Adatvédelmi szabályzat

01

Bevezetés és terjedelem

A QReportly (a "Platform" vagy "szolgáltató") alapvető fontosságot tulajdonít a személyes adatok védelmének és a szolgáltatásait igénybe vevő egyének magánéletének védelmének.

Jelen Adatkezelési Szabályzat vonatkozik: (i) a Szolgáltató, mint Adatkezelő által saját tevékenységei (adminisztrátori fiókok, számlázás, támogatás) céljából végzett adatkezelésekre; (ii) a Szállító, mint Meghatalmazott (Feldolgozó) által az Ügyfelek nevében az értesítésekben szereplő adatok és a belső jelentési csatorna műveletei tekintetében végzett feldolgozás.

A riporterek számára elérhető nyilvános jelentési csatornán a Hitelesítés-szolgáltató korszerű technikai és szervezési adatminimalizálási intézkedéseket alkalmaz, amelyeket az alábbi, erre a célra szolgáló pontokban részletezünk.

02

A belső csatornán keresztül küldött értesítésekben, jelentésekben, üzenetekben, csatolt állományokban és az ügykezeléshez kapcsolódó működési metaadatokban szereplő személyes adatok tekintetében az Ügyfél – Beiratkozott jogi személy – adatkezelőként jár el.

A QReportly szigorúan Meghatalmazottként (Adatfeldolgozó / Műszaki Szolgáltató) jár el, kizárólag az Ügyfél dokumentált utasításai alapján, a szerződésben foglalt szolgáltatások teljesítése érdekében, a jelen Szabályzat és a Felhasználói Szerződés keretei között dolgoz fel adatokat.

Az adatkezelői fiókok saját adataira, számlázási adataira és kereskedelmi kommunikációjára az Üzemeltető független Adatkezelőként jár el, a GDPR által biztosított tájékoztatási kötelezettséggel az érintettek részére.

Az üzemeltető által engedélyezett kapcsolat

A Szolgáltató az értesítések tartalmát saját marketing, profilalkotási vagy kereskedelmi elemzési céljaira nem használja fel. A Szállító személyzete a Megrendelő adataihoz szigorúan csak az arra jogosult személyekre férhet hozzá, karbantartási, műszaki támogatási, biztonsági és jogszabályi megfelelési célokból, és titoktartási kötelezettség alá tartozik.

Az ügyfél felelős az adatkezelés jogszerűségéért, az érintettek tájékoztatásáért, a bejelentésekkel kapcsolatos joggyakorlási megkeresések megválaszolásáért és adott esetben a felügyeleti hatóságok értesítéséért.

03

A feldolgozott adatok kategóriái

A Platform használatától függően a következő adatkategóriák dolgozhatók fel:

Az Ügyfél adminisztrátorainak azonosító adatai: név, email cím, beosztás, nyelvi preferenciák;
Szervezeti adatok: munkaterület neve, regisztrációs ország, megfelelőségi beállítások, díjcsomag;
Számlázási és fizetési adatok: Főleg a Stripe dolgozza fel; A szolgáltató tranzakciós hivatkozásokat tárolhat, nem teljes kártyaadatokat;
Értesítési tartalom: szöveg, kategóriák, csatolt fájlok, biztonságos chat üzenetek, eljárási állapotok, időbélyegek;
Az adminisztrációs munkamenetek korlátozott technikai adatai: biztonsági naplók, munkamenet-azonosítók, hitelesítési események;
A bejelentő által önkéntesen megadott adatok: név, elérhetőség vagy egyéb elemek, kizárólag abban az esetben, ha a bejelentő az azonosított bejelentést választja.

04

Anonimitás architektúra (nulla tudás)

A platform szerkezetileg úgy lett kialakítva, hogy ne gyűjtse, naplózza vagy tárolja a nyilvános jelentési csatornához hozzáférő visszaélést bejelentő személyek IP-címeit, földrajzi helyadatait vagy digitális ujjlenyomatait (böngésző ujjlenyomata).

