Adatkezelési tájékoztató
Ez a tájékoztató a kvitt mobil- és webalkalmazás (a továbbiakban: Alkalmazás) használata során megvalósuló személyesadat-kezelésről ad tájékoztatást az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) alapján.
Az adatkezelő
- Cégnév
- SKAWA Innovation Kutatás-Fejlesztési Kft.
(rövidített név: SKAWA Innovation Kft.) - Székhely
- 1093 Budapest, Gálya utca 6.
- Iroda / ügyfélszolgálat
- 1068 Budapest, Király utca 82. IV. emelet 3.
- Postacím
- 1243 Budapest, Pf. 567.
- Cégjegyzékszám
- 01-09-907962 (Fővárosi Törvényszék Cégbírósága)
- Adószám
- 14528114-2-43
- Közösségi adószám
- HU14528114
- pfarago@skawa.hu
Az Adatkezelő nem folytat olyan tevékenységet, amely a GDPR 37. cikke szerint kötelezővé tenné adatvédelmi tisztviselő (DPO) kijelölését. Adatvédelmi kérdéseiddel közvetlenül a fenti e-mail címen fordulhatsz hozzánk.
Az adatkezelő és elérhetőségei
Az Alkalmazás üzemeltetője és a személyes adatok kezelője a SKAWA Innovation Kft. (a továbbiakban: Adatkezelő vagy Szolgáltató), amelynek részletes adatait a fenti keret tartalmazza. Az adatkezeléssel kapcsolatos bármely megkeresésedet a pfarago@skawa.hu e-mail címre vagy a postacímünkre küldheted.
A tájékoztató célja és hatálya
A tájékoztató célja, hogy világos és átlátható módon bemutassa, milyen személyes adatokat, milyen célból, milyen jogalapon és meddig kezelünk, kik férhetnek hozzá, valamint milyen jogok illetnek meg téged az adataiddal kapcsolatban.
A tájékoztató hatálya az Alkalmazás használatához kapcsolódó adatkezelésekre terjed ki. Az Alkalmazás használatának feltételeit külön dokumentum, az Általános Szerződési Feltételek (ÁSZF) tartalmazza.
A kezelt adatok, célok és jogalapok
Csak azokat az adatokat kezeljük, amelyek a szolgáltatás nyújtásához feltétlenül szükségesek (adattakarékosság elve). Az egyes adatkezeléseket az alábbi táblázat foglalja össze.
| Adatok köre | Az adatkezelés célja | Jogalap | Megőrzési idő |
|---|---|---|---|
| Fiókadatok: név, e-mail cím | A fiók létrehozása és fenntartása, a felhasználó azonosítása, kapcsolattartás | Szerződés teljesítése [GDPR 6. cikk (1) b)] |
A fiók törléséig, illetve a törlési kérelemtől számított 30 napig |
| Belépési (hitelesítési) adatok: az e-mailben küldött, egyszer használatos belépő linkek / kódok, munkamenet-azonosítók | Jelszó nélküli, biztonságos bejelentkezés (magic link); a jogosulatlan hozzáférés megelőzése | Szerződés teljesítése [6. cikk (1) b)] és jogos érdek a visszaélések megelőzésére [6. cikk (1) f)] | A belépő link az érvényességi idejéig; a munkamenet a kijelentkezésig; biztonsági naplók legfeljebb 12 hónapig |
| Csoport- és tevékenységadatok: csoporttagságok, a felvitt bejegyzések (tevékenység megnevezése, ráfordított idő, összeg, dátum), valamint a jóváhagyások és elutasítások | A szolgáltatás nyújtása: a hozzájárulások rögzítése, megosztása a csoporttagokkal és az egyenlegek kiszámítása | Szerződés teljesítése [6. cikk (1) b)] |
A fiók vagy az érintett csoport törléséig (lásd a 8. pontot) |
| Kapcsolatfelvételi és ügyfélszolgálati adatok: e-mail cím, az üzenet tartalma | Megkeresések, kérelmek és panaszok kezelése, jogi igények érvényesítése vagy védelme | Jogi kötelezettség [6. cikk (1) c)] és jogos érdek [6. cikk (1) f)] | Panasz esetén a fogyasztóvédelemről szóló 1997. évi CLV. törvény szerint 5 évig |
| Technikai naplóadatok: hibanaplók, biztonsági események az üzemeltetői infrastruktúrában | Üzembiztonság, hibaelhárítás, a szolgáltatás integritásának és a felhasználók védelme | Jogos érdek [6. cikk (1) f)] |
Legfeljebb 12 hónap |
A jogos érdeken alapuló adatkezelések esetében érdekmérlegelést végeztünk, amelynek során megállapítottuk, hogy az adatkezelés a szolgáltatás biztonságos működéséhez szükséges, és nem korlátozza aránytalanul az érintettek jogait. Az érdekmérlegelés eredményéről kérésre tájékoztatást adunk.
