A DOCCA OutSource IT Kft.-től azon ügyfelei részére, akiknek a DOCCA OutSource IT Kft. informatikai szolgáltatásokat nyújt

Verzió: 1.01 Dátum: 2018-05-17

A kapcsolatfelvételi űrlapokban megadott személyes és nem személyes adatokat a https://docca-europe.com/gdpr-es-titoktartasi-nyilatkozatok/ alatt található nyilatkozat szerint  kezeljük, mintha ügyfelünk adata lenne. Ha nem születik megállapodás az érdeklődő és a DOCCA között, akkor az utolsó levélváltás után 2 évvel vagy az érdeklődő emailben jelzett törlési kérésre 1 héten belül töröljük az éles rendszereinkből, egyéb tekintetben az
említett GDPR nyilatkozat szerint járunk el. Az adatkezelés jogalapja: üzleti kapcsolatfelvétel során kapott adatok.

Körülmények: miért születik e nyilatkozat?

A DOCCA OutSource IT Kft. (székhely: 1124 Budapest, Apor Vilmos tér 25-26.) és az ügyfelei között informatikai szerződések köttettek. Ezen szerződések teljesítése során a DOCCA OutSource IT Kft. és alvállalkozói (a továbbiakban együttesen értve: DOCCA OutSource IT Kft.) az ügyfelei informatikai infrastruktúrájához és az ezen tárolt adatokhoz hozzáférnek, hiszen ez a szerződés teljesítéséhez elengedhetetlen. A DOCCA OutSource IT Kft. ezen helyzet miatt az EU-ban és Magyarországon hatályos adatvédelmi jogszabályokban definiált szerepköröket testesít meg: “adatkezelő” és “adatfeldolgozó” is lehet. Ezen szerepköreiből adódóan adja ki a DOCCA OutSource IT Kft. ezt a nyilatkozatot.

A DOCCA OutSource IT Kft. ezen nyilatkozattal rögzít pár tényt ezzel kapcsolatban, emellett e nyilatkozat operatívan az együttműködést érdemben nem érinti.

A DOCCA OutSource IT Kft. ezen nyilatkozat aktív tudomásulvételét kéri az ügyfeleitől: a DOCCA OutSource IT Kft. jogszabályértelmezése szerint a megrendelőinek cégszerű aláírással kell elfogadnia ezt a dokumentumot. Erre a dokumentum végén található “megrendelő elfogadó nyilatkozata” kitöltésével, aláírásával és visszaküldésével tud eleget tenni. Kérjük, tegyék meg ezt! Köszönjük!

A DOCCA OutSource IT Kft. nyilatkozata:

Török Ákos ügyvezető a DOCCA OutSource IT Kft. nevében és aláírásra jogosult személyeként az alábbi nyilatkozatot teszem:

Milyen személyes adatokat kezel vagy dolgoz fel a DOCCA OutSource IT Kft.?

Két fő helyzetről beszélünk:

Ügykezelő rendszer
A DOCCA OutSource IT Kft.-vel való levelezés során a DOCCA OutSource IT Kft. ügykezelő rendszerében megjelenő adatok. Ezen esetben a DOCCA OutSource IT Kft. adatkezelő. Ezen helyzetről kijelentjük, hogy a DOCCA OutSource IT Kft. nem kér, és nem gyűjt a GDPR és az Infotörvény szerinti személyes adatot e rendszerben.

A DOCCA OutSource IT Kft. megrendelőinek informatikai rendszereiben tárolt adatok elérése

A DOCCA OutSource IT Kft., mint IT infrastruktúra üzemeltető semmilyen személyes adatot nem gyűjt, információt nem dolgoz fel, továbbá személyek magánszféráját érintő elemzést nem végez a webfejlesztéssel kapcsolatos szolgáltatásai kapcsán, hanem kizárólag a megbízások konkrét céljára irányuló tevékenységet végez: weboldalak fejlesztését, webáruházak fejlesztését, illetve egyedi webfejlesztést.
Azonban a DOCCA OutSource IT Kft. a webfejlesztés során nagyon sok adathoz hozzáfér, amelyek az infrastruktúrán megtalálhatóak. Ezen adatoknak két fő kategóriája van:
Technikai adatok, ezeken a DOCCA OutSource IT Kft..-nak dolgoznia kell. Például: weboldalak működését naplózó fájlok, konfigurációs fájlok.
Felhasználói adatok. Például: adatbázis, e-mail, doc, xls fájlok. Általánosságban és tartalmilag a DOCCA OutSource IT Kft. nem tudja és nem tud nyilatkozni arról, hogy ezek milyen adatok, hiszen az ügyfelei adatai. Ezek tartalmát öncélúan és konkrét felkérés nélkül a DOCCA OutSource IT Kft. nem nézi meg, nem vizsgálja, nem elemzi, maga számára öncélúan másolatot nem készít – és ezt a DOCCA OutSource IT Kft. szigorú belső szabályzattal biztosítja 2012. óta. Ezen adatok egyébként lehetnek üzleti és személyes adatok is – azonban a DOCCA OutSource IT Kft.-nak nincs képessége, kompetenciája és nem is feladata ilyen különbséget tenni, és nem is tesz.

Milyen célból kezeli – ha kezeli – a DOCCA OutSource IT Kft. ezen adatokat?

