Körülmények: miért születik e nyilatkozat?

A Webergoline Kft. (székhely: 1124 Budapest, Apor Vilmos tér 25-26., cégjegyzékszám: 01-09-982965) és az ügyfelei között informatikai ill. weboldal, webáruház vagy webes alkalmazások, felületek fejlesztésével kapcsolatos szerződések köttettek. Ezen szerződések teljesítése során a Webergoline Kft. és alvállalkozói (a továbbiakban együttesen értve: Webergoline Kft.) az ügyfelei informatikai infrastruktúrájához és az ezen tárolt adatokhoz hozzáférnek, hiszen ez a szerződés teljesítéséhez elengedhetetlen. A Webergoline Kft. ezen helyzet miatt az EU-ban és Magyarországon hatályos adatvédelmi jogszabályokban definiált szerepköröket testesít meg: “adatkezelő” és “adatfeldolgozó” is lehet. Ezen szerepköreiből adódóan adja ki a Weberegoline Kft. ezt a nyilatkozatot.

A Webergoline Kft. ezen nyilatkozattal rögzít pár tényt ezzel kapcsolatban, emellett e nyilatkozat operatívan az együttműködést érdemben nem érinti.

1. A Webergoline Kft. nyilatkozata:

Horváth Attila ügyvezető a Webergoline Kft. nevében és aláírásra jogosult személyeként az alábbi nyilatkozatot teszem:

1.1 Milyen személyes adatokat kezel vagy dolgoz fel a Webergoline Kft.?

Két fő helyzetről beszélünk:

1.1.1. Ügykezelő rendszer

A Webergoline Kft.-vel való levelezés során a Webergoline Kft. ügykezelő rendszerében megjelenő adatok. Ezen esetben a Webergoline Kft. adatkezelő. Ezen helyzetről kijelentjük, hogy a Webergoline Kft. nem kér, és nem gyűjt a GDPR és az Infotörvény szerinti személyes adatot e rendszerben. Amennyiben valamilyen módon mégis bekerül ide személyes adat, azt a szerződés lezárta után 2 évvel törli a Webergoline Kft.. Ezen túlmenően üzleti e-mail címek, telefonszámok, számítógép felhasználó nevek rendszeresen fordulnak elő a rendszerben, mindezeket a szerződés lezárta után 2 évvel törli a Webergoline Kft.

1.1.2  A Webergoline Kft. megrendelőinek informatikai rendszereiben tárolt adatok elérése

• A Webergoline Kft., mint IT infrastruktúra üzemeltető semmilyen személyes adatot nem gyűjt, információt nem dolgoz fel, továbbá személyek magánszféráját érintő elemzést nem végez a webfejlesztéssel kapcsolatos szolgáltatásai kapcsán, hanem kizárólag a megbízások konkrét céljára irányuló tevékenységet végez: weboldalak fejlesztését, webáruházak fejlesztését, illetve egyedi webfejlesztést.
• Azonban a Webergoline Kft. a webfejlesztés során nagyon sok adathoz hozzáfér, amelyek az infrastruktúrán megtalálhatóak. Ezen adatoknak két fő kategóriája van:
  • Technikai adatok, ezeken a Webergoline Kft.-nak dolgoznia kell. Például: weboldalak működését naplózó fájlok, konfigurációs fájlok.

Felhasználói adatok. Például: adatbázis, e-mail, doc, xls fájlok. Általánosságban és tartalmilag a Webergoline Kft. nem tudja és nem tud nyilatkozni arról, hogy ezek milyen adatok, hiszen az ügyfelei adatai. Ezek tartalmát öncélúan és konkrét felkérés nélkül a Webergoline Kft. nem nézi meg, nem vizsgálja, nem elemzi, maga számára öncélúan másolatot nem készít – és ezt a Webergoline Kft. szigorú belső szabályzattal biztosítja 2012. óta. Ezen adatok egyébként lehetnek üzleti és személyes adatok is – azonban a Webergoline Kft.-nak nincs képessége, kompetenciája és nem is feladata ilyen különbséget tenni, és nem is tesz.

1.2  Milyen célból kezeli – ha kezeli – a Webergoline Kft. ezen adatokat?

A Webergoline Kft. feladata webfejlesztés, aminek a lényege, hogy a megrendelő által meghatározott célra weboldalt, webáruházat készít. Az ehhez szükséges képi és tartalmi adatokat a megrendelő bocsátja a rendelkezésünkre, azonban a Webergoline Kft. magukat az adatokat tartalmilag nem értelmezi. Tehát csupán a munkája során teszi a dolgát ezekkel: a futtatókörnyezet számára elérhetővé és használhatóvá teszi ezen adatokat (pl. számlázó rendszer számára az számla-adatbázist), biztonsági mentést készít ezekről, visszaállít adatokat stb.

1.3 Mi az adatkezelés jogalapja?

Szerződéses kötelezettség.

