ADATKEZELÉSI TÁJÉKOZTATÓ

Hatálybalépés: 2025. június 1.
Utolsó módosítás: 2025. május 31.
Verzió: 2.0

1. AZ ADATKEZELŐ ADATAI

Adatkezelő neve: DamidaSoft Informatikai Korlátolt Felelősségű Társaság (DamidaSoft Kft.)
Székhely: 4531 Nyírpazony, József Attila u. 25/A
Adószám: 32504792-2-15
Közösségi Adószám: HU32504792
Cégjegyzékszám: 15-09-092248
Bankszámlaszám: 11744003-24466954
Honlap: https://www.damidasoft.com
E-mail: info@damidasoft.com
Telefon: 06 20 9652 467

Adatvédelmi tisztviselő (DPO):
Név: Papp Miklós (ISO 27001 vezető auditor)
E-mail: cybersecurity@damidasoft.com
Telefon: 06 20 9652 467

2. JOGSZABÁLYI HÁTTÉR

Jelen tájékoztató az alábbi jogszabályok előírásainak megfelelően készült:

• GDPR (EU 2016/679 rendelet – Általános Adatvédelmi Rendelet)
• Infotv. (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról)
• Kiberbiztonsági tv. (2024. évi LXIX. törvény Magyarország kiberbiztonságáról)
• NIS2 irányelv (EU 2022/2555 irányelv) és annak hazai implementációja
• 418/2024. (XII. 23.) Korm. rendelet a kiberbiztonsági törvény végrehajtásáról
• 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről
• ISO 27001:2022 információbiztonsági szabvány követelményei
• Btk. (2012. évi C. törvény – információs rendszer védelmével kapcsolatos rendelkezések)

3. ADATKEZELÉSI JOGALAP ÉS CÉLOK

3.1 Weboldal használata

Jogalap: Jogos érdek (GDPR 6. cikk (1) f) pont)
Cél: Weboldal működtetése, statisztikák készítése, biztonsági incidensek megelőzése
Adatkör: IP-cím, böngésző adatok, látogatási idő, megtekintett oldalak

3.2 Kapcsolati űrlap

Jogalap: Hozzájárulás (GDPR 6. cikk (1) a) pont)
Cél: Megkeresések kezelése, üzleti kapcsolat kiépítése
Adatkör: Név, e-mail cím, telefonszám, cég neve, üzenet tartalma

3.3 HR és toborzás

Jogalap: Hozzájárulás (GDPR 6. cikk (1) a) pont) és szerződés teljesítése (GDPR 6. cikk (1) b) pont)
Cél: Jelentkezések elbírálása, munkaviszony létesítése
Adatkör:

• Önéletrajz (név, elérhetőségek, végzettség, munkatapasztalat)
• Motivációs levél
• Referenciák
• Szakmai portfólió
• Fizetési elvárások

3.4 Hozzászólások és felhasználói fiókok

Jogalap: Hozzájárulás (GDPR 6. cikk (1) a) pont)
Cél: Kommunikáció lehetővé tétele, spam védelem
Adatkör: Felhasználónév, e-mail cím, IP-cím, hozzászólás tartalma

3.5 Ügyfélkapcsolatok

Jogalap: Szerződés teljesítése (GDPR 6. cikk (1) b) pont) és jogi kötelezettség (GDPR 6. cikk (1) c) pont)
Cél: Szerződések teljesítése, számviteli kötelezettségek
Adatkör: Szerződéses adatok, számlázási adatok, projektkommunikáció

4. ADATTOVÁBBÍTÁS ÉS ADATFELDOLGOZÓK

4.1 Belső adatfeldolgozás

Az adatokat kizárólag a DamidaSoft Kft. arra feljogosított munkatársai kezelhetik.

4.2 Külső adatfeldolgozók

• Webtárhely szolgáltató: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg (AWS EU régió)
• E-mail szolgáltató: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Írország (Microsoft 365 Exchange Online)
• Analitikai szolgáltatás: Google Analytics (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Írország – anonimizált adatokkal)
• Gravatar szolgáltatás: Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA
• Biztonsági monitorozás:
  • Felhő-alapú: Amazon Web Services EMEA SARL (AWS CloudTrail, AWS Config, AWS GuardDuty)
  • Belső monitorozás: DamidaSoft Kft. saját biztonsági rendszerei és folyamatai

4.3 Harmadik országba történő adattovábbítás

AWS (webtárhely és biztonsági szolgáltatások): Az adatok EU-n belül (Frankfurt, Írország vagy Stockholm régióban) kerülnek tárolásra. AWS megfelelőségi garanciák: EU-US Data Privacy Framework, Standard Contractual Clauses (SCC). AWS biztonsági szolgáltatások (CloudTrail, GuardDuty, Config) szintén EU régiókban működnek.

Microsoft 365 Exchange Online: Az adatok az EU adatközpontokban (Írország, Hollandia) kerülnek tárolásra. Microsoft megfelelőségi garanciák: EU Data Boundary initiative, Microsoft Online Services Data Protection Addendum (DPA), Standard Contractual Clauses.

