezelő weboldalán (www.peopleindustryinsideout.com) lehet. A jelentkezés során az adatkezelő az érintett nevét, e-mail címét, telefonszámát kéri el. Az adatkezelés célja a szolgáltatásra való regisztráció elvégzése, az érintettel való kapcsolattartás lehetőségének biztosítása, a szolgáltatás szervezése, valamint a szolgáltatást követően hasznos segédanyagok továbbítása a résztvevőnek. Az érintett a szolgáltatásra való jelentkezés során elfogadja az adatkezelő Általános Szerződési Feltételeit. A személyes adatok kezelésének jogalapja a szerződésben vállalt kötelezettségek teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

6.Feladatai ellátása során az adatkezelő partnerei, megbízói e-mail címeit, telefonszámait kezeli, szerződéses kötelezettségei teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont), vagy egyéni hozzájárulásuk értelmében (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

7.Az adatkezelő munkája során alvállalkozókkal, szállítókkal és szolgáltatókkal is szerződéses viszonyban áll, ami szintén alapot biztosít a személyes adatok kezelésére. Ez esetben a személyes adatok kezelésének jogalapja (magánszemély vagy egyéni vállalkozó esetében) a szerződésben vállalt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont), jogi személy kapcsolattartójának személyes adatai kapcsán az érintett kifejezett, előzetes tájékoztatáson alapuló hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

8.Az adatkezelő elsősorban saját weboldalán (www.peopleindustryinsideout.com) mutatja be tevékenységét, szolgáltatásait. A honlap tájékoztatást ad a látogatók számára az adatkezelő szolgáltatásainak tartalmáról és elérhetőségeiről. A weboldal működése során cookie-kat alkalmaz, amelyek szintén gyűjtenek személyes adatokat a látogatókról. Az adatkezelés jogalapja az érintett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

9.A weboldalon az oldal látogatójának lehetősége van kapcsolatba lépni az adatkezelővel, egy kapcsolatfelvételi űrlap segítségével. Az űrlapon meg kell adni az érdeklődő nevét, e-mail címét, telefonszámát. A személyes adatok kezelésének célja a kapcsolatfelvétel az oldal látogatójával és az adatkezelő szolgáltatásai iránt érdeklődővel. Amennyiben a kapcsolatfelvételt követően nem kerül sor a szolgáltatás megrendelésére, haladéktalanul, de legkésőbb 30 napon belül törlésre kerülnek az érdeklődő személyes adatai. Az adatkezelő a személyes adatokat a szerződés létrejötte érdekében, ezzel a jogalappal kezeli (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). Az űrlap kitöltésével az érintett nyilatkozik arról, hogy megismerte az adatkezelő Adatkezelési Tájékoztatóját és tudomásul vette az abban foglaltakat. 

10.Az adatkezelő weboldalán lehetőség van feliratkozni hírlevélre is, e-mail cím megadásával. A hírlevélre történő feliratkozás során az érintett nyilatkozik arról, hogy megismerte az adatkezelő Adatkezelési Tájékoztatójában foglaltakat, valamint arról is, hogy hozzájárulását adja-e személyes adatai marketing célú kezeléséhez. Az érintettet az Adatkezelési Tájékoztatóban írt jogok illetik meg és az ott írt módon és helyeken van lehetősége élni ezen jogaival. Ennek megfelelően a hírlevélküldés során folytatott személyes adatkezelés jogalapja a feliratkozó kifejezett és írásos, megfelelő tájékoztatáson alapuló hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

11.A peopleindustryinsideout.com weboldalon néhány korábbi partner véleménye kerül feltüntetésre az adatkezelő által nyújtott szolgáltatásokkal kapcsolatban. A vélemények utónév, esetleges tanulmányi vagy szakmai terület kiírásával szerepelnek. Kizárólag akkor kerül a weboldalon feltüntetésre a véleményező és véleménye, amennyiben ehhez írásos, megfelelő tájékoztatáson alapuló hozzájárulását adta (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

12.Az adatkezelő tevékenysége és szolgáltatásai bemutatása céljából, marketing célból közösségi oldalakat is üzemeltet. Itt is sor kerül az oldalak követőinek adatkezelésére. Az adatkezelés jogalapja az érintett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

13.Az adatkezelő tevékenységével kapcsolatos panaszkezelés során az adatkezelés célja a panasz közlésének lehetővé tétele, az érintett és panasza azonosítása, valamint a törvény szerint kötelezően rögzítendő adatok felvétele, illetve a panasz kivizsgálása, annak rendezésével összefüggő kapcsolattartás. Megtett panasz esetén az ügyintézés, és így a személyes adatok kezelése – a fogyasztóvédelemről szóló 1997. évi CLV. törvény alapján – kötelező. Ennek értelmében a személyes adatok kezelésének jogalapja a jogszabályban írt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pont).

3.Az adatkezelővel kapcsolatban álló adatfeldolgozók:

Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak az Általános Adatvédelmi Rendelet követelményeinek való megfelelésre, vagy az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedéseket végrehajtják.

Az adatkezelő ezúton nyilatkozik, hogy munkája során kizárólag olyan adatfeldolgozókkal lép kapcsolatba, akik megfelelő garanciával rendelkeznek a GDPR rendeletnek való megfelelőségről és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtásáról. Az adatfeldolgozók vonatkozó nyilatkozatai rendelkezésére állnak.

Az érintettek jelen Adatkezelési Tájékoztató megismerésével és tudomásul vételével elfogadják, hogy adatkezelő az alábbiakban felsorolt adatfeldolgozók és közös adatkezelők részére továbbítja személyes adataikat.

–    Adatfeldolgozó az adatkezelő által alkalmazott könyvelő cég:

• FORDAN 2000 Kft.
• 1186 Budapest, Csáth Géza utca 3. fszt. 4.

–    A számlák kiállításával kapcsolatban az adatkezelő partnere:

• Billingo Technologies Zrt.
• 1133 Budapest, Árbóc utca 6. III. emelet
• [email protected]
• +36 (1) 500-9491

–    Az adatkezelő weboldalának tárhelyét biztosító társaság szintén adatfeldolgozónak minősül:

• Code4flow Kft.
• 6721 Szeged, Szilágyi utca 2. 401.

–    Az adatkezelő levelezőrendszerének kiszolgálója is adatfeldolgozó:

• Outlook.com
• Microsoft Corporation
• One Microsoft Way, Redmond, Washington 98052-6399, United States.

–       Az adatkezelő hírlevél kezelő rendszerének kiszolgálója is adatfeldolgozó:

• Intuit Mailchimp
• 405 N Angier Ave. NE, Atlanta, GA 30308, USA

 –    A Facebook oldal, valamint a weboldalba épített social plug-in-ek használata miatt adatfeldolgozó és közös adatkezelő partner:

• FaceMeta Platforms Ireland Ltd.
• 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Írország

–       A LinkedIn oldal, valamint a weboldalba épített social plug-in-ek használata miatt adatfeldolgozó és közös adatkezelő partner:

• EEA, UK, Svájc esetén:
• LinkedIn Corporation
• 1000 W. Maude Avenue, Sunnyvale, CA 94085, USA,
• EEA, UK, Svájcon kívüli országok esetén:
• LinkedIn Ireland Unlimited Company
• Wilton Place, Dublin 2, Írország
• A banki szolgáltató, mint adatfeldolgozó adatai az alábbiak:
• Stripe
• 354 Oyster Point Blvd, South San Francisco, California 94080, US

A szerződött adatfeldolgozó és adatkezelő partnerek kizárólag az adatkezelő által adott utasítás alapján (kivéve jogi előírás alkalmazása), titoktartási kötelezettséget vállalva kezelik a partnerek személyes adatait.

4.Az adatkezelő által kötött szerződésekkel kapcsolatos adatkezelés:

Felhasználói szerződések:

Az adatkezelőnél igénybe vehető egyéni szolgáltatásokra jelentkezni a weboldalon (www.peopleindustryinsideout.com) keresztül lehet. A jelentkezés alkalmával az adatkezelő az ügyfél nevét, e-mail címét, esetleg telefonszámát megismerheti.  Az adatkezelés célja a szolgáltatásra való regisztráció elvégzése, az érintettel való kapcsolattartás lehetőségének biztosítása, valamint a szolgáltatás szervezése. Az érintett a szolgáltatásra való jelentkezés során elfogadja az adatkezelő Általános Szerződési Feltételeit. A személyes adatokat az adatkezelő által igénybe vett adatfeldolgozó(k), valamint szigorúan a szolgáltatások teljesüléséhez szükséges személyek ismerheti(k) meg. Az ilyen módon tudomására jutott személyes adatok kezelésének jogalapja a szerződés létrehozása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). 

Amennyiben az érintett mégsem veszi igénybe a foglalt időpontban az adatkezelő szolgáltatásait, az adatkezelő a személyes adatokat haladéktalanul, de legkésőbb 30 napon belül törli. Az egyéni szolgáltatás való jelentkezés során tulajdonképpen létrejön a szerződéses kapcsolat a felek között. A személyes adatok kezelésének jogalapja a szerződésben vállalt kötelezettségek teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

Az adatkezelőnél igénybe vehető csoportos szolgáltatásokra jelentkezni a weboldalon (www.peopleindustryinsideout.com) keresztül lehet. A jelentkezés alkalmával az adatkezelő az ügyfél nevét, e-mail címét, esetleg telefonszámát megismerheti.  Az adatkezelés célja a csoportos szolgáltatásra való regisztráció elvégzése, az érintettel való kapcsolattartás lehetőségének biztosítása, a szolgáltatás szervezése, valamint a szolgáltatást követően hasznos segédanyagok továbbítása a résztvevőnek. Az érintett a szolgáltatásra való jelentkezés során elfogadja az adatkezelő Általános Szerződési Feltételeit.. A személyes adatokat az általa igénybe vett adatfeldolgozó(k), valamint szigorúan a szolgáltatások teljesüléséhez szükséges személyek ismerheti(k) meg. Az ilyen módon tudomására jutott személyes adatok kezelésének jogalapja a szerződés létrehozása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). 