Ennek a mérséklő architektúrának az a célja, hogy csökkentse a névtelen bejelentést választó bejelentők újbóli azonosításának kockázatát, és támogassa az Ügyfelet a jogi titoktartási kötelezettségek teljesítésében.

A szolgáltató nem használ viselkedéskövető technológiákat, hirdetési profilalkotást vagy invazív elemzéseket a riportereknek szánt jelentési folyamaton belül. A nyilvános prezentációs webhelyen alkalmazott elemzőeszközök különállóak a biztonságos jelentési csatornától.

Névleges jelentés

Ha a bejelentő kifejezetten az azonosított bejelentést választja, az önkéntesen megadott adatokhoz az Ügyfél Megjelölt Személye hozzáfér, és azokat technikai titkosítási és hozzáférés-ellenőrzési intézkedések védik. Ezen adatok kezeléséért továbbra is az Ügyfél az Üzemeltető felelős.

05

Metaadatok, mellékletek és fertőtlenítés

Minden hivatkozáshoz csatolt fájl (PDF, DOCX-dokumentumok, PNG/JPG/JPEG-képek) automatikus kriptográfiai tisztítási folyamaton megy keresztül a metaadatok feltöltéskor, beleértve, de nem kizárólagosan: a képekből származó EXIF-adatokat, a dokumentum szerzőire vonatkozó információkat, a beágyazott tulajdonságokat, a szerkesztési időbélyegeket és egyéb elemeket, amelyek elősegíthetik a véletlen újraazonosítást.

A fertőtlenítési folyamat még azelőtt megtörténik, hogy a fájlok véglegesen eltárolódnak a platform infrastruktúrájában. Az ügyfél felelőssége annak megítélése, hogy az iratok látható tartalmában megmaradt információ megfelelő-e a vizsgálat céljára.

Azok a fájlok, amelyek nem dolgozhatók fel biztonságosan, vagy amelyek túllépik a meghatározott technikai korlátokat, az eredeti tartalom megőrzése nélkül automatikusan elutasításra kerülnek.

06

Automatikus adatmegőrzés és törlés

A Szolgáltató szigorú megőrzési és automatikus törlési szabályzatot alkalmaz, amelynek célja, hogy korlátozza az adatok hozzáférhetőségét a szolgáltatás nyújtásához és a jogszabályi megfeleléshez szükséges időtartamon túl.

Médiafájlok és bizonyító okiratok

Az utalásokban bizonyítékként feltöltött médiafájlok és dokumentumok véglegesen és visszafordíthatatlanul törlődnek a szerverekről 6 hónappal (180 naptári nappal) azután, hogy az ügyet a Platformon „Lezárt”-ként jelölték meg. Az öblítés automatikusan, programozott eljárásokkal, kézi beavatkozás nélkül történik.

Szövegtörténet és nyilvántartás

A biztonságos chat szöveges előzményeit, az eljárási feljegyzéseket és a hivatalos nyilvántartáshoz kapcsolódó adatokat az Ügyfél munkaterületén konfigurált szabványos jogi időtartamig tároljuk: 5 (öt) évig alapértelmezett időtartam, illetve 3 (három) évig az ilyen feltételeket biztosító joghatóságok esetében – például Németországban –, amely után a Hard Delete fizikai rendszer automatikusan eltávolítja őket (törlés az aktív éles rendszerből).

Az ügyfél a szervezetére vonatkozó jogszabályok által megengedett mértékben konfigurálhatja a megőrzési időszakot. Az Üzemeltető nem garantálja az adatoknak a beállított feltételeken vagy a szerződés megszűnésén túli megőrzését, kivéve a Szolgáltatót terhelő kötelező jogi kötelezettségeket.