Google Analytics: Adattovábbítás történhet az EGT-n kívülre az USA-ba. Megfelelőségi garanciák: EU-US Data Privacy Framework, Google Ads Data Processing Terms.

Belső biztonsági monitorozás: A DamidaSoft Kft. saját rendszerei kizárólag magyarországi adatközpontokban és infrastruktúrában működnek.

4.4 Kötelező adattovábbítás

Jogi kötelezettség alapján adatokat továbbíthatunk:

• Bűnüldöző hatóságoknak
• Adóhatóságnak
• Bíróságnak
• Egyéb hatóságoknak jogszabályban meghatározott esetekben

5. ADATMEGŐRZÉSI IDŐTARTAMOK

5.1 Weboldal látogatási adatok

Megőrzési idő: 26 hónap
Törlés módja: Automatikus törlés vagy anonimizálás

5.2 Kapcsolati űrlap adatok

Megőrzési idő:

• Válaszadás után 3 év (üzleti kapcsolat esetén)
• Válaszadás hiányában 1 év Törlés módja: Biztonságos törlés

5.3 HR adatok

Sikeres jelentkezés: Munkavállaló adatai a munkaviszony végéig + 50 év (számviteli kötelezettség)
Sikertelen jelentkezés: 2 év (később esetleges pozíciók miatt)
Törlés módja: Biztonságos törlés vagy megsemmisítés

5.4 Ügyfél adatok

Megőrzési idő: Szerződés teljesítése után 8 év (számviteli kötelezettség)
Törlés módja: Biztonságos törlés

5.5 Hozzászólások

Megőrzési idő: Felhasználó kérésére vagy 5 év inaktivitás után
Törlés módja: Anonimizálás vagy teljes törlés

6. ÉRINTETTEK JOGAI

6.1 Tájékoztatáshoz való jog

Információ kérhető az adatkezelés tényéről, jogalapjáról, céljáról.

6.2 Hozzáférési jog

Másolat kérhető a kezelt személyes adatokról.

6.3 Helyesbítéshez való jog

Pontatlan vagy hiányos adatok javítása kérhető.

6.4 Törléshez való jog (“elfeledtetéshez való jog”)

Adatok törlése kérhető, ha:

• Már nem szükségesek az eredeti célhoz
• Visszavonja hozzájárulását
• Jogellenes adatkezelés történt

6.5 Adatkezelés korlátozásához való jog

Ideiglenesen felfüggeszthető az adatkezelés bizonyos esetekben.

6.6 Adathordozhatósági jog

Strukturált, géppel olvasható formátumban kérhetők az adatok.

6.7 Tiltakozási jog

Jogos érdek alapján történő adatkezelés ellen tiltakozhat.

6.8 Hozzájárulás visszavonásának joga

A hozzájárulás bármikor, ingyenesen visszavonható.

Jogok gyakorlása: cybersecurity@damidasoft.com e-mail címen vagy írásban

7. INFORMÁCIÓBIZTONSÁGI INTÉZKEDÉSEK

7.1 Technikai védelmi intézkedések

• Titkosítás: HTTPS/TLS 1.3 protokoll
• Hozzáférés-vezérlés: Szerepkör-alapú hozzáférések (AWS IAM, Microsoft 365 szerepkörök)
• Naplózás:
  • Felhő szintű: AWS CloudTrail, AWS Config, Microsoft 365 Audit Log
  • Alkalmazás szintű: Saját fejlesztésű naplózási rendszerek
• Biztonsági mentés: Rendszeres, titkosított biztonsági mentések (AWS S3, Microsoft 365 backup)
• Tűzfal és behatolásvédelem:
  • Felhő szintű: AWS GuardDuty, AWS WAF, Microsoft Defender
  • Belső: DamidaSoft saját biztonsági monitoring és incidenskezelés
• Frissítések: Rendszeres biztonsági frissítések és patch management

7.2 Szervezési intézkedések

• ISO 27001 információbiztonsági irányítási rendszer működtetése
• Munkatársak rendszeres információbiztonsági képzése
• Incidenskezelési eljárások
• Üzletmenet-folytonossági tervek
• Rendszeres biztonsági auditok

7.3 Kiberbiztonsági megfelelőség (2024. évi LXIX. törvény)

Új kiberbiztonsági törvény alapján:

• Kiberbiztonsági kockázatkezelési intézkedések
• Incidensbejelentési kötelezettségek teljesítése
• Elektronikus információs rendszerek védelme
• Auditálási kötelezettségek (kétévente)
• Biztonsági osztályba sorolás követelményei

7.4 NIS2 megfelelőség

Kritikus infrastruktúraként történő működés esetén:

• Kiberbiztonság kockázatkezelési intézkedések
• Incidensbejelentési kötelezettségek teljesítése
• Ellátási lánc biztonságának garantálása