Amennyiben az érintett mégsem veszi igénybe a foglalt időpontban az adatkezelő szolgáltatásait, az adatkezelő a személyes adatokat haladéktalanul, de legkésőbb 30 napon belül törli. A csoportos szolgáltatásra való jelentkezés során tulajdonképpen létrejön a szerződéses kapcsolat a felek között. A személyes adatok kezelésének jogalapja a szerződésben vállalt kötelezettségek teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

Az adatkezelő egyéni és csoportos szolgáltatások megjelenítésére, végrehajtására szolgáló felhasználói fiók létrehozásával természetes személyek, egyéni vállalkozók rendelkezésére áll. 

Az adatkezelőnél egyéni és csoportos szolgáltatások megjelenítésére, végrehajtására szolgáló felhasználói fiók létrehozására jelentkezni a weboldalon (www.peopleindustryinsideout.com) keresztül lehet. Az érintett megadja nevét, e-mail címét. Az ilyen módon megadott személyes adatok célja a kapcsolatfelvétel, majd a kölcsönös együttműködési szándék esetén az egyéni és csoportos szolgáltatások megjelenítéséhez, teljesítéséhez releváns információkat nyújtó űrlap, valamint a szolgáltatás megrendelésére lehetőséget adó űrlap megküldése. Az adatok kezelésének jogalapja az érintett kifejezett, írásos, megfelelő tájékoztatáson alapuló hozzájárulása az adatkezeléshez (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

Az űrlap kitöltésének eredményeként az adatkezelő az alábbi adatokat kezeli: név, pozíció neve, vállalat neve, profil kép, Linkedin profil link, bemutatkozó szöveg. Az adatkezelés célja a megrendelést követően egyéni és csoportos szolgáltatások megjelenítésére, végrehajtására szolgáló felhasználói fiók létrehozása, valamint az érintett bemutatása az oldal látogatóinak részére. Az ilyen módon tudomására jutott személyes adatok kezelésének jogalapja a szerződéses kötelezettségei teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

A megrendelés eredményeként az adatkezelő az alábbi adatokat kezeli: kiválasztott csomag, díj. A személyes adatok kezelésének jogalapja a szerződés létrehozása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

A bankkártyával történő online fizetés esetén a felhasználó egyes személyes adatai átadásra kerülnek az online fizetési szolgáltatást nyújtó szolgáltató (Stripe) részére. A továbbított adatok köre: vezetéknév, a keresztnév, az ország és az e-mail cím. Az adattovábbítás célja: a felhasználó részére történő ügyfélszolgálati segítségnyújtás, a Tranzakciók visszaigazolása és a felhasználók védelme érdekében végzett aktív csalás-figyelés és megelőzés (fraud-monitoring). Az adatkezelés jogalapja az érintett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

A profil létrehozásához adatkezelő aktiváló linket, felhasználónevet és kezdeti jelszót küld meg érintett részére, melynek célja a regisztráció előkészítése.  Az ilyen módon kezelt személyes adatok kezelésének jogalapja a szerződéses kötelezettségei teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

Ha a megrendelés nem valósul meg, úgy haladéktalanul, de legkésőbb 30 napon belül törli az érdeklődő személyes adatait. A személyes adatok kezelésének jogalapja a szerződés létrehozása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). Amennyiben az érintett megrendeli a kínált szolgáltatást, létrejön a szerződéses kapcsolat a felek között. A szerződéses kapcsolat során történő adatkezelés jogalapja a szerződésben vállalt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont), jogi személy kapcsolattartója esetén az érintett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont). A szerződéses kapcsolat során kezelt további, a látogatók számára is megismerhető adatok lehetnek: egyéni szolgáltatáshoz kapcsolódó adatok (nyelv, támogatás típusa, időtartam, szakterület, időpont, díj, webkonferencia linkje), csoportos szolgáltatásokhoz kapcsolódó adatok (nyelv, célcsoport, szakterület, szolgáltatás neve, időpontja, webkonferencia linkje). 

A weboldalon létrehozható naptár szinkronizálásának engedélyezéséhez a felhasználók dönthetnek úgy, hogy összekapcsolják fiókjukat a Google Naptárral. Ez a folyamat Gmail-bejelentkezést igényel. Nem tároljuk és nem férünk hozzá a felhasználók Gmail bejelentkezési adataihoz. A naptáradatokat kizárólag szinkronizálási célokra használjuk, és azokat az adatvédelmi irányelveinkkel, valamint a vonatkozó adatvédelmi jogszabályokkal összhangban kezeljük.

Az adatkezelő az általa nyújtott szolgáltatások ellenértékéről számlát állít ki. A számla az érintett nevét, címét, esetleg adószámát tartalmazza. A számla kiállítása az adatkezelő jogszabályban rögzített kötelezettsége. A számlán szereplő személyes adatok kezelésének jogalapja, jogi kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pont). A számlán szereplő személyes adatokat az adatkezelő a Számviteli törvény 169. §-ában rögzített megőrzési kötelezettségnek eleget téve, 8 évig tárolja. 

AAz adatkezelő egyéni és csoportos szolgáltatást is szervez. A szolgáltatásokra jelentkezni az adatkezelő weboldalán (www.peopleindustryinsideout.com) lehet. A jelentkezés során az adatkezelő az érintett nevét, e-mail címét, telefonszámát kéri el. Az adatkezelés célja a szolgáltatásra való regisztráció elvégzése, az érintettel való kapcsolattartás lehetőségének biztosítása, a szolgáltatás szervezése, valamint a szolgáltatást követően hasznos segédanyagok továbbítása a résztvevőnek. Az érintett a szolgáltatásra való jelentkezés során elfogadja az adatkezelő Általános Szerződési Feltételeit. A személyes adatok kezelésének jogalapja a szerződésben vállalt kötelezettségek teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). Az adatkezelő a részvételi díj összegéről, amennyiben felszámításra kerül, számlát állít ki a résztvevő részére. A számla tartalmazza a partner nevét, címét/székhelyét, esetleg adószámát. A személyes adatok kezelésének jogalapja a jogszabályban írt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pont). 

Szállítói szerződések:

Az adatkezelő alvállalkozó cégekkel, természetes személyekkel, egyéni vállalkozókkal is kapcsolatban áll. A partnerekkel való kapcsolattartás, azok bemutatása, megjelenítése érdekében ezekben az esetekben is sor kerül személyes adatok kezelésére (a kapcsolattartó, vagy a természetes személy, egyéni vállalkozó személyes adatai). A személyes adatok kezelésének jogalapja a szerződésben vállalt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont), vagy a kapcsolattartó hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont). Az üzleti partnereink kapcsolattartójának személyes adatait az adatkezelő és üzleti partnereink jogos érdeke (GDPR 6. cikk (1) f) pont) alapján is kezeljük. Mindkét fél jogos érdeke, hogy a Honlap használata és az partneri egyeztetések során hatékonyan történjen az üzleti kommunikáció és bármilyen, a köztünk létrejött szerződést érintő lényeges körülményről tájékoztatást tudjunk nyújtani egymás kijelölt képviselőjének. Üzleti partnerünk kapcsolattartójának információs önrendelkezési jogának sérelme nem állapítható meg, mert munkaköri, vagy szerződéses kötelezettsége elősegíteni a felek közötti kommunikációt és megadni személyes adatait ebből a célból. Üzleti partnerünk kapcsolattartója tiltakozhat ezen adatkezelés ellen. Amennyiben a partnerrel kötött szerződés megszűnt és jogszabályban írt őrzési kötelezettség sem vonatkozik az adatok, dokumentumok megőrzésére, úgy a telefonszámok, e-mail címek és a számlák kiállításához szükségtelen további adatok törlésre kerülnek. A szerződésben és a számlán szereplő személyes adatokat az adatkezelő a Számviteli törvény 169. §-ában rögzített megőrzési kötelezettségnek eleget téve, 8 évig tárolja.

1. A vevők részére kiállított számlák és az azokon szereplő személyes adatok kezelése:

Az adatkezelő az általa nyújtott szolgáltatások ellenértékéről, amennyiben felszámolásra kerül, számlát állít ki. A számla az érintett nevét, címét, esetleg adószámát tartalmazza. A számla kiállítása az adatkezelő jogszabályban rögzített kötelezettsége. A számlán szereplő személyes adatok kezelésének jogalapja, jogi kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pont). Az ilyen módon rögzített személyes adatokat az adatkezelő a Számviteli törvény 169. §-ában rögzített megőrzési kötelezettségnek eleget téve, 8 évig tárolja. 

1. Gyermekek adatai, a személyes adatok különleges kategóriáinak kezelése:

Az érintett az adatkezelő weboldalán a hírlevélre való feliratkozással és a weboldal által alkalmazott cookie-k működéséhez való hozzájárulással kapcsolatban akként nyilatkozik, hogy 16. életévét betöltötte. 16 éven aluli személy nem iratkozhat fel a hírlevélre és a weboldal által alkalmazott cookie-k adatgyűjtéséhez sem járulhat hozzá, tekintettel arra, hogy a GDPR 8. cikk (1) bekezdése alapján az adatkezeléshez történő hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének engedélye szükséges. Az adatkezelőnek nem áll módjában a hozzájáruló személy életkorát és jogosultságát ellenőrizni, így az érintett szavatol azért, hogy a megadott adatai valósak.

