Adatkezelési tájékoztató

1. Bevezetés

Jelen adatkezelési tájékoztató ("Tájékoztató") célja, hogy átláthatóan és közérthetően bemutassa, hogy a Bright Path Makers Kft. (a továbbiakban: "Bright Path Makers" vagy "Adatkezelő") hogyan kezeli a személyes adatokat az alábbi esetekben:

• weboldal(aink) látogatása során,
• ügyfeleink, leendő ügyfeleink és partnercégeink kapcsolattartóival való kommunikáció során (B2B),
• a Bright Path Makers által nyújtott SaaS szolgáltatások igénybevétele során.

A személyes adatok kezelése során a vonatkozó jogszabályoknak megfelelően járunk el, különösen a GDPR-nak (EU 2016/679 rendelet) és az alkalmazandó magyar adatvédelmi szabályoknak megfelelően.

A Tájékoztató az érintett lakóhelyétől/állampolgárságától függetlenül alkalmazandó (beleértve az EU-n kívüli érintetteket is).

2. Adatkezelő adatai

Adatkezelő:

• Név: Bright Path Makers Korlátolt Felelősségű Társaság
• Székhely: 1221 Budapest, Ady Endre út 89., Magyarország
• Cégjegyzékszám: 01-09-450726
• E-mail: info@brightpathmakers.com
• Weboldal: https://brightpathmakers.com

3. A Tájékoztatóban lefedett fő adatkezelési tevékenységek

A Tájékoztató három fő adatkezelési területet fed le:

• Weboldal-látogatók – a weboldal böngészése során keletkező technikai adatok és megkeresések kezelése.
• Üzleti kapcsolattartók (B2B) – ügyfeleink, leendő ügyfeleink és partnereink kapcsolattartóinak adatai.
• SaaS szolgáltatásokon belül kezelt adatok – ahol a legtöbb esetben az Ügyfél/partner szervezet az adatkezelő, a Bright Path Makers pedig adatfeldolgozóként jár el. Ezt külön adatfeldolgozói szerződés (DPA) szabályozza.

4. Weboldal-látogatók adatainak kezelése

4.1 Kezelt adatok köre

A weboldal(aink) látogatása során az alábbi személyes adatokat kezelhetjük:

• IP-cím,
• a látogatás dátuma és időpontja,
• meglátogatott URL-ek és hivatkozó oldal (referrer),
• böngésző típusa és verziója, operációs rendszer,
• amennyiben e-mailben vagy kapcsolatfelvételi űrlapon keresztül felveszi velünk a kapcsolatot: név, e-mail cím, üzenet tartalma, valamint az Ön által megadott egyéb információk.

A Tájékoztató keltezésének időpontjában weboldalainkon nem alkalmazunk sütiket (cookie-kat) vagy hasonló követő technológiákat.

4.2 Adatkezelés célja és jogalapja

Célok:

• a weboldal működtetése, biztonságos üzemeltetése és fejlesztése,
• hibakeresés, visszaélések megelőzése és informatikai biztonság biztosítása,
• e-mailen vagy űrlapon érkező megkeresések megválaszolása.

Jogalapok:

• GDPR 6. cikk (1) bekezdés f) pont – az Adatkezelő jogos érdeke (pl. IT-biztonság, stabil működés, hibakeresés),
• megkeresések és szerződéskötést megelőző kommunikáció esetén: GDPR 6. cikk (1) bekezdés b) pont (szerződéskötést megelőző lépések – ahol releváns) és/vagy GDPR 6. cikk (1) bekezdés f) pont (üzleti kommunikáció fenntartásához fűződő jogos érdek).

4.3 Tárolási idő

• Naplóadatok és technikai nyilvántartások: jellemzően 30 napig, rendszerbiztonsági és hibakeresési célból, kivéve ha egy konkrét incidens miatt hosszabb megőrzés indokolt.
• Megkeresések (e-mail/űrlap): a kommunikáció lezárásáig, és ahol releváns, a jogi igények elévüléséig (jellemzően legfeljebb 5 év).

5. Üzleti kapcsolattartók adatainak kezelése (B2B)

5.1 Kezelt adatok köre

Ügyfél-, leendő ügyfél- és partnerkapcsolatok során az alábbi adatokat kezelhetjük:

• a kapcsolattartó neve,
• beosztás, munkakör,
• cégnév,
• üzleti e-mail cím és telefonszám,
• tárgyalások, hívások, levelezések, ajánlatok és egyeztetések adatai (kapcsolattörténet).

5.2 Az adatok forrása

Az üzleti kapcsolattartói adatokat jellemzően Öntől, az Ön munkáltatójától/szervezetétől, illetve nyilvánosan elérhető üzleti forrásokból (pl. céges weboldal, LinkedIn) szerezzük meg.

