ADATKEZELÉSI TÁJÉKOZTATÓ

1. Az adatkezelő

Weboldal / alkalmazás: www.hellojog.hu Platform

Web server hosting: Dotroll Hungary

Az adatkezelő felelős a személyes adatok kezeléséért a jelen tájékoztatóban foglaltak szerint.

2. Az adatkezelés alapelvei

Az adatkezelő az adatkezelés során az alábbi alapelveket követi:

• jogszerűség • tisztességes és átlátható adatkezelés • célhoz kötöttség • adattakarékosság • pontosság • korlátozott tárolhatóság • integritás és bizalmas jelleg

3. A kezelt adatok köre

A szolgáltatás igénybevétele során az alábbi adatok kerülhetnek kezelésre:

Regisztrációs és kapcsolattartási adatok

• név • e-mail cím

Konzultációhoz kapcsolódó adatok

• a felhasználó által megadott jogi kérdés • konzultáció időpontja • a konzultációhoz kapcsolódó kommunikáció • a felhasználó által kifizetett és a paypal által visszaigazolt összeg text formátum szerint

Technikai adatok

Az adatkezelő az alábbi adatokat tárolja saját analitika készítéséhez: Session egyedi azonosító hash-elve, saját oldal URL-ek, látogató darabszám, dátum.

Harmadik fél (pl. google analytics vagy facebook pixel) bevonására nem kerül sor.

Fizetési adatok

Az adatkezelő nem kezel és tárol bankkártya adatokat. A fizetéshez Paypal beágyazott ablakot és 3D secure hitelesítést használ.

4. Az adatkezelés célja

Az adatkezelés céljai különösen:

• felhasználói fiók létrehozása • konzultációk megszervezése • kommunikáció a felhasználóval • szolgáltatás működtetése • jogi kötelezettségek teljesítése • szolgáltatás fejlesztése

5. Az adatkezelés jogalapja

Az adatkezelés jogalapja az alábbi lehet:

• a felhasználó hozzájárulása • szerződés teljesítése • jogi kötelezettség teljesítése

6. Az adatok tárolása

A Web server host szerverein kliens adatok nem kerülnek tárolásra. A kliens adatok a PostgresSQL AWS/Google Cloud-ban kerülnek tárolásra (a régiós beállitások: Frankfurt (eu-central-1)).

A szolgáltató megfelelő biztonsági intézkedéseket alkalmaz az adatok védelme érdekében.

7. Adatfeldolgozók

A szolgáltatás működése során az alábbi típusú adatfeldolgozók vehetnek részt:

• tárhelyszolgáltató • fizetési szolgáltató • videókommunikációs szolgáltató • e-mail szolgáltató

Az adatfeldolgozókkal az adatkezelő adatfeldolgozói szerződést köt.

8. Adatmegőrzési idő

A személyes adatokat az adatkezelő csak a szükséges ideig tárolja.

Általános esetben:

• a konzultáció lezárultáig • legfeljebb a felhasználói fiók fennállásáig • jogszabályban előírt megőrzési időig

9. A felhasználók jogai

A felhasználók jogosultak:

• hozzáférést kérni személyes adataikhoz • kérni azok helyesbítését • kérni törlésüket • kérni az adatkezelés korlátozását

A kérelmeket az adatkezelő a lehető legrövidebb időn belül, de legfeljebb 30 napon belül kezeli.

10. Adatbiztonság

Az adatkezelő az alábbi technikai és szervezési intézkedéseket alkalmazza az adatok védelmére:

• titkosított adatkapcsolat • hozzáférés-kezelés • rendszeres biztonsági mentések • biztonsági naplózás

11. Adatvédelmi incidensek

Adatvédelmi incidens esetén az adatkezelő haladéktalanul megteszi a szükséges intézkedéseket.

11.1. Az incidens észlelése

Adatvédelmi incidens minden olyan esemény, amely a személyes adatok:

• jogosulatlan hozzáféréséhez

• elvesztéséhez

• megsemmisüléséhez

• módosításához

• vagy jogosulatlan nyilvánosságra kerüléséhez

vezet.