Az adatkezelő tudomására hozott, vagy tudomására jutott különleges adatot az adatkezelő nem rögzíti. Ha az ilyen jellegű adat az adatkezelő tudta nélkül került az adatkezelő bármely rendszerébe, azt annak észlelését követően haladéktalanul törli a rendszerből.

1. E-mail címek, telefonszámok megőrzése során alkalmazott eljárás:

Az adatkezelő tevékenysége során partnerei, megbízói, ügyfelei e-mail címét és telefonszámát is megismerheti. Az ilyen módon rendszerébe került személyes adatokat, elsősorban szerződéses kötelezettségeinek teljesítése érdekében kezeli (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont). Amennyiben a partnerrel kötött szerződés megszűnt és jogszabályban írt őrzési kötelezettség sem vonatkozik az adatok, dokumentumok megőrzésére, úgy a telefonszámok és az e-mail címek törlésre kerülnek. Néhány esetben az adatkezelőnek továbbra is jogos érdeke fűződik az adatok megőrzéséhez, ilyenkor kéri az érintett kifejezett és írásos hozzájárulását személyes adatai őrzéséhez (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

1. Fényképek, videófelvételek készítése az adatkezelőnél:

Az adatkezelő alkalmanként fotó-, vagy videófelvételeket készít ügyfeleiről és előfordulhat, hogy az ügyfelek küldenek általuk készített képeket. Amennyiben a felvételen felismerhető magánszemély látható, a felvétel elkészítésére és felhasználására – az adatkezelő weboldalán, közösségi oldalain, vagy egyéb megjelenései kapcsán – kizárólag az érintett írásos, megfelelő tájékoztatáson alapuló, előzetes, önkéntes hozzájárulásával kerül sor. Az adatkezelés jogalapja az érintett hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont). 

Amennyiben az érintett a hozzájárulást visszavonja és kéri a felvétel felhasználásának megszüntetését, esetleg a felvétel törlését, az adatkezelő ezen kérésnek haladéktalanul eleget tesz.

1. Az adatkezelő weboldala:

Az adatkezelő elsősorban saját weboldalán (www.peopleindustryinsideout.com) mutatja be tevékenységét, szolgáltatásait. A honlap tájékoztatást ad a látogatók számára az adatkezelő elérhetőségeiről, a szolgáltatásokról és kapcsolatfelvételre is lehetőséget biztosít. 

Az adatkezelő weboldala működése során Cookie-kat használ. Az általuk nyert személyes adatok kezelésének jogalapja a látogató hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont). 

A www.peopleindustryinsideout.com weboldal működése során az alábbi cookie-kat alkalmazza:

• crumb
• időtartam: a munkamenet végéig
• típus: feltétlenül szükséges

Cookie-k (sütik):

A sütik feladata:

–    információkat gyűjtenek a látogatókról és eszközeikről;

–    megjegyzik a látogatók egyéni beállításait, amelyek felhasználásra kerül(het)nek;

–    megkönnyítik a weboldal használatát;

–    minőségi felhasználói élményt biztosítanak. 

A testre szabott kiszolgálás érdekében a felhasználó számítógépén kis adatcsomagot, ún. sütit (Cookie) helyez el és a későbbi látogatás során olvas vissza. Ha a böngésző visszaküld egy korábban elmentett sütit, a sütit kezelő szolgáltatónak lehetősége van összekapcsolni a felhasználó aktuális látogatását a korábbiakkal, de kizárólag a saját tartalma tekintetében.

Feltétlenül szükséges, munkamenet (session) Cookie-k:

Ezen sütik célja, hogy a látogatók maradéktalanul és zökkenőmentesen böngészhessék a weboldalt, használhassák annak funkcióit, és az ott elérhető szolgáltatásokat. Az ilyen típusú sütik érvényességi ideje a munkamenet (böngészés) befejezéséig tart, a böngésző bezárásával a sütik e fajtája automatikusan törlődik a számítógépről, illetve a böngészésre használt más eszközről.

Az érintett választása a Cookie-kal kapcsolatban:

Webböngésző Cookie-k:

A böngésző beállításaiban az érintett elfogadhatja, vagy elutasíthatja az új Cookie-kat és törölheti a meglévő Cookie-kat. Azt is beállíthatja a böngészőben, hogy az minden alkalommal értesítse, amikor új Cookie-kat helyeznek el a számítógépben, vagy más eszközön. A Cookie-k kezelésével kapcsolatban további információkat találhat a böngésző „help” funkciójában.

Ha a látogató úgy dönt, hogy néhány, vagy az összes Cookie-t kikapcsolja, nem fogja tudni használni a weboldal valamennyi funkcióját. 

Az érintett az adatkezelő weboldalán a cookie-k használatának elfogadásával kapcsolatban akként nyilatkozik, hogy 16. életévét betöltötte. 16 éven aluli személy a weboldal által alkalmazott cookie-k elfogadásáról vagy elutasításáról nem nyilatkozhat, tekintettel arra, hogy az Általános Adatvédelmi Rendelet (GDPR) 8. cikk (1) bekezdése alapján az adatkezeléshez történő hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének engedélye szükséges. Az adatkezelőnek nem áll módjában a hozzájáruló személy életkorát és jogosultságát ellenőrizni, így az érintett szavatol azért, hogy a megadott adatai valósak.

A weboldalon alkalmazott kapcsolatfelvételi űrlap:

Az adatkezelő weboldalán a látogató kapcsolatba léphet az adatkezelővel. A kapcsolatfelvételi űrlap segítségével jelezheti, hogy érdeklődik az adatkezelő szolgáltatásai iránt. A kapcsolatfelvételi űrlapon keresztül az adatkezelő megismerheti az érdeklődő nevét, e-mail címét, telefonszámát, cég esetén a cég nevét, oktatási intézmény esetén az intézmény nevét. Az űrlap kitöltésével az érintett nyilatkozik arról, hogy megismerte az adatkezelő Adatkezelési Tájékoztatóját. Az ilyen célból megadott személyes adatokat az adatkezelő kizárólag a kapcsolat felvétele céljából kezeli. Az adatkezelés a szerződés létrehozása érdekében, ezzel a jogalappal történik (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés b) pont).

A weboldalon feltüntetett „Vélemények”-kel kapcsolatos személyes adatkezelés:

A weboldalon néhány korábbi ügyfél véleménye került feltüntetésre az adatkezelő által nyújtott szolgáltatásokkal kapcsolatban. A vélemények utónév, esetleges tanulmányi vagy szakmai terület kiírásával szerepelnek. Kizárólag akkor kerül a weboldalon feltüntetésre a véleményező és véleménye, amennyiben ehhez írásos, megfelelő tájékoztatáson alapuló hozzájárulását adta (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont). Az adatkezelő a személyes adatokat az érintett hozzájárulásának visszavonásáig kezeli.

1. Hírlevélre történő feliratkozás:

Az adatkezelő weboldalán a látogatóknak lehetőségük van feliratkozni hírlevélre is. A hírlevélre történő feliratkozás során a látogató nyilatkozik arról, hogy megismerte az adatkezelő Adatkezelési Tájékoztatójában foglaltakat, valamint arról is, hogy hozzájárulását adja-e személyes adatai marketing célú (hírlevélküldés céljából) történő kezeléséhez. Az érintettet az Adatkezelési Tájékoztatóban írt jogok illetik meg és az ott írt módon és helyeken van lehetősége élni ezen jogaival. Ennek megfelelően a hírlevélküldés során folytatott személyes adatkezelés jogalapja a feliratkozó kifejezett és írásos hozzájárulása (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont).

A hírlevélküldéssel kapcsolatos adatkezelés célja a címzett teljeskörű általános, vagy személyre szabott tájékoztatása a weboldalon megjelenő újdonságokról, legújabb eseményekről, hírekről, a vonatkozó és hatályos jogszabályoknak megfelelően. A hírlevélre és/vagy DM célú levélküldésre történő feliratkozás önkéntes hozzájáruláson alapul, az adatkezelő természetesen lehetőséget ad arra, hogy az érintett bármikor visszavonhassa hozzájárulását és leiratkozzon a hírlevélről.

Az érintett az adatkezelő weboldalán a hírlevélre történő feliratkozással kapcsolatban akként nyilatkozik, hogy 16. életévét betöltötte. 16 éven aluli személy a hírlevélre nem iratkozhat fel, tekintettel arra, hogy a GDPR 8. cikk (1) bekezdése alapján az adatkezeléshez történő hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének engedélye szükséges. Az adatkezelőnek nem áll módjában a hozzájáruló személy életkorát és jogosultságát ellenőrizni, így az érintett szavatol azért, hogy a megadott adatai valósak.

1. Az adatkezelő közösségi oldalai:

Az adatkezelő Facebook oldalt is üzemeltet, itt is sor kerül személyes adatok kezelésére. Az adatkezelő Facebook és Linkedin oldalán is népszerűsíti tevékenységét, ismerteti szolgáltatásait. Ezeket az oldalakat az adatkezelő marketing célokra használja. 

https://www.facebook.com/gdprszabalyzat 

https://hu.linkedin.com/legal/privacy-policy

A Facebook és a Linkedin a saját céljaira is használhatja az adatokat, köztük az érintett profilozását és hirdetésekkel való megcélzását.

Ahhoz, hogy a Facebookon és Linkedin-en keresztül kapcsolatba tudjon lépni az adatkezelővel, be kell jelentkeznie. Ehhez a Facebook és a Linkedin adott esetben szintén személyes adatokat kér, illetve tárolja és feldolgozza azokat. Az adatkezelőnek nincs befolyása ezeknek az adatoknak a fajtájára, terjedelmére és feldolgozására, nem kap személyes adatokat a Facebook vagy a Linkedin üzemeltetőjétől. További információt ezzel kapcsolatban a Facebook és Linkedin oldalán talál.