5.3 Adatkezelés célja és jogalapja

Célok:

• szerződéskötés és szerződések teljesítése ügyfelekkel és partnerekkel,
• ajánlatadás, tárgyalások, folyamatos üzleti kommunikáció kezelése,
• számlázás és számviteli/adminisztratív kötelezettségek teljesítése,
• jogi igények előterjesztése, érvényesítése és védelme.

Jogalapok:

• GDPR 6. cikk (1) bekezdés f) pont – jogos érdek (pl. üzleti kapcsolatok menedzselése és fenntartása, adminisztráció, igényérvényesítés/igényvédelem),
• GDPR 6. cikk (1) bekezdés b) pont – amennyiben az érintett szerződő fél (pl. egyéni vállalkozó), vagy az adatkezelés az érintett kérésére történő szerződéskötést megelőző lépésekhez szükséges,
• GDPR 6. cikk (1) bekezdés c) pont – jogi kötelezettség teljesítése (pl. számviteli és adójogi kötelezettségek).

5.4 Tárolási idő

• Szerződésekben, megrendelésekben, számlákban és kapcsolódó dokumentumokban szereplő adatok: a vonatkozó jogszabályi megőrzési idők szerint (pl. számviteli bizonylatok esetén Magyarországon jellemzően 8 év).
• Egyéb üzleti kommunikáció és kapcsolattartói adatok: az üzleti kapcsolat fennállása alatt, majd a jogi igények elévüléséig (jellemzően az üzleti kapcsolat megszűnésétől számított legfeljebb 5 évig), kivéve, ha jogszabály hosszabb megőrzést ír elő.

6. SaaS szolgáltatásokon belül kezelt adatok

SaaS megoldásainkban a személyes adatok kezelése jellemzően az alábbiak szerint történik:

• Az Ügyfél (az Ön szervezete) adatkezelőként jár el az általa a rendszerbe rögzített személyes adatok tekintetében.
• A Bright Path Makers Kft. adatfeldolgozóként jár el, és a technikai platformot, valamint kapcsolódó szolgáltatásokat biztosítja.
• A fiókadminisztráció, számlázás és a saját szolgáltatásunk biztonságával kapcsolatos műveletek tekintetében a Bright Path Makers adatkezelőként is eljárhat.

A felek közötti adatfeldolgozói viszonyt külön adatfeldolgozói szerződés (DPA) szabályozza.

6.1 Tipikus adat-kategóriák

Az Ügyfél beállításaitól és használati esettől függően a rendszer tipikusan az alábbi adatokat kezelheti:

• felhasználói fiókok adatai (név, üzleti e-mail, szerepkör/jogosultságok, bejelentkezési események),
• eszközökhöz, szolgáltatásokhoz vagy incidensekhez kapcsolódó kapcsolattartók adatai,
• incidens-nyilvántartásokban, auditnaplókban, kockázati nyilvántartásokban vagy egyéb dokumentációban megjelenő személyes adatok,
• az Ügyfél felhasználói által rögzített megjegyzések, leírások.

A pontos adatkör attól függ, hogy az Ügyfél mit rögzít a rendszerben.

6.2 Adatkezelés célja és jogalapja

Célok:

• a SaaS szolgáltatások nyújtása és üzemeltetése,
• az Ügyfelek támogatása NIS2 / AI governance / compliance, eszköz- és incidenskezelés, audit és riportálás területén,
• a szolgáltatás biztonságának, stabilitásának és teljesítményének fenntartása (mentések, monitorozás, naplózás).

Jogalapok:

• A SaaS-ben kezelt személyes adatok jogalapját az Ügyfél mint adatkezelő határozza meg (pl. munkajogi vagy szerződéses kötelezettségek teljesítése, jogi kötelezettség, jogos érdek stb.).
• Adatfeldolgozóként a Bright Path Makers a GDPR 28. cikkének megfelelően, az Ügyfél dokumentált utasításai alapján kezeli az adatokat.

6.3 Adatfeldolgozóként vállalt fő kötelezettségeink (összefoglaló)

Adatfeldolgozóként többek között vállaljuk, hogy:

• a személyes adatokat kizárólag az Ügyfél dokumentált utasításai alapján kezeljük;
• megfelelő technikai és szervezési intézkedéseket alkalmazunk (pl. hozzáférés-kezelés, szükség esetén titkosítás, mentések, naplózás, biztonságos fejlesztés és üzemeltetés);
• biztosítjuk, hogy az adatok kezelésére jogosult személyek titoktartási kötelezettség alatt állnak;
• lehetőség szerint támogatjuk az Ügyfelet az érintetti kérelmek teljesítésében;
• személyes adatokat érintő incidens esetén indokolatlan késedelem nélkül értesítjük az Ügyfelet;
• szükség esetén együttműködünk a felügyeleti hatóságokkal.