1.4 Mi az adatkezelés időtartama?

Az ügykezelőből a szerződés lezárását követő 2 év múlva a Webergoline Kft. törli az adatokat. Az ügykezelőben nincsenek megrendelői személyes adatok. Az ügyfeleink rendszerein az elérés ad hoc, azaz csak addig érjük el az adatokat, amíg épp be vagyunk jelentkezve az adott rendszerbe, vagy épp biztonsági mentés van nálunk. Ezen adatelérések- és kezelések megszűnnek, amint a Webergoline Kft. szerződéses kötelezettsége megszűnik.

1.5 Milyen biztonsági intézkedéseket tesz a Webergoline Kft. az adatok védelme érdekében?

• A Webergoline Kft. az ügyfelekkel való kommunikáció során VPN-nel védett ügykezelő rendszert (saját szervereken) és SSL csatornával védett email- és csoportmunka támogató rendszereket (Microsoft O365 és Google Suite rendszereken) használ.
• A Webergoline Kft. szabályzatban rögzíti és bevált gyakorlata, hogy megrendelői adatairól másolatot csak akkor készít, ha:
  • 1. adatbiztonsági okokból erre szükség van (pl. biztonsági mentés készítése), ehhez azonban minden esetben hozzájárulást kér a megrendelőtől, és a folyamat azon pontján, amikortól szükségtelen a biztonsági mentés léte, akkor törli az adatokat;
  • 2. a megrendelő explicit megbízása miatt kell a Webergoline Kft.-nél másolatnak lennie (pl. adatvisszaállítási feladat, DRP teszt).
• A Webergoline Kft. ezúton is kifejezetten kéri az ügyfeleit, hogy ne küldjenek GDPR szerinti személyes adatokat a Webergoline Kft.-nek, mert a Webergoline Kft. az ügykezelő rendszerből csak extra munkával tud adatokat törölni. A jogszabály vizsgálata és a helyzetünk értékelése alapján a mi céges tevékenységünk során természetesen átadott e-mail cím és telefonszám nem olyan adatok, amelyek GDPR alá tartoznának.
• A Webergoline Kft. rendelkezik folyamatokkal és belső szabályozásokkal, amelyek a fenti jogszabályok megfeleléséhez kellenek, és folyamatosan bővíti, fejleszti is ezeket.

Egyéb megjegyzés a biztonságos adatkezelésről: a Webergoline Kft. felhívja a figyelmet arra, hogy az e-mail az esetek egy részében nem titkosított kommunikációs csatorna, így a Webergoline Kft. és az ügyfelei és más levelezőpartnerei közötti úton az e-mailben küldött adatokat nyilvánosságra hozott adatnak lehet tekinteni, – kivéve, ha titkosított (pl. jelszavas word, zip, pdf, stb.) mellékletben utazik az információ, vagy maga a levél titkosított (S/MIME, PGP, GPG stb.).

1.6 Az adatkezelés és adatfeldolgozás helye

A Webergoline Kft. munkatársai gyakran távoli munkavégzést folytatnak az EU országaiban, és azon kívül is. A Webergoline Kft. csapatának egy része határon túli magyar, ők többen Kárpátaljáról végzik a munkájukat, így ez eleve elkerülhetetlen a szerződéseink teljesítéséhez. A Webergoline Kft. minden alvállalkozójával az Európai Bizottság ajánlása szerinti mintaszerződést köti meg az adatkezeléssel kapcsolatban

(https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32010D0087)

1.7 Milyen jogokat biztosít a Webergoline Kft. a személyes adatok kezelésével kapcsolatban?

Ez a kérdés nem értelmezhető ránk, mert tervezetten nem tárolunk személyes adatot. Ezzel együtt a Webergoline Kft. minden ügyfelétől a szolgáltatási szerződésben biztosított kapcsolattartási címen várja az ezirányú jelzéseket.
A Webergoline Kft. emellett támogatást nyújt ügyfeleinek a GDPR és adatvédelmi jogszabályokban rögzített kötelezettségeik teljesítésében (ideértve az adatkezeléssel kapcsolatos folyamatok vizsgálatára irányuló auditokban való közreműködést is). Ha a fennálló szolgáltatási szerződésben nincs nevesítve a GDPR auditokon való részvétel valamely konkrét szolgáltatásban, akkor a Webergoline Kft. ezt külön díjért teszi, hiszen a szerződés ezt nem fedi le.

1.8 Mit tesz a Webergoline Kft., ha adatvédelmi incidens következik be?

A Webergoline Kft. a jogszabályoknak megfelelően az incidenst bejelenti a felügyeleti hatóságnak a tudomásszerzéstől számított 72 órán belül, és nyilvántartást vezet az adatvédelmi incidensekről. A jogszabály által meghatározott esetekben mindenképp, és más indokolt esetben pedig a megrendelőit is tájékoztatja róla.