A Facebook és Linkedin oldalon a követők személyes adatait az adatkezelő hozzájárulásuk értelmében kezeli (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés a) pont), a hozzájárulást megadottnak tekinti azzal, hogy az adott személy kedveli, követi oldalát, csoportját, bejegyzéseit, illetve kommentet ír azokhoz.

1. Az adatkezelő tevékenységével kapcsolatos panaszkezelés:

Az adatkezelő tevékenységével kapcsolatos panaszkezelés során az adatkezelés célja a panasz közlésének lehetővé tétele, az érintett és panasza azonosítása, valamint a törvény szerint kötelezően rögzítendő adatok felvétele, illetve a panasz kivizsgálása, annak rendezésével összefüggő kapcsolattartás.

Megtett panasz esetén az ügyintézés, és így a személyes adatok kezelése – a fogyasztóvédelemről szóló 1997. évi CLV. törvény alapján – kötelező. Ennek értelmében a személyes adatok kezelésének jogalapja a jogszabályban írt kötelezettség teljesítése (Általános Adatvédelmi Rendelet 6. cikk (1) bekezdés c) pont).

Az adatkezelő a panaszról felvett jegyzőkönyvet és a válasz másolati példányát 3 évig megőrzi, ennek alapján a személyes adatokat is ezen időtartam alatt kezeli.

1. Az adatkezelés biztonsága:

Az adatkezelő kötelezi magát arra, hogy gondoskodik az adatok biztonságáról, megteszi továbbá azokat a technikai és szervezési intézkedéseket és fenntartja azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve kezelt adatok védettek legyenek, illetőleg megakadályozza azok megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Kötelezi magát arra is, hogy minden olyan harmadik felet, akinek az adatokat továbbítja, vagy átadja, felhívja, hogy tegyenek eleget az adatbiztonság követelményének.

Az adatkezelő gondoskodik arról, hogy a kezelt adatokhoz illetéktelen személy ne férhessen hozzá, ne hozhassa nyilvánosságra, ne továbbíthassa, valamint azokat ne módosíthassa, törölhesse. A kezelt adatokat kizárólag az adatkezelő, az általa igénybe vett adatfeldolgozó(k), valamint szigorúan a szolgáltatások teljesüléséhez szükséges személyek ismerheti(k) meg, azokat az adat megismerésére jogosultsággal nem rendelkező személynek nem adja át.

Az adatkezelő fokozottan ügyel partnerei, megbízói, ügyfelei személyes adatainak biztonságára. A jogszabályi rendelkezések maradéktalan betartása mellett jár el és ezt megköveteli valamennyi partnerétől is. A személyes adatok védelme magában foglalja a fizikai adatvédelmet is (a dokumentumok zárható helyiségben való tárolása), valamint az informatikai védelmet (vírusirtó, tűzfal használata) is.

Az adatkezelő az érintett által megadott személyes adatokat elsődlegesen a jelen Adatkezelési Tájékoztatóban megadott adatfeldolgozó(k) szokásos védelmi rendszerekkel ellátott szerverein, részben a saját informatikai eszközein, papír adathordozó esetén székhelyén, megfelelően elzárva tárolja.

Az érintettek elismerik és elfogadják, hogy személyes adataik megadása esetén az adatok védelme teljes mértékben az interneten és a számítógépes rendszerben nem garantálható. Jogosulatlan hozzáférés vagy adatmegismerés – adatkezelő erőfeszítéseinek ellenére történő – bekövetkezésekor a jelen tájékoztatóban írtak szerint szükséges eljárni.

1. Az adatkezeléssel érintettek jogai:

–        Átlátható tájékoztatás:

Jelen Adatkezelési Tájékoztató is azt a célt szolgálja, hogy világos, tömör, átlátható, érthető információkat nyújtson az adatkezelőnél alkalmazott adatkezelési tevékenységről.

–        Hozzáférési jog:

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

• az adatkezelés célja,
• az érintett személyes adatok kategóriái,
• azon címzettek, akikkel a személyes adatokat közölték,
• a személyes adatok tárolásának tervezett időtartama.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

–        Helyesbítéshez való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő helyesbítse a rá vonatkozó pontatlan személyes adatokat.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

–        Törléshez való jog:

Az érintett jogosult arra, hogy kérésére az adatkezelő törölje a rá vonatkozó személyes adatokat. Az adatkezelő – ezen kérelem alapján – köteles törölni a személyes adatokat, ha az alábbi indokok valamelyike fennáll:

• a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték,
• az érintett visszavonja korábban adott hozzájárulását és az adatkezelésnek nincs más jogalapja,
• az érintett tiltakozik az adatkezelés ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre,
• a személyes adatokat jogellenesen kezelték,
• uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez szükséges törölni az adatokat.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

–        Adatkezelés korlátozásához való jog:

Érintett jogosult kérni, hogy az adatkezelő korlátozza az adatkezelést, elsősorban akkor, ha:

• vitatja az adatok pontosságát,
• jogellenesnek tartja az adatkezelést, de valamilyen okból mégsem kéri az adatok törlését.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

–        Adathordozhatósághoz való jog:

Az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

–        Tiltakozáshoz való jog:

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból, bármikor tiltakozzon személyes adatainak kezelése ellen, az Európai Parlament és a Tanács (EU) 2016/679. rendeletének 21. cikkében írt módon.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

–        Az érintettet megillető jog automatizált döntéshozatal esetén:

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna, vagy őt jelentős mértékben érintené. Automatizált döntéshozatal minden olyan eljárás vagy módszertan, melynek során technikai automatizmus értékeli ki az érintett személyes jellemzőit és amely rá nézve joghatással jár vagy őt jelentős mértékben érinti. Az adatkezelő nem alkalmaz olyan profilozásra is alkalmas informatikai automatizmusokat, melyek az érintett jogaira nézve jelentős kihatással bírnak.

Az adatkezelőtől a fenti adatokról tájékoztatást kérhet az alábbi e-mail címen:

[email protected]

Az adatkezelő ezúton tájékoztatja Önt, hogy megkeresésére 30 napon belül válaszol. A postai úton küldött tájékoztatási kérelmekre postai úton, az e-mailen küldött kérelmekre, e-mail útján válaszol az érintetteknek.

Az adatkezelő vállalja, hogy minden olyan címzettet tájékoztat a fenti jogokkal kapcsolatban részére küldött kérelmekről, akivel a személyes adatokat közölte, kivéve, ha ez lehetetlennek bizonyul. Vállalja továbbá, hogy a fenti kérelmek elintézéséről az azokkal kapcsolatos döntésről legkésőbb 30 napon belül értesíti az érintettet (kérelmezőt).

1. Adatvédelmi incidens:

Adatvédelmi incidensnek minősül a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, az azokhoz való jogosulatlan hozzáférést eredményezi.

Adatvédelmi incidens esetén az adatbiztonság sérülésének komoly veszéllyel fenyegető szintűnek kell lennie, tehát a sérülésnek olyan fokúnak kell lennie, amely  a személyes adatok:

–    megsemmisülésével,

–    elvesztésével,

–    megváltoztatásával, 

–    jogosulatlan közlésével vagy

–    jogosulatlan hozzáférésével jár együtt.

Incidensnek minősül, ha a fentiek közül bármelyik bekövetkezik, de ez nem zárja ki, hogy több pont is megvalósuljon egyszerre. Nem csupán a szándékos, rosszindulatú magatartások tartoznak e körbe, hanem a gondatlanságból elkövetett sérülések is. Az incidens tehát akkor következik be, ha véletlen vagy jogellenes cselekmény okozza.

Adatvédelmi incidensnek minősülnek például:

–    személyes adatok dokumentumon, hordozható eszközön, adathordozón vagy informatikai rendszeren (pl. levelezéssel) történő illegális továbbítása,

–    illetéktelen hozzáférések személyes adatokat kezelő informatikai rendszerhez vagy alkalmazáshoz,

–    személyes adatokat tartalmazó adatbázis részének vagy egészének sérülése, vagy elvesztése,

–    az informatikai rendszer részének vagy egészének használhatatlanná válása vírus, vagy egyéb rosszindulatú szoftver által, stb.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni, vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését, vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást, vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

Egy esetleges adatvédelmi incidens bekövetkezése esetén (kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve) az adatkezelő haladéktalanul bejelentést tesz a Nemzeti Adatvédelmi és Információszabadság Hatóság felé. Amint az incidens az adatkezelő tudomására jut, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni kell.

Az adatvédelmi incidens bejelentéséhez a Nemzeti Adatvédelmi és Információszabadság Hatóság a honlapján külön e célra létrehozott rendszert üzemeltet, amelyen keresztül a bejelentések elektronikus úton megtehetők.

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait, és az orvoslására tett intézkedéseket. Az adatkezelőnek nyilván kell tartani az incidensekkel kapcsolatos adatokat, köztük az okait, a történéseket és az érintett személyes adatok körét. Emellett szerepelnie kell még a nyilvántartásban az incidensek hatásainak és következményeinek, valamint az orvoslásukra tett intézkedéseknek és az adatkezelő következtetéseit is (például: miért gondolja, hogy az incidens nem bejelentésköteles, vagy ha a bejelentés késedelmesen történik, akkor mi volt a késedelem oka).

Nem szükséges bejelenteni a felügyeleti hatóságnak azt az incidenst, amely valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az adatkezelő partnereinek, megbízóinak, ügyfeleinek jogaira és szabadságaira nézve, haladéktalanunk tájékoztatja erről az érintett partnert. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a legfontosabb információkat és intézkedéseket.

Az érintettet nem kell a fentiek szerint tájékoztatni, ha az alábbi feltételek bármelyike teljesül:

–    az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

–    az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

–    a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az értintettek hasonlóan hatékony tájékoztatását.