8. ADATVÉDELMI INCIDENSEK KEZELÉSE

8.1 Incidenskezelési folyamat

1. Észlelés: 24 órán belül
2. Értékelés: 24 órán belül kockázatelemzés
3. Bejelentés hatóságnak: 72 órán belül (ha szükséges)
4. Érintett tájékoztatása: Indokolatlan késedelem nélkül (ha szükséges)
5. Helyreállítás és megelőzés

8.2 Kapcsolattartás incidensek esetén

E-mail: cybersecurity@damidasoft.com
Telefon: [24/7 ügyeletes telefonszám]

9. SÜTI TÁJÉKOZTATÓ

9.1 Használt süti típusok

Feltétlenül szükséges sütik

• Munkamenet sütik: Bejelentkezés fenntartása
• Biztonsági sütik: CSRF védelem
• Megőrzési idő: Munkamenet vége vagy 24 óra

Funkcionális sütik

• Nyelvi beállítások
• Felhasználói preferenciák
• Megőrzési idő: 1 év

Analitikai sütik (hozzájárulás alapján)

• Google Analytics: Látogatottsági statisztikák (anonimizált)
• Megőrzési idő: 26 hónap

Marketing sütik (hozzájárulás alapján)

• Jelenleg nem használunk marketing sütiket

9.2 Süti beállítások kezelése

A süti beállítások bármikor módosíthatók a weboldal “Süti beállítások” menüpontjában.

10. KÜLÖNLEGES ADATKATEGÓRIÁK

A DamidaSoft Kft. alapvetően nem kezeli különleges adatkategóriákat. HR folyamatok során esetlegesen felmerülő egészségügyi adatok (pl. egészségügyi alkalmasság) kezelése kizárólag:

• Jogalap: Explicit hozzájárulás + foglalkoztatási jog
• Fokozott védelem: Különleges technikai és szervezési intézkedések
• Korlátozott hozzáférés: Csak arra jogosult személyek

11. AUTOMATIZÁLT DÖNTÉSHOZATAL ÉS PROFILALKOTÁS

A DamidaSoft Kft. nem alkalmaz teljesen automatizált döntéshozatali folyamatokat, amelyek joghatással bírnának az érintettekre. HR szűrési folyamatok során alkalmazott automatikus előszűrés esetén mindig biztosított az emberi beavatkozás lehetősége.

12. KISKORÚAK ADATAINAK VÉDELME

Weboldalaink használatát 16 év alatti személyek számára nem ajánljuk szülői felügyelet nélkül. Tudomásunkra jutó 16 év alatti személyek adatait haladéktalanul töröljük, kivéve, ha szülői hozzájárulással rendelkezünk.

13. PANASZTÉTELI LEHETŐSÉGEK

13.1 Belső panaszkezelés

E-mail: cybersecurity@damidasoft.com
Válaszadási határidő: 30 nap

13.2 Hatósági panasz

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9-11.
E-mail: ugyfelszolgalat@naih.hu
Telefon: +36-1-391-1400

13.3 Bírósági jogérvényesítés

Az érintett a GDPR megsértése esetén bírósághoz fordulhat kártérítésért.

14. KAPCSOLAT ÉS KÉRELMEK

14.1 Adatvédelmi kérelmek

E-mail: cybersecurity@damidasoft.com
Postai cím: DamidaSoft Kft., Adatvédelmi tisztviselő, 4531 Nyírpazony, József Attila u 25/A
Válaszadási határidő: 30 nap (összetett esetekben +60 nap)

14.2 Kérelem formája

• Írásbeli kérelem (e-mail vagy postai út)
• Személyazonosság igazolása szükséges
• Kérelem pontos megfogalmazása

15. MÓDOSÍTÁSOK

Jelen tájékoztató módosítása esetén az érintetteket az alábbi módon tájékoztatjuk:

• Weboldali közzététel
• E-mail értesítés (ha rendelkezünk e-mail címmel)
• Jelentős módosítások esetén külön hozzájárulás kérése

Jelen tájékoztató hatálybalépése: 2025. június 1.

16. HATÁLYOS JOGSZABÁLYOK

2025. január 1-jétől hatályos főbb jogszabályok:

• Európai Unió 2016/679 rendelete (GDPR)
• 2011. évi CXII. törvény (Infotv.)
• 2024. évi LXIX. törvény (Magyarország kiberbiztonságáról – Kiberbiztonsági tv.)
• 418/2024. (XII. 23.) Korm. rendelet (Kiberbiztonsági tv. végrehajtása)
• 7/2024. (VI. 24.) MK rendelet (Biztonsági osztályba sorolás)
• EU 2022/2555 irányelv (NIS2)
• 2012. évi C. törvény (Btk.)
• ISO/IEC 27001:2022 szabvány

Hatályon kívül helyezett jogszabályok 2025. január 1-jétől:

• 2013. évi L. törvény (állami és önkormányzati szervek elektronikus információbiztonságáról)
• 2023. évi XXIII. törvény (kiberbiztonsági tanúsításról és felügyeletről)
• 41/2015. (VII. 15) BM rendelet

DamidaSoft Kft.

Utolsó frissítés: 2025. május 31.
Következő felülvizsgálat: 2025. december 31.