Az incidens észlelhető például:

• belső rendszerek monitorozása során

• a platform üzemeltetője vagy munkatársai által

• jogász partnerek jelzése alapján

• felhasználói bejelentés révén

• informatikai szolgáltató értesítése útján.

11.2. Az incidens azonnali rögzítése

Az incidens észlelését követően a szolgáltató köteles azt haladéktalanul dokumentálni, különösen az alábbi adatokkal:

• az incidens időpontja

• az incidens jellege

• az érintett adatkörök

• az érintett személyek becsült száma

• az incidens feltételezett oka.

Az incidensekről az adatkezelő incidensnyilvántartást vezet.

11.3. Elsődleges kivizsgálás és kockázatértékelés

A szolgáltató megvizsgálja:

• milyen adatok érintettek (pl. név, e-mail, jogi ügy leírása)

• hány érintettet érinthet az incidens

• történt-e tényleges adat-hozzáférés

• fennáll-e az érintettek jogaira nézve kockázat.

Ennek alapján eldönthető, hogy szükséges-e hatósági bejelentés.

11.4. Az incidens elhárítása

A szolgáltató haladéktalanul megteszi a szükséges intézkedéseket az incidens megszüntetésére, például:

• jogosulatlan hozzáférések megszüntetése

• rendszerhozzáférések korlátozása

• érintett fiókok zárolása

• technikai sérülékenység megszüntetése

• adatmentések visszaállítása.

11.5. Hatósági bejelentés (NAIH)

Ha az incidens kockázattal jár az érintettek jogaira nézve, a szolgáltató köteles az incidenst 72 órán belül bejelenteni a

Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH).

A bejelentésnek tartalmaznia kell többek között:

• az incidens jellegét

• az érintett adatok körét

• az érintettek becsült számát

• az alkalmazott intézkedéseket.

11.6. Az érintettek tájékoztatása

Ha az incidens magas kockázattal jár az érintettek számára (pl. érzékeny jogi információk kiszivárgása), a szolgáltató köteles az érintett felhasználókat is tájékoztatni.

A tájékoztatásnak tartalmaznia kell:

• az incidens rövid leírását

• az érintett adatköröket

• a lehetséges következményeket

• az ajánlott védelmi lépéseket

• a szolgáltató elérhetőségét.

11.7. Utólagos elemzés és megelőzés

Az incidens lezárása után a szolgáltató:

• elemzi az incidens okát

• értékeli a megtett intézkedéseket

• szükség esetén módosítja az adatbiztonsági eljárásokat

• technikai vagy szervezeti fejlesztéseket vezet be.

Cél: a hasonló incidensek jövőbeni megelőzése.

12. Hatósági jogorvoslat

A felhasználó panasszal fordulhat a következő hatósághoz:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

Cím: 1055 Budapest, Falk Miksa utca 9–11.

Weboldal: https://naih.hu

13. A tájékoztató módosítása

Az adatkezelő fenntartja a jogot a jelen adatkezelési tájékoztató módosítására.

A módosítások a közzétételt követően lépnek hatályba.

16. Online konzultációk rögzítése

A konzultációk alapértelmezés szerint nem kerülnek rögzítésre.

Amennyiben a szolgáltató minőségbiztosítási, oktatási vagy jogi védelmi célból rögzíteni kíván egy konzultációt, arról a felhasználót a konzultáció megkezdése előtt egyértelműen tájékoztatni kell.

Rögzítés csak az alábbi feltételek teljesülése esetén történhet:

• a felhasználó előzetes és kifejezett hozzájárulása • a rögzítés céljának egyértelmű meghatározása • korlátozott hozzáférés biztosítása

A rögzített anyagok:

• biztonságos módon kerülnek tárolásra • kizárólag a meghatározott célra használhatók • a szükséges idő elteltével törlésre kerülnek.

A felhasználó bármikor visszavonhatja hozzájárulását a rögzítéshez.

17. Mesterséges intelligencia használata a platformon

A platform nem használ mesterséges intelligenciát.