1. Tájékoztató a legfontosabb vonatkozó jogszabályokról:

–    2011. évi CXII. törvény – az információs önrendelkezési jogról és az információ-szabadságról (Info. tv.);

–    Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR);

–    2013. évi V. törvény – a Polgári Törvénykönyvről (Ptk.);

–    2000. évi C. törvény – a számvitelről (Számviteli tv.).

1. Bírósághoz fordulás joga:

Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el.

1. Adatvédelmi hatósági eljárás:

Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatóságnál lehet élni: 

Név:                                Nemzeti Adatvédelmi és Információszabadság Hatóság 

Székhely:                        1055 Budapest, Falk Miksa u. 9-11.

Levelezési cím:              1530 Budapest, Pf.: 5. 

Telefon:                          0613911400 

Fax:                                 0613911410

E-mail:                            [email protected] 

Honlap:                      http://www.naih.hu

1. Egyéb rendelkezések:

Az adatkezelő az e tájékoztatóban fel nem sorolt adatkezelésekről az adat felvételekor ad tájékoztatást. Ilyen esetekben a hatályos jogszabályok rendelkezéseit tekinti irányadónak.

Az adatkezelő ezúton tájékoztatja ügyfeleit, hogy a bíróság, az ügyész, a nyomozó hatóság, a szabálysértési hatóság, a közigazgatási hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Magyar Nemzeti Bank, illetőleg jogszabály felhatalmazása alapján más szervek tájékoztatás adása, adatok közlése, átadása, illetőleg iratok rendelkezésre bocsátása végett megkereshetik az adatkezelőt. Az adatkezelő a hatóságok részére – amennyiben a hatóság a pontos célt és az adatok körét megjelölte – személyes adatot csak annyit és olyan mértékben ad ki, amely a megkeresés céljának megvalósításához elengedhetetlenül szükséges.

Az Adatvédelmi Hatóság weboldala további információkat tartalmaz a jelen Adatkezelési Tájékoztatóban hivatkozott adatvédelmi jogokról.

DATA PRIVACY NOTICE

Effective from: August 26, 2025, until revoked

Data Controller Information:

• Name: András Wágner
• Registered Office: 1037 Budapest, Domoszló köz 15.
• Tax Number: 90536289141
• Registration Number: 59780926
• Statistical Code: 90536289855123101
• Representative: András Wágner
• Phone Number: +36 20 207 3281
• Email Address: [email protected]

Purpose of the Data Privacy Notice:

The data controller acknowledges the content of this legal notice as binding. This Data Privacy Notice aims to inform users (hereinafter: Users), requesters (hereinafter: Requesters), business partners with an account (hereinafter: Experts), and business partners without an account (hereinafter: Partners) about the processing of their personal data.

The data controller processes personal data exclusively in accordance with applicable legislation, strictly adhering to data protection regulations and principles such as lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, and storage limitation.

The data controller takes all technical and organizational measures to ensure that personal data is handled securely and in compliance with Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR).

The controller has developed its daily operations, policies, records, templates, and notices in line with the above. Data protection principles related to its data processing activities are continuously available at the controller’s registered office and website. The controller reserves the right to amend this notice at any time and will inform its audience in due time of any changes.

The controller is committed to protecting the personal data of its clients and partners and considers the respect of their informational self-determination rights of utmost importance. Personal data is handled confidentially, and all necessary security, technical, and organizational measures are taken to ensure data protection. The controller outlines its data processing practices below.

Scope of the Data Privacy Notice:

• Personal Scope: Applies to the data controller and all natural persons whose data is processed under this Notice, as well as those whose rights or legitimate interests are affected by the processing.
• Material Scope: Covers all data processing activities arising from the controller’s business and consulting operations.
• Temporal Scope: Effective from the date of approval and remains in force indefinitely until further notice.

Key Definitions:

• Personal Data: Any information relating to an identified or identifiable natural person. A person is identifiable if they can be identified directly or indirectly, especially by reference to an identifier such as name, number, location data, online identifier, or factors specific to physical, physiological, genetic, mental, economic, cultural, or social identity.
• Special Categories of Data: Includes data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data for unique identification, health data, and data concerning a person’s sex life or sexual orientation.
• Data Processing: Any operation performed on personal data, whether automated or not, such as collection, recording, organization, structuring, storage, adaptation, alteration, retrieval, consultation, use, disclosure, dissemination, alignment, combination, restriction, or erasure.
• Data Controller: A natural or legal person, public authority, agency, or other body that determines the purposes and means of processing personal data, alone or jointly with others.
• Data Processor: A natural or legal person, public authority, agency, or other body that processes personal data on behalf of the controller.
• Joint Controllers: When two or more controllers jointly determine the purposes and means of processing, they are considered joint controllers.
• Third Party: Any natural or legal person, public authority, agency, or body other than the data subject, controller, processor, or persons authorized to process personal data under the direct authority of the controller or processor.
• Data Subject’s Consent: A freely given, specific, informed, and unambiguous indication of the data subject’s wishes, by statement or clear affirmative action, signifying agreement to the processing of personal data.
• Data Protection Incident: A breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data transmitted, stored, or otherwise processed.

Lawful Data Processing by the Data Controller

The data controller processes personal data exclusively under the following legal bases:

• when the data subject has given consent for the processing of their personal data for one or more specific purposes;
• when processing is necessary for the performance of a contract to which the data subject is a party;
• when processing is necessary for compliance with a legal obligation to which the data controller is subject;
• when processing is necessary to protect the vital interests of the data subject or another natural person;
• when processing is necessary for the purposes of the legitimate interests pursued by the data controller or a third party.

The data controller continuously assesses the lawfulness of data processing throughout all phases of its activities. It only processes data for which the purpose and legal basis can be substantiated. If the conditions of a legal basis cease to exist, data processing may only continue if the controller can establish a valid alternative legal basis.

As a general rule, legal bases must be documented in writing. Even in cases where the legal basis arises from implied conduct, it must be verifiable retrospectively. In case of doubt, written confirmation of data processing based on implied conduct should be sought, considering principles of reasonableness and cost-efficiency.

In the case of consent-based data processing, the data subject provides written consent for the processing of their personal data. While the form of consent is not strictly regulated, for the sake of later verifiability, written consent—either on paper or in electronic form—is required.

Data processing based on compliance with a legal obligation does not require the data subject’s consent, as the processing is mandated by law.

Regardless of the mandatory nature of the processing, the data subject must be informed prior to the commencement of processing that it is obligatory and cannot be avoided. Furthermore, the data subject must be clearly and thoroughly informed of all significant facts related to the processing of their personal data.

According to the General Data Protection Regulation (GDPR), personal data may also be processed when necessary for the performance of a contract to which the data subject is a party, or when processing is required to take steps at the request of the data subject prior to entering into a contract. Under this legal basis, the data controller may process personal data for the purposes of contract initiation, performance, and termination.

Processing of Personal Data by the Data Controller

The data controller provides individual and group services related to educational and career development (excluding adult education activities), in addition, the possibility to upload résumés and make them accessible to subscribed partners. In the course of these activities, the controller comes into contact with the personal data of natural persons or representatives of legal entities.

The following data processing activities are carried out:

–User account creation

For users, the creation of an account during registration involves the collection and processing of personal data. If registration occurs in connection with the use of specific services, the range of mandatory data required on the form may vary.

To facilitate registration, the data controller offers multiple options. Based on the user’s consent, the data controller or external service providers verify the authenticity of the user’s email address for all email addresses provided.

When registration is carried out via Facebook, LinkedIn, or Google user accounts, the user is not required to verify the registration email address. In such cases, during registration, personal data specified in the information made available by Meta Platforms Ireland Ltd., LinkedIn Corporation/LinkedIn Ireland Unlimited Company, and Google Inc. are transferred to the data controller based on the user’s voluntary consent, in compliance with the respective privacy policies of Meta Platforms Ireland Ltd., LinkedIn Corporation/LinkedIn Ireland Unlimited Company, and Google Inc.

Scope of processed data includes:

• Username

• Email address

• In case of registration via social media: name and email address used on the social platform, Facebook ID, LinkedIn ID, Google ID, profile photo from Google, LinkedIn, or Facebook

• Fact of registration via mobile device and the device identifier (IOS_ID, Android_ID, device_ID)

• Whether the user has consented to receiving direct marketing and promotional communications from the Company

Purpose of data processing:

• User registration

• User identification and differentiation from other users

• Establishing and maintaining contact with the user

• Enabling access to the platform’s core and specific functions

• Supporting customization of services

• Enabling convenience features

• Maintaining a user registry

Legal basis for data processing:

• The user’s explicit and written consent (General Data Protection Regulation Article 6(1)(a))

Registration data may be modified or deleted at any time within the user account.

-Application to individual or group services

Users may apply for individual and group services offered by the data controller via the website (www.peopleindustryinsideout.com) without creating an account. Applications for services provided by Experts and Partners through the website require the submission of certain personal data. During the application process, the controller requests the user’s name, phone number (optional), and email address.

Personal data is processed for the purpose of organizing individual or group services. The legal basis for processing such data is the establishment of a contract (Article 6(1)(b) of the General Data Protection Regulation – GDPR).

In the context of organizing these services, the transfer of personal data to the relevant Expert providing the service is based on the legitimate interest of the data controller (Article 6(1)(f) of the GDPR). It is in our legitimate interest to enable the Expert to access the data of users who have booked appointments, so that they may inform the user of any changes to the service or issue invoices.

The data controller instructs all Experts to comply with data security requirements.

Personal data associated with the user is processed until the user requests its deletion.