A DOCCA OutSource IT Kft. feladata webfejlesztés, aminek a lényege, hogy a megrendelő által meghatározott célra weboldalt, webáruházat készít. Az ehhez szükséges képi és tartalmi adatokat a megrendelő bocsátja a rendelkezésünkre, azonban a DOCCA OutSource IT Kft. magukat az adatokat tartalmilag nem értelmezi. Tehát csupán a munkája során teszi a dolgát ezekkel: a futtatókörnyezet számára elérhetővé és használhatóvá teszi ezen adatokat (pl. számlázó rendszer számára az számla-adatbázist), biztonsági mentést készít ezekről, visszaállít adatokat stb.

Mi az adatkezelés jogalapja?

Szerződéses kötelezettség, weboldalról érkező ajánlatkérések, megkeresésekre történő válaszadás.

Mi az adatkezelés időtartama?

Az ügykezelőben nincsenek megrendelői személyes adatok. Az ügyfeleink rendszerein az elérés ad hoc, azaz csak addig érjük el az adatokat, amíg épp be vagyunk jelentkezve az adott rendszerbe, vagy épp biztonsági mentés van nálunk. Ezen adatelérések- és kezelések megszűnnek, amint a DOCCA OutSource IT Kft. szerződéses kötelezettsége megszűnik.

Milyen biztonsági intézkedéseket tesz a DOCCA OutSource IT Kft. az adatok védelme érdekében?

  • A DOCCA OutSource IT Kft. az ügyfelekkel való kommunikáció során VPN-nel védett ügykezelő rendszert (saját szervereken) és SSL csatornával védett email- és csoportmunka támogató rendszereket (Microsoft O365 és Google Suite rendszereken) használ.
  • A DOCCA OutSource IT Kft. szabályzatban rögzíti és bevált gyakorlata, hogy megrendelői adatairól másolatot csak akkor készít, ha:
    • 1. adatbiztonsági okokból erre szükség van (pl. biztonsági mentés készítése), ehhez azonban minden esetben hozzájárulást kér a megrendelőtől, és a folyamat azon pontján, amikortól szükségtelen a biztonsági mentés léte, akkor törli az adatokat;
    • 2. a megrendelő explicit megbízása miatt kell a DOCCA OutSource IT Kft..-nél másolatnak lennie (pl. adatvisszaállítási feladat, DRP teszt).
  • A DOCCA OutSource IT Kft. ezúton is kifejezetten kéri az ügyfeleit, hogy ne küldjenek GDPR szerinti személyes adatokat a DOCCA OutSource IT Kft.-nek, mert a DOCCA OutSource IT Kft. az ügykezelő rendszerből csak extra munkával tud adatokat törölni. A jogszabály vizsgálata és a helyzetünk értékelése alapján a mi céges tevékenységünk során természetesen átadott e-mail cím és telefonszám nem olyan adatok, amelyek GDPR alá tartoznának.
  • A DOCCA OutSource IT Kft. rendelkezik folyamatokkal és belső szabályozásokkal, amelyek a fenti jogszabályok megfeleléséhez kellenek, és folyamatosan bővíti, fejleszti is ezeket.
Egyéb megjegyzés a biztonságos adatkezelésről: a DOCCA OutSource IT Kft. felhívja a figyelmet arra, hogy az e-mail az esetek egy részében nem titkosított kommunikációs csatorna, így a DOCCA OutSource IT Kft. és az ügyfelei és más levelezőpartnerei közötti úton az e-mailben küldött adatokat nyilvánosságra hozott adatnak lehet tekinteni, – kivéve, ha titkosított (pl. jelszavas word, zip, pdf, stb.) mellékletben utazik az információ, vagy maga a levél titkosított (S/MIME, PGP, GPG stb.).

Az adatkezelés és adatfeldolgozás helye

A DOCCA OutSource IT Kft. munkatársai gyakran távoli munkavégzést folytatnak az EU országaiban, és azon kívül is. A DOCCA OutSource IT Kft. csapatának egy része határon túli magyar, ők többen Kárpátaljáról végzik a munkájukat, így ez eleve elkerülhetetlen a szerződéseink teljesítéséhez. A DOCCA OutSource IT Kft. minden alvállalkozójával az Európai Bizottság ajánlása szerinti mintaszerződést köti meg az adatkezeléssel kapcsolatban

(https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32010D0087)

Milyen jogokat biztosít a DOCCA OutSource IT Kft. a személyes adatok kezelésével kapcsolatban?

Ez a kérdés nem értelmezhető ránk, mert tervezetten nem tárolunk személyes adatot. Ezzel együtt a DOCCA OutSource IT Kft. minden ügyfelétől a szolgáltatási szerződésben biztosított kapcsolattartási címen várja az ezirányú jelzéseket.

Mit tesz a DOCCA OutSource IT Kft., ha adatvédelmi incidens következik be?

A DOCCA OutSource IT Kft. a jogszabályoknak megfelelően az incidenst bejelenti a felügyeleti hatóságnak a tudomásszerzéstől számított 72 órán belül, és nyilvántartást vezet az adatvédelmi incidensekről. A jogszabály által meghatározott esetekben mindenképp, és más indokolt esetben pedig a megrendelőit is tájékoztatja róla.

A jogi környezet

  • A személyes adatok kezelésével kapcsolatosan az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
  • A 2016/679/EU rendelet.