Servano – Adatkezelési Tájékoztató
A jelen Adatkezelési Tájékoztató a servano.hu alatt elérhető Servano szolgáltatás (a továbbiakban: Szolgáltatás) keretében végzett személyesadat-kezelésekről nyújt tájékoztatást, az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) alapján.
1. Az adatkezelő
| Adat | Érték |
|---|---|
| Név | Godzsák Botond egyéni vállalkozó (a továbbiakban: Szolgáltató) |
| Székhely | 1171 Budapest, SZABADSÁG SUGÁRÚT 64. |
| Nyilvántartási szám | 54568475 |
| Adószám | 55830072-1-42 |
| E-mail (adatvédelmi ügyekben is) | info@servano.hu |
| Weboldal | https://servano.hu |
Adatvédelmi tisztviselő (DPO): a Szolgáltató – tevékenysége jellege és mérete alapján – a GDPR 37. cikke szerint nem köteles adatvédelmi tisztviselő kijelölésére, és ilyet nem jelölt ki. Adatvédelmi kérdésekben a fenti elérhetőségen lehet kapcsolatot felvenni.
2. A Szolgáltató kettős szerepe: adatkezelő és adatfeldolgozó
A Servano működése során a Szolgáltató kétféle szerepben kezel személyes adatokat. Fontos, hogy ezeket megkülönböztesd:
a) Adatkezelőként jár el a Szolgáltató azon adatok tekintetében, amelyeket a saját ügyfeleitől (a Szolgáltatásra regisztráló vállalkozásoktól és azok felhasználóitól), valamint a weboldal látogatóitól gyűjt – pl. fiók-, számlázási és kapcsolattartási adatok. Ezekre a 4. pont vonatkozik.
b) Adatfeldolgozóként jár el a Szolgáltató azon adatok tekintetében, amelyeket a regisztrált vállalkozás (a Felhasználó) tölt fel a saját ügyfeleiről és egyéb harmadik személyekről (pl. ügyfélnevek, címek, telefonszámok, aláírások, fényképek, munkalapok). Ezen adatok adatkezelője maga a Felhasználó; a Szolgáltató ezeket a Felhasználó megbízásából, utasítása szerint kezeli. Erre az 5. pont vonatkozik.
3. Az adatkezelés alapelvei és jogszabályi háttér
A Szolgáltató a személyes adatokat jogszerűen, tisztességesen, átláthatóan, célhoz kötötten, adattakarékosan, pontosan, korlátozott ideig és biztonságosan kezeli. Irányadó jogszabályok különösen:
- a GDPR (EU 2016/679);
- az Infotv. (2011. évi CXII. törvény);
- az elektronikus kereskedelmi szolgáltatásokról szóló 2001. évi CVIII. törvény;
- a számvitelről szóló 2000. évi C. törvény;
- az általános forgalmi adóról szóló 2007. évi CXXVII. törvény.
4. A Szolgáltató mint ADATKEZELŐ által végzett adatkezelések
4.1. Regisztráció és a felhasználói fiók kezelése
- Cél: a Felhasználó azonosítása, a fiók létrehozása és működtetése, a Szolgáltatás nyújtása, a felhasználói szerepkörök kezelése.
- Kezelt adatok: a felhasználó neve, e-mail-címe, jelszava (titkosított/hashelt formában a hitelesítési rendszerben), szerepköre, aktivitási állapota; a cég neve, adószáma, címe, e-mail-címe, telefonszáma, logója; a fiók beállításai és állapota.
- Jogalap: a szerződés teljesítése (GDPR 6. cikk (1) b)).
- Megőrzés: a fiók fennállásáig, majd a szerződés megszűnését követő türelmi idő (30 nap) elteltével történő törlésig; a jogszabályi megőrzés alá eső adatok kivételével.
4.2. Előfizetés és számlázás
- Cél: az előfizetési díjak kezelése, fizetés feldolgozása, számlázás, számviteli kötelezettségek teljesítése.
- Kezelt adatok: előfizetési csomag és állapot, számlázási név, cím, adószám, a fizetési szolgáltatónál képződő ügyfél- és előfizetés-azonosító (Stripe customer/subscription azonosító), a kiállított számlák adatai. Bankkártya- és fizetési adatokat a Szolgáltató nem kezel és nem tárol; ezeket a Stripe kezeli.