-Uploading and Processing of Résumés

Résumés may be uploaded via a dedicated subpage created for this purpose. In addition to the résumé itself, users may provide the following personal data: name, phone number, years of work experience, work and residence permits, language proficiency, job search and workplace preferences (location, type of employment, professional field).

Purpose of Data Processing

The purpose of processing this data is to make résumés and the additional information provided accessible (for viewing and downloading) to subscribed partners (employers/advertisers, recruitment agencies, and temporary staffing firms). The Operator may also search and filter among Users based on preferences specified by employers/advertisers. With prior consent, résumés and additional data may be transferred to subscribed partners.

Legal Basis and Duration

The processing of résumés and additional data is based on the data subject’s explicit consent (Article 6(1)(a) of the General Data Protection Regulation – GDPR) and continues until consent is withdrawn.

Joint Data Controllers

In addition to the Operator, subscribed partners (employers/advertisers, recruitment agencies, and temporary staffing firms) also process the résumés and related data, and therefore qualify as joint data controllers. Information regarding the partner’s data processing practices, tools, processors, and general circumstances of processing is provided directly by the respective partners.

The Operator makes résumés and related data accessible to subscribed partners and also retains access to them.

Search Parameters

Partners using the résumé database may search among Users based on various parameters, including but not limited to: years of work experience, work and residence permits, language proficiency, job search and workplace preferences (location, type of employment, professional field).

Users can view the list of current service partners on the “Companies” subpage.

-Data Processing Related to Contractual Partners

The data controller may enter into contracts with both natural persons and legal entities. Prior to contract formation, a request for quotation is submitted—either via phone, email, or through the form available on the data controller’s website (www.peopleindustryinsideout.com). The requester provides their name, phone number, email address, and, if acting as a representative of an organization, the organization’s name for the purpose of initiating contact.

Following initial contact, the data controller may send a website link containing a form with relevant information for the requested service, a service order form, the General Terms and Conditions, and the Data Privacy Notice. The client completes the form and purchases the service online.

If the service is not purchased, the data controller deletes the personal data of the interested party without delay, but no later than within 30 days.

The legal basis for processing personal data in this context is the establishment of a contract (Article 6(1)(b) of the General Data Protection Regulation – GDPR). If the data subject orders the offered service, a contractual relationship is formed between the parties. During the contractual relationship, the legal basis for data processing is the performance of contractual obligations (Article 6(1)(b) GDPR). In the case of a contact person representing a legal entity, the legal basis is the data subject’s consent (Article 6(1)(a) GDPR).

The personal data of contact persons of our business partners is processed based on the legitimate interest of both the data controller and the business partners (Article 6(1)(f) GDPR). It is in the legitimate interest of both parties to ensure effective business communication during website use and partner negotiations, and to inform each other’s designated representatives of any material circumstances affecting the contract.

No violation of the contact person’s informational self-determination rights can be established, as their job or contractual duties require them to facilitate communication between the parties and provide personal data for this purpose. The contact person of a business partner may object to such data processing.

The data controller issues invoices for the services provided. The invoice contains the data subject’s name, address, and possibly tax number. Issuing the invoice is a legal obligation of the data controller. The legal basis for processing personal data on the invoice is compliance with a legal obligation (Article 6(1)(c) GDPR). The data controller stores the personal data on the invoice for 8 years in accordance with the retention obligation set out in Section 169 of the Accounting Act.

-Organization of Individual and Group Services – Data Processing

The data controller organizes both individual and group services. Applications for these services can be submitted via the data controller’s website (www.peopleindustryinsideout.com). During the application process, the data controller requests the data subject’s name, email address, and phone number.

Purpose of Data Processing

The purpose of processing personal data is to complete registration for the service, enable communication with the data subject, organize the service, and provide useful supplementary materials to participants after the service has been delivered. By applying for the service, the data subject accepts the data controller’s General Terms and Conditions.

The legal basis for processing personal data is the performance of contractual obligations (Article 6(1)(b) of the General Data Protection Regulation – GDPR).

-Processing of Partner and Client Data

In the course of fulfilling its duties, the data controller processes the email addresses and phone numbers of its partners and clients either based on contractual obligations (Article 6(1)(b) GDPR) or based on their individual consent (Article 6(1)(a) GDPR).

The data controller also maintains contractual relationships with subcontractors, suppliers, and service providers, which likewise provides a legal basis for processing personal data. In such cases, the legal basis for processing the personal data of natural persons or sole proprietors is the performance of contractual obligations (Article 6(1)(b) GDPR), while the personal data of contact persons representing legal entities is processed based on their explicit, informed consent (Article 6(1)(a) GDPR).

-Website and Cookie Usage

The data controller primarily presents its activities and services through its own website (www.peopleindustryinsideout.com). The website provides visitors with information about the content and availability of the controller’s services. During operation, the website uses cookies, which also collect personal data from visitors. The legal basis for this data processing is the data subject’s consent (Article 6(1)(a) GDPR).

-Contact Form on the Website

Visitors to the website have the opportunity to contact the data controller via a contact form. The form requires the visitor’s name, email address, and phone number. The purpose of processing this data is to establish contact with the visitor and respond to inquiries regarding the controller’s services.

If no service is ordered following the initial contact, the personal data of the interested party will be deleted without delay, but no later than within 30 days.

The legal basis for processing personal data in this context is the intention to establish a contract (Article 6(1)(b) GDPR). By submitting the form, the data subject declares that they have read and acknowledged the contents of the data controller’s Privacy Notice.

-Newsletter Subscription

Users may subscribe to the newsletter via the data controller’s website by providing their email address. During the subscription process, the data subject declares that they have read and understood the contents of the data controller’s Privacy Notice and indicates whether they consent to the processing of their personal data for marketing purposes.

The data subject is entitled to exercise the rights outlined in the Privacy Notice, in the manner and at the locations specified therein.

Accordingly, the legal basis for processing personal data in connection with newsletter distribution is the subscriber’s explicit and written consent, based on adequate prior information (Article 6(1)(a) of the General Data Protection Regulation – GDPR).

-Publication of Testimonials

The website peopleindustryinsideout.com displays testimonials from previous partners regarding the services provided by the data controller. These testimonials may include the reviewer’s first name and, where applicable, their academic or professional field.

Testimonials and reviewer details are only published on the website if the reviewer has provided written consent based on adequate prior information (Article 6(1)(a) GDPR).

-Social Media Presence

For the purpose of presenting its activities and services, and for marketing purposes, the data controller operates social media pages. Personal data of followers may be processed on these platforms. The legal basis for such processing is the data subject’s consent (Article 6(1)(a) GDPR).

-Complaint Handling

In connection with complaint management, the purpose of data processing is to enable the submission of complaints, identify the data subject and the complaint, record the data required by law, and investigate and resolve the complaint, including related communication.

In the event of a submitted complaint, the processing of personal data is mandatory under Act CLV of 1997 on Consumer Protection. Therefore, the legal basis for processing personal data in this context is compliance with a legal obligation (Article 6(1)(c) GDPR).

Data Processors Associated with the Data Controller

If personal data is processed on behalf of the data controller by another party, the controller shall only engage data processors that provide adequate guarantees of compliance with the requirements of the General Data Protection Regulation (GDPR), and implement appropriate technical and organizational measures to ensure the protection of data subjects’ rights.

The data controller hereby declares that, in the course of its operations, it engages exclusively with data processors who offer sufficient guarantees of GDPR compliance and who implement appropriate technical and organizational safeguards to protect the rights of data subjects. The relevant declarations from these data processors are available upon request.

By reading and acknowledging this Privacy Notice, data subjects accept that the data controller may transfer their personal data to the data processors and joint controllers listed herein.

Accounting Partner: FORDAN 2000 Kft. 1186 Budapest, Csáth Géza utca 3. fszt. 4. Responsible for accounting-related data processing on behalf of the controller.

Invoice Management Partner: Billingo Technologies Zrt. 1133 Budapest, Árbóc utca 6. III. floor. Handles invoicing and related data processing tasks for the controller.

Web Hosting Provider: Code4flow Kft. 6721 Szeged, Szilágyi utca 2. 401. Provides hosting services for the data controller’s website and processes personal data accordingly

Email System Provider: Outlook.com Microsoft Corporation One Microsoft Way, Redmond, Washington 98052-6399, United States Provides email infrastructure services for the data controller.

Newsletter Management System Provider: Intuit Mailchimp 405 N Angier Ave. NE, Atlanta, GA 30308, United States Manages newsletter distribution and related data processing.

Social Media and Plug-in Partner – Facebook: Meta Platforms Ireland Ltd. 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland Acts as both data processor and joint controller due to the use of the Facebook page and embedded social plug-ins.

Social Media and Plug-in Partner – LinkedIn:

• For EEA, UK, and Switzerland: LinkedIn Corporation 1000 W. Maude Avenue, Sunnyvale, CA 94085, United States
• For countries outside the EEA, UK, and Switzerland: LinkedIn Ireland Unlimited Company Wilton Place, Dublin 2, Ireland Acts as both data processor and joint controller due to the use of the LinkedIn page and embedded plug-ins.

Banking and Payment Services Provider: Stripe 354 Oyster Point Blvd, South San Francisco, California 94080, United States Processes payment-related personal data on behalf of the data controller.

Contracted data processors and joint controllers process personal data exclusively based on the instructions provided by the data controller, except where processing is required by law. They are bound by confidentiality obligations and must ensure the protection of personal data entrusted to them.

Data Processing Related to Contracts Concluded by the Data Controller

-User Contracts – Individual Services

Applications for individual services offered by the data controller can be submitted via the website (www.peopleindustryinsideout.com). During registration, the controller may collect the user’s name, email address, and optionally their phone number. The purpose of data processing is to complete registration, enable communication with the data subject, and organize the service. By registering, the data subject accepts the controller’s General Terms and Conditions.