6.4 Aladatfeldolgozók és harmadik országba irányuló adattovábbítás

A SaaS üzemeltetéséhez aladatfeldolgozókat vehetünk igénybe (pl. tárhelyszolgáltató, e-mail szolgáltató, naplózási/monitorozási szolgáltató).

Az aktuális aladatfeldolgozókról tájékoztatás kérésre elérhető az info@brightpathmakers.com címen (SaaS ügyfeleink részére pedig a vonatkozó DPA-ban).

Amennyiben személyes adatok EU/EGT-n kívülre kerülnek továbbításra, az adattovábbítás a GDPR V. fejezetének megfelelően történik, például:

• az Európai Bizottság megfelelőségi határozata alapján, vagy
• megfelelő garanciák (pl. standard szerződési feltételek – SCC) alkalmazásával.

7. Személyes adatok címzettjei

A körülményektől függően a személyes adatokhoz az alábbi címzettek férhetnek hozzá:

• hosting és infrastruktúra szolgáltatók,
• e-mail és kommunikációs szolgáltatók,
• külső IT üzemeltetési, karbantartási vagy biztonsági partnerek (ha igénybe vesszük őket),
• könyvelő és jogi tanácsadók,
• hatóságok és bíróságok, amennyiben erre jogszabály kötelez minket, vagy jogaink érvényesítéséhez szükséges.

Minden esetben törekszünk arra, hogy a címzett kizárólag a cél eléréséhez szükséges adatokhoz férjen hozzá, és megfelelő garanciák álljanak rendelkezésre.

8. Adatbiztonsági intézkedések

Az adatbiztonság érdekében megfelelő technikai és szervezési intézkedéseket alkalmazunk, amelyek többek között az alábbiakat foglalhatják magukban:

• szerepkör-alapú hozzáférés-kezelés (RBAC) és a legkisebb jogosultság elve,
• biztonságos hitelesítés és jelszópolitika,
• titkosított kommunikáció (pl. TLS),
• biztonságos infrastruktúra-konfiguráció és hardening,
• rendszeres biztonsági mentések korlátozott hozzáféréssel,
• kulcsfontosságú rendszertevékenységek naplózása és monitorozása,
• belső szabályzatok és munkatársak oktatása információbiztonság és titoktartás tárgyában.

A konkrét intézkedések a rendszer jellegétől és a kockázati szinttől függenek, és rendszeres felülvizsgálat alatt állnak.

9. Automatizált döntéshozatal

Nem alkalmazunk automatizált döntéshozatalt (ideértve a profilalkotást is), amely az érintettre nézve joghatással járna, vagy őt hasonlóan jelentős mértékben érintené.

10. Érintettek jogai

A GDPR alapján az érintettek többek között az alábbi jogokat gyakorolhatják:

• hozzáférés joga,
• helyesbítés joga,
• törlés joga ("elfeledtetés joga") – jogszabály és jogos érdek korlátain belül,
• az adatkezelés korlátozásához való jog,
• adathordozhatósághoz való jog (adott esetben),
• tiltakozás joga (jogos érdek alapú adatkezeléssel szemben),
• hozzájárulás visszavonásának joga (ha a jogalap hozzájárulás).

Az érintetti kérelmek benyújtása:

• E-mail: info@brightpathmakers.com

Fontos a SaaS-ben kezelt adatok esetén: amikor adatfeldolgozóként járunk el, az érintetti kérelmeket főszabályként az Ügyfélnek (az adatkezelőnek) kell benyújtani. Az Ügyfelet a DPA keretei között támogatjuk a kérelmek teljesítésében.

11. Panaszjog, jogorvoslat

Amennyiben az érintett úgy véli, hogy a személyes adatainak kezelése sérti a jogszabályokat, jogosult:

• panaszt tenni a felügyeleti hatóságnál (különösen a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti EU tagállamban).

Magyarországi tevékenységünkkel összefüggésben az illetékes felügyeleti hatóság különösen:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

• Cím: 1055 Budapest, Falk Miksa utca 9–11., Magyarország
• Web: https://www.naih.hu

Az érintett jogosult továbbá bírósághoz fordulni a lakóhelye vagy tartózkodási helye szerinti törvényszéknél.

12. A Tájékoztató módosítása

Fenntartjuk a jogot, hogy a jelen Tájékoztatót időről időre módosítsuk, különösen, ha:

• változik a jogszabályi környezet,
• változnak a szolgáltatásaink vagy belső folyamataink,
• új külső szolgáltatót vagy aladatfeldolgozót veszünk igénybe.

A frissített verziót közzétesszük a weboldalunkon, és feltüntetjük a legutóbbi módosítás dátumát.