- Jogalap: a szerződés teljesítése (GDPR 6. cikk (1) b)); a számviteli bizonylatok tekintetében jogi kötelezettség teljesítése (GDPR 6. cikk (1) c), összhangban a 2000. évi C. törvény 169. §-ával).
- Megőrzés: a számviteli bizonylatok (pl. számlák) tekintetében a kiállítástól számított 8 év.
4.3. Ügyfélszolgálat, támogatás, hibajelentés és visszajelzés
- Cél: a megkeresések, hibajelentések és visszajelzések kezelése, a támogatás nyújtása, a Szolgáltatás minőségének javítása.
- Kezelt adatok: a bejelentő neve, e-mail-címe, az üzenet tartalma, a bejelentés kategóriája és állapota, csatolt képernyőképek, a kommunikáció időpontjai.
- Jogalap: a szerződés teljesítése (GDPR 6. cikk (1) b)), illetve a Szolgáltató jogos érdeke a megkeresések kezeléséhez és szolgáltatása fejlesztéséhez (GDPR 6. cikk (1) f)).
- Megőrzés: a megkereséstől számított, az ügy jellegéhez igazodó ideig, de legfeljebb 2 évig.
4.4. Naplózás és biztonság
- Cél: a Szolgáltatás biztonságának fenntartása, a tevékenységek visszakövethetősége, visszaélések megelőzése és kivizsgálása, hibakeresés.
- Kezelt adatok: a felhasználói műveletekhez kapcsolódó naplóbejegyzések (felhasználó-azonosító, e-mail-cím, érintett művelet és bejegyzés, időbélyeg), valamint a rendszer üzemeltetése során képződő technikai naplók.
- Jogalap: a Szolgáltató (és a Felhasználók) jogos érdeke a biztonságos és megbízható szolgáltatáshoz (GDPR 6. cikk (1) f)).
- Megőrzés: a biztonsági célhoz szükséges ideig.
4.5. Szolgáltatással kapcsolatos rendszerüzenetek
- Cél: a Szolgáltatás működéséhez kapcsolódó üzenetek küldése (pl. üdvözlő üzenet, a próbaidőszakra vonatkozó emlékeztető, fontos szolgáltatási és biztonsági értesítések).
- Kezelt adatok: a felhasználó neve, e-mail-címe, a fiók állapotára vonatkozó adatok.
- Jogalap: a szerződés teljesítése (GDPR 6. cikk (1) b)), illetve a Szolgáltató jogos érdeke a felhasználók tájékoztatásához (GDPR 6. cikk (1) f)).
- Megjegyzés: a tisztán reklámcélú hírlevélküldés – amennyiben ilyet a Szolgáltató bevezet – kizárólag előzetes, önkéntes hozzájárulás (GDPR 6. cikk (1) a)) alapján történik, amely bármikor visszavonható.
4.6. Sütik (cookie-k) a weboldalon
A servano.hu és a Szolgáltatás kizárólag a működéshez feltétlenül szükséges sütiket használ (pl. a bejelentkezés és a munkamenet fenntartása, biztonsági funkciók). Ezek a Szolgáltatás nyújtásához nélkülözhetetlenek, ezért előzetes hozzájárulás nélkül alkalmazhatók; jogalapjuk a Szolgáltató jogos érdeke, illetve a szolgáltatás nyújtása (GDPR 6. cikk (1) b) és f)).
A Szolgáltatás jelenleg nem alkalmaz statisztikai vagy marketingcélú, hozzájáruláshoz kötött követő sütiket. Amennyiben a jövőben ilyet vezet be, azt előzetes hozzájárulás-kérő felülettel (süti-sávval) teszi, és a jelen tájékoztatót frissíti.
5. A Szolgáltató mint ADATFELDOLGOZÓ – a Felhasználó által feltöltött ügyféladatok
5.1. Mi tartozik ide?
Amikor a regisztrált vállalkozás (a Felhasználó) a Szolgáltatásba a saját ügyfeleire és egyéb harmadik személyekre vonatkozó adatokat rögzít, ezen adatok tekintetében a Felhasználó az adatkezelő, a Szolgáltató pedig adatfeldolgozó.