Personal data may be accessed by the controller’s designated data processors and individuals strictly necessary for service delivery. The legal basis for processing is the establishment of a contract (GDPR Article 6(1)(b)).

If the service is not used at the scheduled time, personal data will be deleted without delay, but no later than within 30 days.

-User Contracts – Group Services

Applications for group services are also submitted via the website. The controller may collect the user’s name, email address, and optionally their phone number. The purpose of data processing is registration, communication, service organization, and the distribution of useful materials after the service.

By registering, the data subject accepts the controller’s General Terms and Conditions. Personal data may be accessed by the controller’s data processors and individuals strictly necessary for service delivery. The legal basis is the establishment of a contract (GDPR Article 6(1)(b)).

If the service is not used, personal data will be deleted within 30 days.

User Account Creation for Experts

Natural persons and sole proprietors may create user accounts to display and deliver individual or group services. Contact form is to be completed via the website, where the data subject provides their name and email address. The purpose is to initiate contact and, upon mutual agreement, receive and fill a registration form containing relevant service information and ordering options.

The legal basis is the data subject’s explicit, written, and informed consent (GDPR Article 6(1)(a)).

Upon form submission, the controller processes the following data: name, job title, company name, profile photo, LinkedIn profile link, and introduction text. The purpose is to create a user account and present the individual to website visitors. The legal basis is the performance of contractual obligations (GDPR Article 6(1)(b)).

Following service ordering, the controller also processes: selected package and fee. Legal basis: contract formation (GDPR Article 6(1)(b)).

Online Payment via Stripe

In case of online payment by bank card, certain personal data is transferred to the payment service provider (Stripe). Transferred data includes: first name, last name, country, and email address. Purpose: customer support, transaction confirmation, and fraud monitoring/prevention. Legal basis: data subject’s consent (GDPR Article 6(1)(a)).

Account Activation

To activate the profile, the controller sends an activation link, username, and initial password. Purpose: prepare registration. Legal basis: performance of contractual obligations (GDPR Article 6(1)(b)).

If the order is not completed, personal data is deleted within 30 days. Legal basis: contract formation (GDPR Article 6(1)(b)). If the service is ordered, a contractual relationship is established. Legal basis for further processing: performance of contractual obligations (GDPR Article 6(1)(b)); for legal entity representatives: consent (GDPR Article 6(1)(a)).

Additional data visible to visitors may include:

• For individual services: language, type of support, duration, field of expertise, date, fee, web conference link
• For group services: language, target group, field of expertise, service name, date, fee, web conference link

Google Calendar Synchronization

Users may choose to sync their account with Google Calendar, which requires Gmail login. Login credentials are not stored or accessed. Calendar data is used solely for synchronization and processed in accordance with privacy policies and applicable laws.

Invoicing

The controller issues invoices for services rendered. Invoices contain the data subject’s name, address, and possibly tax number. Legal basis: compliance with legal obligations (GDPR Article 6(1)(c)). Invoices are stored for 8 years in accordance with Section 169 of the Accounting Act.

Supplier Contracts

The controller also works with subcontractors, natural persons, and sole proprietors. Personal data of contact persons or individuals may be processed for communication, presentation, and representation purposes.

Legal basis: performance of contractual obligations (GDPR Article 6(1)(b)) or consent of the contact person (GDPR Article 6(1)(a)). Additionally, personal data of contact persons may be processed based on the legitimate interests of both parties (GDPR Article 6(1)(f)) to ensure effective communication and contract management.

No violation of informational self-determination rights is established, as the contact person’s role or contractual duty includes facilitating communication and providing personal data for this purpose. Contact persons may object to such processing.

If the contract ends and no legal retention obligation applies, unnecessary data such as phone numbers, email addresses, and non-essential invoice data will be deleted. Invoice-related personal data is stored for 8 years in accordance with Section 169 of the Accounting Act.

Processing of Personal Data on Issued Invoices

The data controller issues invoices for services rendered, where applicable. Invoices contain the data subject’s name, address, and possibly tax number. Issuing invoices is a legal obligation of the data controller. The legal basis for processing personal data on invoices is compliance with a legal obligation (Article 6(1)(c) of the General Data Protection Regulation – GDPR). Such personal data is stored for 8 years in accordance with the retention obligation set out in Section 169 of the Accounting Act.

Children’s Data and Special Categories of Personal Data

By subscribing to the newsletter or consenting to the use of cookies on the data controller’s website, the data subject declares that they are at least 16 years of age. Individuals under the age of 16 may not subscribe to the newsletter or consent to cookie-based data collection, as per Article 8(1) of the GDPR, which requires parental or legal guardian consent for valid authorization.

The data controller is unable to verify the age or legal capacity of the consenting individual and therefore relies on the data subject’s warranty that the information provided is accurate.

The data controller does not record any special categories of personal data. If such data is inadvertently submitted to any of the controller’s systems, it will be deleted immediately upon detection.

Retention of Email Addresses and Phone Numbers

In the course of its activities, the data controller may become aware of the email addresses and phone numbers of its partners, clients, and contractors. These personal data are primarily processed for the performance of contractual obligations (GDPR Article 6(1)(b)).

If the contract with the partner is terminated and no legal retention obligation applies, phone numbers and email addresses will be deleted. In certain cases, the data controller may have a legitimate interest in retaining the data and will request the data subject’s explicit and written consent for continued storage (GDPR Article 6(1)(a)).

Photographs and Video Recordings

The data controller may occasionally take photographs or video recordings of clients, and clients may also submit images they have taken. If a recognizable individual appears in the recording, the creation and use of the image—on the controller’s website, social media platforms, or other public appearances—will only occur with the individual’s prior, voluntary, written consent based on adequate information. The legal basis for such processing is the data subject’s consent (GDPR Article 6(1)(a)).

If the data subject withdraws their consent and requests the removal or deletion of the image, the data controller will comply with the request without delay.

Website of the Data Controller

The data controller primarily presents its activities and services through its official website: www.peopleindustryinsideout.com. The website provides visitors with information about the controller’s contact details, available services, and offers a means of initiating contact.

Use of Cookies

The website uses cookies during its operation. The legal basis for processing personal data obtained through cookies is the visitor’s consent (Article 6(1)(a) of the General Data Protection Regulation – GDPR).

The following cookie is used on the website:

• crumb
• időtartam: until end of activity
• típus: necessary

Purpose of Cookies

Cookies serve the following functions:

• Collect information about visitors and their devices
• Remember individual user settings
• Facilitate website usability
• Provide a high-quality user experience

To enable personalized service, a small data package (cookie) is placed on the user’s device and read during future visits. If the browser returns a previously stored cookie, the cookie handler may link the current visit to previous ones—but only in relation to its own content.

Strictly Necessary Session Cookies

These cookies ensure that visitors can browse the website smoothly, use its features, and access available services. They remain valid until the end of the browsing session and are automatically deleted when the browser is closed.

User Choices Regarding Cookies

Users can accept or reject new cookies and delete existing ones via their browser settings. Browsers can also be configured to notify users whenever a new cookie is placed. For more information, users may consult the browser’s “help” function.

If a visitor disables some or all cookies, certain website features may become unavailable.

By accepting the use of cookies on the website, the data subject declares that they are at least 16 years old. Individuals under the age of 16 may not provide consent for cookie usage, as per Article 8(1) of the GDPR, which requires parental or legal guardian authorization for valid consent. The data controller is unable to verify the age or legal capacity of the consenting individual and relies on the data subject’s warranty that the provided information is accurate.

Contact Form on the Website

Visitors may contact the data controller via a contact form available on the website. Through this form, users may express interest in the controller’s services. The controller may collect the visitor’s name, email address, phone number, and—if applicable—the name of the company or educational institution.

By submitting the form, the data subject declares that they have read and acknowledged the controller’s Privacy Notice. The personal data provided for this purpose is processed solely to establish contact. The legal basis for processing is the intention to form a contract (GDPR Article 6(1)(b)).

Testimonials Displayed on the Website

The website features testimonials from previous clients regarding the services provided by the data controller. These testimonials may include the reviewer’s first name and, where applicable, their academic or professional field.

Testimonials are only published if the reviewer has provided written, informed, and voluntary consent (GDPR Article 6(1)(a)). The data controller processes this personal data until the consent is withdrawn.

-Newsletter Subscription

Visitors to the data controller’s website have the option to subscribe to a newsletter. During the subscription process, the visitor declares that they have read and understood the contents of the data controller’s Privacy Notice and indicates whether they consent to the processing of their personal data for marketing purposes (specifically for newsletter distribution).

The data subject is entitled to exercise the rights described in the Privacy Notice, in the manner and at the locations specified therein. Accordingly, the legal basis for processing personal data for newsletter distribution is the subscriber’s explicit and written consent (Article 6(1)(a) of the General Data Protection Regulation – GDPR).

The purpose of processing personal data in connection with newsletter distribution is to provide recipients with comprehensive general or personalized updates about new content, upcoming events, and news published on the website, in accordance with applicable laws and regulations.

Subscription to the newsletter and/or direct marketing communications is based on voluntary consent. The data controller provides the option for data subjects to withdraw their consent and unsubscribe from the newsletter at any time.

By subscribing to the newsletter, the data subject declares that they are at least 16 years old. Individuals under the age of 16 may not subscribe to the newsletter, as per Article 8(1) of the GDPR, which requires parental or legal guardian authorization for valid consent. The data controller is unable to verify the age or legal capacity of the consenting individual and relies on the data subject’s warranty that the information provided is accurate.

-Social Media Pages of the Data Controller

The data controller operates a Facebook page, where personal data may also be processed. The controller promotes its activities and services on both Facebook and LinkedIn, using these platforms for marketing purposes.