Az adatok forrása
A kezelt adatok döntő többségét közvetlenül tőled kapjuk (a fiók létrehozásakor és a bejegyzések felvitelekor). Előfordulhat, hogy egy másik csoporttag a te nevedben rögzít bejegyzést; ilyenkor a bejegyzés a te nevedhez kerül jóváírásra, azt azonban a csoport többi tagjának - így neked is - jóvá kell hagynod. Külső, harmadik féltől nem gyűjtünk rólad személyes adatot.
Adatfeldolgozók és címzettek
A szolgáltatás nyújtásához az alábbi adatfeldolgozók közreműködését vesszük igénybe. Az adatfeldolgozók az adatokat kizárólag a mi utasításunk szerint, a velük kötött adatfeldolgozási szerződés keretei között kezelhetik.
| Adatfeldolgozó | Tevékenység | Adatkezelés helye | Garanciák |
|---|---|---|---|
| Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Írország) - Google Firebase: Firestore adatbázis, Authentication, Hosting, Cloud Functions |
Adattárolás, felhasználó-hitelesítés, alkalmazás-futtatás és tárhelyszolgáltatás | Európai Unió (az adatbázis EU-s adatközpontokban, multi-régiós tárolással) | Google Cloud adatfeldolgozási feltételek; EU Standard Contractual Clauses az esetleges USA-beli alfeldolgozókra |
| The Rocket Science Group LLC (Mailchimp / „Mandrill" tranzakciós e-mail szolgáltatás; Intuit Inc. vállalatcsoport) 405 N. Angier Ave. NE, Atlanta, GA, USA |
A belépő linkeket és az értesítő leveleket tartalmazó e-mailek kézbesítése | Amerikai Egyesült Államok | EU-USA Adatvédelmi Keret (Data Privacy Framework) és/vagy EU Standard Contractual Clauses |
Az Adatkezelő az adatokat harmadik félnek nem értékesíti, és marketing célból sem adja át. Hatóság vagy bíróság megkeresése esetén a jogszabályi kötelezettségünk teljesítéséhez szükséges mértékben adhatunk ki adatot.
Adattovábbítás harmadik országba
A felhasználói adatokat elsődlegesen az Európai Unió területén tároljuk és kezeljük. A belépő és értesítő e-mailek kézbesítése során azonban adat kerülhet az Amerikai Egyesült Államokba (a tranzakciós e-mail szolgáltatónkhoz). Ezt az adattovábbítást az Európai Bizottság EU-USA Adatvédelmi Keretre (Data Privacy Framework) vonatkozó, 2023. július 10-i megfelelőségi határozata, illetve - annak hiányában - az Európai Bizottság által elfogadott általános szerződési feltételek (Standard Contractual Clauses) mint megfelelő garancia biztosítja. E garanciák másolata kérésre elérhető.
Ki fér hozzá az adataidhoz
- A csoporttársaid: a neved és az általad (vagy a nevedben) felvitt bejegyzések tartalmát azok a felhasználók látják, akikkel közös csoportban vagy. Ez a szolgáltatás lényegéből fakad: a közös hozzájárulások átláthatósága a cél.
- Az e-mail címed: a csoporttársaid számára nem látható.
- Az Adatkezelő: az arra jogosult, titoktartásra kötelezett munkatársai a support és az üzemeltetés érdekében, a feladatuk ellátásához szükséges mértékben.
- Adatfeldolgozók: az 5. pontban felsorolt szolgáltatók, kizárólag a megjelölt tevékenység céljából.
Az adatok megőrzése és törlése
Az adataidat a fiókod fennállásáig kezeljük. A fiók és az adatok törlését bármikor kérheted a pfarago@skawa.hu címen (a részleteket lásd a Fiók törlése oldalon). A kérelem beérkezésétől számított 30 napon belül véglegesen töröljük a fiókodat, a csoporttagságaidat és az általad rögzített bejegyzéseket.
Fontos: a csoport közös, már jóváhagyott bejegyzései - amelyek a csoport elszámolásának részét képezik és amelyekben más tagok is érintettek - a csoport működése érdekében a szerző neve nélkül (anonimizálva) megmaradhatnak. A csoportból való kilépés nem érinti a korábban felvitt bejegyzéseket. A teljes csoport törlésekor a csoport valamennyi bejegyzése törlődik.
A fenti határidőkön túl kizárólag jogszabályi kötelezettség teljesítéséhez vagy jogi igény érvényesítéséhez szükséges ideig őrizzük meg az adatokat (pl. panaszkezelési dokumentáció).