Ilyen adatok különösen:
- ügyfelek és kapcsolattartók adatai (név, e-mail, telefonszám, cím, adószám, megjegyzések, címkék);
- berendezések (pl. klímák) adatai és telepítési helyei;
- munkalapok tartalma, ideértve a technikus és az ügyfél aláírás-képét, valamint a feltöltött fényképeket;
- karbantartási előzmények, emlékeztetők, naptáresemények;
- árajánlatok, díjbekérők, számlák és termékadatok.
5.2. Szerepek és felelősség
A Szolgáltató ezeket az adatokat kizárólag a Szolgáltatás nyújtása céljából, a Felhasználó utasításai szerint kezeli. A jogalap megléte, az érintettek (a Felhasználó ügyfelei) előzetes tájékoztatása és jogaik biztosítása a Felhasználó (mint adatkezelő) felelőssége. Az adatfeldolgozás GDPR 28. cikke szerinti részletes feltételeit a Felhasználási Feltételek (ÁSZF) 1. számú Melléklete (Adatfeldolgozási Megállapodás) tartalmazza.
5.3. Az érintettek (a Felhasználó ügyfelei) számára
Ha Ön egy, a Servanót használó vállalkozás ügyfeleként kapott pl. emlékeztető e-mailt vagy munkalapot, akkor az Ön adatainak kezelője az adott vállalkozás, nem a Szolgáltató. Adatkezelési kérdéseivel, jogai gyakorlása érdekében kérjük, közvetlenül az Önnel szerződő vállalkozáshoz forduljon. A Szolgáltató a hozzá érkező ilyen kérelmeket továbbítja az érintett Felhasználónak.
6. Címzettek és adatfeldolgozók (al-adatfeldolgozók)
A Szolgáltató a Szolgáltatás nyújtásához az alábbi adatfeldolgozókat veszi igénybe. Mindegyikkel a GDPR-nak megfelelő adatfeldolgozói szerződés van érvényben.
| Adatfeldolgozó | Székhely | Szerep / tevékenység | Adattárolás helye |
|---|---|---|---|
| Supabase, Inc. | Egyesült Államok | Adatbázis, fájltárolás, hitelesítés (backend infrastruktúra) | EU – Frankfurt, Németország |
| Vercel Inc. | Egyesült Államok | A webalkalmazás tárhelye és tartalomkézbesítés (CDN) | EU-régió |
| Stripe Payments Europe, Limited | Írország | Online fizetés, előfizetés-kezelés | EU / globális (Stripe-infrastruktúra) |
| Resend (Resend, Inc.) | Egyesült Államok | Tranzakciós és értesítő e-mailek kézbesítése | EU / globális |
Az Előfizető döntése alapján aktivált integrációk, amelyek önálló adatkezelők vagy adatfeldolgozók lehetnek a saját feltételeik szerint:
| Szolgáltató | Üzemeltető | Szerep |
|---|---|---|
| Google Naptár | Google Ireland Limited | Naptárszinkron (a Felhasználó saját Google-fiókja) |
| Billingo | Billingo Technologies Zrt. (1133 Budapest, Árbóc utca 6.) | Számlázási integráció |
| Számlázz.hu | KBOSS.hu Kft. (1031 Budapest, Záhony utca 7.) | Számlázási integráció |
A Szolgáltató jogosult az al-adatfeldolgozók körét módosítani; lényeges változásról a Felhasználókat tájékoztatja.
7. Harmadik országba történő adattovábbítás
A Szolgáltatás adatai elsődlegesen az Európai Unión belül (Németország) kerülnek tárolásra. Egyes adatfeldolgozók (pl. Supabase, Vercel, Stripe, Resend) anyavállalata az Egyesült Államokban található, ezért egyes művelet(ek) során sor kerülhet EU-n kívüli adatkezelésre. Ezen esetekben az adattovábbítás megfelelő garanciák mellett történik, így különösen az Európai Bizottság általános szerződési feltételei (Standard Contractual Clauses, SCC), illetve – ahol alkalmazandó – az EU–USA Adatvédelmi Keret (Data Privacy Framework) szerinti tanúsítás alapján (GDPR 46. cikk, illetve 45. cikk).