07

Az adatkezelés jogalapja

A Szolgáltató Meghatalmazottként az Ügyféllel kötött szerződés (GDPR 6. cikk (1) bekezdés b) pont) és a felhőszolgáltatókra vonatkozó jogszabályi kötelezettségek (GDPR 6. cikk (1) bekezdés c) pont) alapján kezeli az értesítési adatokat.

Vezetői számlák üzemeltetőjeként az indokok a következők: szerződés teljesítése; a Platform biztonságával és a csalás megelőzésével kapcsolatos jogos érdek; jogi számviteli és adókötelezettségek; hozzájárulás, ha kifejezetten kérik (pl. marketingkommunikáció – ha engedélyezve van).

08

Az érintettek jogai

Az érintetteket megilletik a GDPR által biztosított jogok: a hozzáférés, a helyesbítés, a törlés, a korlátozás, a hordozhatóság, a tiltakozás, valamint az a jog, hogy ne vonatkozzanak rájuk a kizárólag automatikus adatkezelésen alapuló döntés hatálya a jogszabályoknak megfelelően.

A bejelentésekből származó adatokkal kapcsolatban a joggyakorlással kapcsolatos kérelmeket elsősorban az Ügyfélnek, mint Adatkezelőnek kell címezni. A Szállító az ésszerű mértékig és a szerződésnek megfelelően segíti a Megrendelőt ezen kérések teljesítésében.

A Szolgáltató, mint Lebonyolító által kezelt adatokkal kapcsolatban (adminisztratív elszámolások, számlázás) a jelen dokumentum végén feltüntetett elérhetőségeken lehet kérelmet benyújtani. A szállító a GDPR által meghatározott feltételeken belül válaszol.

Az érintettek jogosultak panaszt benyújtani a szokásos tartózkodási helyük, munkahelyük vagy az állítólagos jogsértés helye szerinti tagállam illetékes felügyeleti hatóságához.

09

Biztonsági intézkedések

A szolgáltató megfelelő technikai és szervezési intézkedéseket hajt végre az adatok védelmére, ideértve a következőket: továbbítás közbeni titkosítás (TLS), szerepalapú hozzáférés-ellenőrzés, logikai elkülönítés a munkaterületek között, biztonsági megfigyelés, incidensre adott válaszok és titkosított biztonsági mentések az Európai Unióban üzemeltetett infrastruktúrában.

Egyetlen rendszer sem garantálja az abszolút biztonságot. Az Ügyfél adatait érintő biztonsági incidens esetén a Szolgáltató indokolatlan késedelem nélkül értesíti az Ügyfelet a vonatkozó szerződéses és jogszabályi kötelezettségeinek megfelelően.

10

Alhatalmak és nemzetközi transzferek

A szolgáltató a tárhelyszolgáltatásra, a fizetések feldolgozására, az e-mailek kézbesítésére vagy a biztonságra másodlagos feleket hívhat meg, azzal a kötelezettséggel, hogy a GDPR által biztosítottakkal egyenértékű szerződéses garanciákat rójon rájuk.

Az adatok főként az Európai Unióban vannak tárolva. Ha egyes harmadik felek szolgáltatásai az EGT-n kívülre történő átutalással járnak, a Szolgáltató elismert átviteli mechanizmusokat (Standard Szerződéses Kikötések, alkalmassági határozatok vagy a GDPR által megengedett egyéb biztosítékok) alkalmaz.

11

A szabályzat változásai

A Szolgáltató frissítheti jelen Szabályzatot, hogy tükrözze a jogszabályi, műszaki vagy működési fejleményeket. Az aktuális verzió a frissítés dátumával együtt jelenik meg a Platformon.

Lényeges változások esetén az Ügyfelet ésszerű csatornákon (műszerfali értesítés vagy e-mail) értesítjük. A Szolgáltatások Ön a hatálybalépés dátuma utáni további használata a frissítések elfogadását jelenti, a törvény által megengedett mértékben.