• Facebook Privacy Policy: https://www.facebook.com/gdprszabalyzat
• LinkedIn Privacy Policy: https://hu.linkedin.com/legal/privacy-policy

Facebook and LinkedIn may use personal data for their own purposes, including profiling and targeted advertising.

To contact the data controller via Facebook or LinkedIn, users must log in. These platforms may request, store, and process personal data for this purpose. The data controller has no influence over the type, scope, or processing of such data and does not receive personal data from the operators of Facebook or LinkedIn. Further information is available on the respective platforms.

The data controller processes the personal data of followers on Facebook and LinkedIn based on their consent (GDPR Article 6(1)(a)). Consent is considered granted when a user likes, follows the page, group, or posts, or leaves comments.

-Complaint Management Related to the Data Controller’s Activities

In the context of complaint management, the purpose of data processing is to enable the submission of complaints, identify the data subject and the nature of the complaint, record the data required by law, investigate the complaint, and maintain communication related to its resolution.

When a complaint is submitted, the handling of personal data becomes mandatory under Act CLV of 1997 on Consumer Protection. Accordingly, the legal basis for processing personal data in this context is compliance with a legal obligation (Article 6(1)(c) of the General Data Protection Regulation – GDPR).

The data controller retains the complaint record and a copy of the response for 3 years, and processes the related personal data for the same duration.

-Data Security

The data controller undertakes to ensure the security of personal data and implements the necessary technical and organizational measures, maintaining procedural rules that guarantee the protection of collected, stored, and processed data. These measures aim to prevent data destruction, unauthorized use, and unauthorized alteration.

The controller also commits to requiring all third parties to whom personal data is transferred or disclosed to comply with data security requirements.

The controller ensures that unauthorized persons cannot access, disclose, transmit, modify, or delete the processed data. Personal data is accessible only to the controller, its designated data processors, and individuals strictly necessary for service delivery. Data will not be disclosed to any person lacking authorization.

The controller pays special attention to the security of personal data belonging to its partners, clients, and contractors. It acts in full compliance with legal requirements and expects the same from all its partners.

Data protection includes both physical safeguards (e.g., storing documents in lockable rooms) and IT security measures (e.g., antivirus software, firewalls).

Personal data provided by the data subject is primarily stored on the servers of the data processors listed in this Privacy Notice, which are equipped with standard protection systems. Additionally, data may be stored on the controller’s own IT devices or, in the case of paper-based records, securely at its registered office.

Data subjects acknowledge and accept that complete protection of personal data on the internet and within computer systems cannot be guaranteed. In the event of unauthorized access or data breach—despite the controller’s efforts—procedures outlined in this Privacy Notice shall apply.

-Rights of Data Subjects

Transparent Information

This Privacy Notice is intended to provide clear, concise, transparent, and understandable information about the data processing activities carried out by the data controller.

Right of Access

Data subjects have the right to obtain confirmation from the data controller as to whether their personal data is being processed. If such processing is taking place, they have the right to access their personal data and the following information:

• the purpose of the processing
• the categories of personal data concerned
• the recipients to whom the personal data has been disclosed
• the intended duration of data storage

Requests for information may be submitted via email to: [email protected] The data controller will respond within 30 days. Requests submitted by post will be answered by post; email requests will be answered via email.

Right to Rectification

Data subjects have the right to request the correction of inaccurate personal data concerning them.

Requests may be submitted via email to: [email protected] The controller will respond within 30 days, using the same method as the request.

Right to Erasure (“Right to be Forgotten”)

Data subjects have the right to request the deletion of their personal data. The controller is obliged to delete the data if any of the following conditions apply:

• the personal data is no longer necessary for the purpose for which it was collected
• the data subject withdraws consent and no other legal basis exists
• the data subject objects to processing and no overriding legitimate grounds exist
• the personal data was unlawfully processed
• deletion is required to comply with a legal obligation under EU or Member State law

Requests may be submitted via email to: [email protected] The controller will respond within 30 days.

Right to Restriction of Processing

Data subjects may request restriction of processing, particularly if:

• they contest the accuracy of the data
• they consider the processing unlawful but do not wish the data to be deleted

Requests may be submitted via email to: [email protected] The controller will respond within 30 days.

Right to Data Portability

Data subjects have the right to receive their personal data in a structured, commonly used, machine-readable format and to transmit that data to another controller.

Requests may be submitted via email to: [email protected] The controller will respond within 30 days.

Right to Object

Data subjects have the right to object, on grounds relating to their particular situation, to the processing of their personal data, in accordance with Article 21 of Regulation (EU) 2016/679.

Requests may be submitted via email to: [email protected] The controller will respond within 30 days.

Rights in Relation to Automated Decision-Making

Data subjects have the right not to be subject to decisions based solely on automated processing—including profiling—that produce legal effects or significantly affect them. Automated decision-making refers to any procedure or methodology where technical automation evaluates personal characteristics and has a legal or significant impact on the individual.

The data controller does not use automated systems capable of profiling that would significantly affect the rights of data subjects.

Requests may be submitted via email to: [email protected] The controller will respond within 30 days.

Requests for information submitted by post will be answered by post, while requests submitted via email will be answered via email.

The data controller undertakes to inform all recipients to whom personal data has been disclosed about any requests submitted by the data subject concerning their rights, unless this proves impossible or involves disproportionate effort.

Furthermore, the data controller commits to notifying the data subject of the outcome of their request and the decision made in relation to it within 30 days.

Data Breach (Personal Data Incident)

A data breach is defined as a security incident that results in the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or unauthorized access to personal data that has been transmitted, stored, or otherwise processed.

A breach qualifies as a data protection incident if it poses a serious threat to data security, specifically when it results in:

• destruction of personal data
• loss of personal data
• alteration of personal data
• unauthorized disclosure of personal data
• unauthorized access to personal data

An incident may involve one or more of the above. It includes not only intentional, malicious actions but also breaches caused by negligence. A data breach occurs when personal data is compromised due to accidental or unlawful actions.

Examples of data protection incidents include:

• unlawful transmission of personal data via documents, portable devices, storage media, or IT systems (e.g., email)
• unauthorized access to IT systems or applications that process personal data
• damage or loss of part or all of a database containing personal data
• IT system failure due to viruses or other malicious software

If appropriate and timely action is not taken, a data breach may result in physical, financial, or non-material harm to individuals, including:

• loss of control over personal data
• restriction of rights
• discrimination
• identity theft or misuse
• financial loss
• unauthorized reversal of pseudonymization
• reputational damage
• breach of confidentiality of data protected by professional secrecy
• other significant economic or social disadvantages

Notification to Authorities and Data Subjects

In the event of a data breach (unless it is unlikely to pose a risk to the rights and freedoms of natural persons), the data controller must notify the Hungarian National Authority for Data Protection and Freedom of Information (NAIH) without undue delay, and if possible, no later than 72 hours after becoming aware of the breach. If notification cannot be made within 72 hours, the reason for the delay must be provided, and the required information must be submitted without further undue delay, even in stages.

The NAIH provides a dedicated electronic reporting system on its website for submitting breach notifications.

The data controller maintains a record of all data protection incidents, including:

• facts related to the incident
• its effects
• measures taken to remedy the breach
• the scope of affected personal data
• conclusions drawn (e.g., why the incident was deemed non-reportable or why notification was delayed)

No notification to the supervisory authority is required if the breach is unlikely to pose a risk to the rights and freedoms of natural persons.

If the breach is likely to result in a high risk to the rights and freedoms of the controller’s partners, clients, or contractors, the controller must promptly inform the affected individuals. The notification must clearly and understandably describe the nature of the breach and include key information and mitigation measures.

Exemptions from Individual Notification

Notification to affected individuals is not required if any of the following conditions are met:

• the controller has implemented appropriate technical and organizational protection measures that render the data unintelligible to unauthorized persons
• the controller has taken subsequent measures to ensure that the high risk to individuals’ rights and freedoms is no longer likely to materialize
• individual notification would require disproportionate effort—in such cases, public communication or similar measures must be used to effectively inform affected individuals

Applicable Legal Regulations

The data controller’s data processing activities are governed by the following key legal instruments:

• Act CXII of 2011 on the Right to Informational Self-Determination and Freedom of Information (Hungarian Privacy Act)
• Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation – GDPR)
• Act V of 2013 on the Civil Code
• Act C of 2000 on Accounting

Right to Judicial Remedy

If a data subject believes that their rights have been violated, they may initiate legal proceedings against the data controller. The court shall act in the matter without delay.

Data Protection Authority Procedure

Complaints may be submitted to the Hungarian National Authority for Data Protection and Freedom of Information (NAIH):

• Name: Nemzeti Adatvédelmi és Információszabadság Hatóság 
• Head Office: 1055 Budapest, Falk Miksa utca 9–11.
• Mailing Address: 1530 Budapest, P.O. Box 5
• Phone: +36 1 391 1400
• Fax: +36 1 391 1410
• Email: [email protected]
• Website: www.naih.hu

Additional Provisions

For any data processing activities not listed in this Privacy Notice, the data controller shall provide information at the time of data collection. In such cases, the applicable legal regulations shall govern the processing.

The data controller hereby informs its clients that it may be contacted by the following authorities for the purpose of providing information, disclosing or transferring data, or making documents available:

• courts
• public prosecutors
• investigative authorities
• administrative authorities
• the Hungarian National Authority for Data Protection and Freedom of Information
• the Central Bank of Hungary
• other bodies authorized by law

In response to such official requests, the data controller will only disclose personal data if the authority specifies the exact purpose and scope of the requested data, and only to the extent strictly necessary to fulfill the purpose of the request.

Further information on the data protection rights referenced in this Privacy Notice is available on the website of the Hungarian National Authority for Data Protection and Freedom of Information: www.naih.hu