8. Adatbiztonság
A Szolgáltató a GDPR 32. cikke szerinti, a kockázattal arányos technikai és szervezési intézkedéseket alkalmaz, így különösen:
- EU-n belüli (németországi) adattárolás;
- sorszintű hozzáférés-szabályozás (Row Level Security), amely az egyes vállalkozások adatait elkülöníti egymástól;
- titkosított adatátvitel (HTTPS/TLS);
- hozzáférés-kezelés, jelszavak biztonságos (hashelt) tárolása;
- tevékenységnaplózás és rendszeres biztonsági mentés.
9. Megőrzési idők – összefoglaló
| Adatkör | Megőrzési idő |
|---|---|
| Fiók- és cégadatok | a fiók fennállásáig, majd a megszűnést követő 30 napos türelmi idő végéig |
| Számviteli bizonylatok (számlák) | a kiállítástól számított 8 év (2000. évi C. tv. 169. §) |
| Ügyfélszolgálati, hibajelentési adatok | legfeljebb 2 év |
| Biztonsági és tevékenységnaplók | a biztonsági célhoz szükséges ideig |
| A Felhasználó által feltöltött ügyféladatok (adatfeldolgozás) | az előfizetés fennállásáig, majd a türelmi idő végén történő törlésig |
| Hozzájárulás alapján kezelt adatok (pl. hírlevél) | a hozzájárulás visszavonásáig |
A törlés a biztonsági mentésekből a mentési ciklusnak megfelelő időn belül valósul meg.
10. Az érintettek jogai
A GDPR alapján Önt az alábbi jogok illetik meg személyes adatai kezelésével kapcsolatban:
- hozzáféréshez való jog (tájékoztatás a kezelt adatokról);
- helyesbítéshez való jog (pontatlan adatok javítása);
- törléshez való jog („az elfeledtetéshez való jog", a jogszabályi megőrzés korlátai között);
- az adatkezelés korlátozásához való jog;
- adathordozhatósághoz való jog;
- tiltakozáshoz való jog a jogos érdeken alapuló adatkezelés ellen;
- hozzájárulás visszavonásához való jog (a hozzájáruláson alapuló adatkezeléseknél, a visszavonás a korábbi adatkezelés jogszerűségét nem érinti).
A jogok gyakorlása: a fenti jogok az 1. pontban megadott e-mail-címen gyakorolhatók. A Szolgáltató a kérelmet indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül teljesíti; e határidő szükség esetén két hónappal meghosszabbítható, amelyről a Szolgáltató tájékoztatást ad. A Szolgáltató jogosult az érintett azonosítására a kérelem teljesítése előtt.
Ha a kérelem a Felhasználó által feltöltött ügyféladatra vonatkozik (5. pont), a Szolgáltató adatfeldolgozóként jár el, és a kérelmet az adatkezelő Felhasználóhoz továbbítja, illetve annak utasítása szerint jár el.
11. Jogorvoslat
11.1. Felügyeleti hatóság
Ha úgy ítéli meg, hogy adatai kezelése sérti a jogszabályokat, panaszt tehet a felügyeleti hatóságnál:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
- Cím: 1055 Budapest, Falk Miksa utca 9–11.
- Postacím: 1363 Budapest, Pf. 9.
- Telefon: +36 (1) 391-1400
- E-mail: ugyfelszolgalat@naih.hu
- Web: https://naih.hu
11.2. Bírósági jogérvényesítés
Az érintett a jogainak megsértése esetén bírósághoz fordulhat. A per – az érintett választása szerint – a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
12. Adatvédelmi incidens
A Szolgáltató az általa kezelt adatokat érintő adatvédelmi incidenst a jogszabályi előírások szerint kezeli; az adatkezelőként kezelt adatokat érintő, magas kockázatú incidensről indokolatlan késedelem nélkül tájékoztatja az érintetteket és – ahol kötelező – a NAIH-ot. Az adatfeldolgozóként kezelt adatokat érintő incidensről a Szolgáltató az érintett Felhasználót (adatkezelőt) értesíti.
13. A tájékoztató módosítása
A Szolgáltató fenntartja a jogot a jelen tájékoztató módosítására. A mindenkor hatályos változat a https://servano.hu oldalon érhető el. Lényeges változásról a Szolgáltató a Felhasználókat elektronikus úton vagy a Szolgáltatás felületén tájékoztatja.