Adatbiztonság
Az adataid védelme érdekében a technika mindenkori állásának megfelelő szervezési és technikai intézkedéseket alkalmazunk, többek között:
- titkosított adatátvitel (HTTPS/TLS) a kliens és a szerver között;
- az adatok tárolása korlátozott hozzáférésű, EU-s felhőinfrastruktúrában;
- jelszó nélküli (e-mailes belépő linkes) hitelesítés, amely kiküszöböli a jelszavak tárolásából és ellopásából eredő kockázatokat;
- szerepköralapú hozzáférés-korlátozás és biztonsági szabályok (Firestore rules), amelyek biztosítják, hogy csak a jogosult felhasználók férjenek hozzá az adatokhoz.
Felhívjuk a figyelmedet, hogy az interneten történő adattovábbítás teljes biztonsága nem garantálható; a saját eszközöd és e-mail fiókod biztonságáról neked kell gondoskodnod.
Automatizált döntéshozatal, profilalkotás
Az Alkalmazás nem alkalmaz olyan, kizárólag automatizált adatkezelésen alapuló döntéshozatalt vagy profilalkotást, amely rád nézve joghatással járna vagy téged hasonlóan jelentős mértékben érintene [GDPR 22. cikk].
Sütik és nyomon követés
Az Alkalmazás nem használ hirdetési vagy elemzési (analitikai) célú sütiket, illetve harmadik feles nyomkövetőket. A működéshez kizárólag a bejelentkezési munkamenet fenntartásához szükséges, technikai jellegű helyi tárolást (a böngésző localStorage / IndexedDB tárolóját) használjuk. Ezek nélkül a bejelentkezés nem működne. Ezt az adatot harmadik féllel nem osztjuk meg.
Adatvédelmi incidens
Adatvédelmi incidens esetén a jogszabályi kötelezettségeinknek megfelelően járunk el: indokolatlan késedelem nélkül, legkésőbb 72 órán belül bejelentjük az incidenst a felügyeleti hatóságnak (NAIH), kivéve, ha az incidens valószínűsíthetően nem jár kockázattal. Ha az incidens valószínűsíthetően magas kockázattal jár a jogaidra nézve, téged is tájékoztatunk.
Az érintett jogai
Az adataiddal kapcsolatban a GDPR alapján az alábbi jogok illetnek meg:
- Hozzáférés a rólad kezelt adatokhoz és azok másolatához [15. cikk];
- Helyesbítés - a pontatlan adatok kijavítása, a hiányos adatok kiegészítése [16. cikk]; a nevedet az Alkalmazásban is bármikor módosíthatod;
- Törlés („elfeledtetéshez való jog") [17. cikk];
- Az adatkezelés korlátozása [18. cikk];
- Adathordozhatóság - a rád vonatkozó adatok tagolt, géppel olvasható formátumban való megkapása vagy továbbítása [20. cikk];
- Tiltakozás a jogos érdeken alapuló adatkezelés ellen [21. cikk];
- ahol az adatkezelés hozzájáruláson alapul, a hozzájárulás visszavonása [7. cikk (3)], amely a visszavonás előtti adatkezelés jogszerűségét nem érinti.
Kérelmedet a pfarago@skawa.hu címre küldheted. A kérelem teljesítése díjmentes. A személyazonosságod ellenőrzése érdekében szükségünk lehet a beazonosításodra. Kérelmedre indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül válaszolunk; ez a határidő - a kérelem összetettségére tekintettel - további két hónappal meghosszabbítható, amiről tájékoztatunk.
Jogorvoslati lehetőségek
Ha úgy érzed, hogy az adataidat nem megfelelően kezeljük, kérjük, először fordulj hozzánk a pfarago@skawa.hu címen - a legtöbb kérdést gyorsan rendezni tudjuk. Emellett az alábbi jogorvoslati lehetőségek illetnek meg:
Felügyeleti hatóság
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu
Web: www.naih.hu
Jogaid megsértése esetén bírósághoz is fordulhatsz. A per - választásod szerint - a lakóhelyed vagy tartózkodási helyed szerint illetékes törvényszék előtt is megindítható.
A tájékoztató módosítása
Az Adatkezelő fenntartja a jogot a jelen tájékoztató módosítására, például jogszabályváltozás vagy a szolgáltatás fejlődése esetén. A mindenkor hatályos változatot az Alkalmazásban és a kvitt.hu/adatvedelem.html címen tesszük közzé. Lényeges változásról a felhasználókat megfelelő módon (pl. az Alkalmazásban vagy e-mailben) előzetesen tájékoztatjuk.