PDF verzio/ PDF version

magyar nyelvü tájékoztató az oldal alján

Privacy Policy (25 May 2018)

  1. Purpose of the policy

The purpose of this Privacy Policy is to set the principles and procedures of data protection and data management of the company as a data controller, make them accessible and transparent, and thus comply with the requirements of the regulation of the European Parliament and Council (EU) 2016/679. (GDPR), ie. the EU General Data Protection Regulation.

The policy is explicitly governed by this general EU regulation, its rules are to be interpreted in accordance with the EU GDPR Regulation and all issues not affected directly by this policy are governed by the EU General Data Protection Regulation.

The purpose of the policy is to regulate the personal data management within the activities of the company, more precisely what kind of data, in what terms, for what purpose, what scope and manner are managed and controlled, how does the company ensure the security and storage of the managed and controlled data, to who, how and on what basis does it sends the managed and controlled data to any third parties, or make them recognizable by any parties, and how does it destroys or make them unrecognizable.

  1. The controlled personal data

As data controller, the company treats the following personal data during its activities, which are necessary for its business operations, the full representation of its clients interests and for compliance with legal requirements. In the case of non-natural persons – business associations – the data controller only handles the data required for official contact.

  • Name
  • Birth name
  • Place and date of birth
  • Telephone / electronic contact data
  • Address
  • Place of residence
  • Bank account data of clients
  • Tax number

The purpose of data management

The purpose of the data management is primarily to manage the data of the clients as the business partners of the company, to officially keep in touch with them and to provide them full service they require as clients. This also applies to the data management of the employees of the company, to the necessary extent for the duties of the company requested as an employer.

The additional purposes of the data management is the successful fulfilment of the contractual agreement between the client and the company. In doing so, the company as a data controller manages only the necessary data required by the laws and by the general business and economic activities and rules in Hungary.

In terms of data handling, collecting, management and storage of data, the following laws as apply among others for the company as a data controller. The data mentioned above are specifically handled, stored or transferred in accordance with the provisions of these laws and other related legislation

  • The Act C. of 2000. on Accounting
  • The Act V. of 2006. on company publicity, the court procedures of the company register and the liquidation procedure
  • The Act CL. of 2017. on Taxation
  • The Act V. of 2013. on the Civil Code
  • The Act I. of 2012. on Labour Law
  • The Act CXII. of 2011. on information self-determination and freedom of information

The company as a data controller does not process data, does not perform profiling activities, and does not handle special and sensitive data.

The managed data will only be transferred to third parties if the customer is explicitly requests it or the customer is informed about the forwarding and gave consent, furthermore for the purpose of bookkeeping obligations, or if the data transfer is required by the law or authority by an official decision.

  1. The legality of the data management

The company as data controller manages the personal data of the subjects only in the case of the following:

4.1.The subject gave consent explicitly and in written to the management of his or her personal data, necessary to meet the contractual purposes. These are primarily the fulfillment of the services provided by the company in contractual relations with the clients.

4.2.The data management is necessary to perform the legal obligations for the data controller.

4.3.The  data management is necessary to enforce the legitimate interests of the data controller or a third party, unless the interests or fundamental freedoms of the data subject have priority over those interests and require the protection of their personal data, particularly if the subject is a child.

The company, as a data controller, bases the legality of data management on the points 4.1-4.2. Point 4.3 as a legal basis is used only if the company as a data controller could not enforce or protect the legitimate interests of itself, or as well as could not enforce or protect the rights of its clients by any other means and legal basis.

The company’s review on rating of interests: 

As of point 4.3:

The purpose of the data management is to enforce the legitimate interests of the company itself and, where applicable, of a third party. In such special case the management of data is solely based on the legitimate interest of the party, such as settlement dispute, other litigation, and possible official control by the authorities of the company – until the necessary length of the case at hand.

In such cases, the data are collected and handled only to the extent strictly necessary to deal with the case of legitimate interests, only the data that has been legitimately handled or is required by third parties (eg. from a court or authority) could be used, and the data management extends to the scope of the actual case.

In these cases, only the exclusively necessary data could be managed for the enforcement of the legitimate interests, solely for the scope of the case.

In order to guarantee the data management’s limitations of these cases, the company only manages the personal data related to and in the scope of the case and within the limits prescribed by the law. After the settlement of the case of the legitimate interests, the affected and used personal data will be immediately destroyed.

  1. The rights of the subjects of data management

The rights of data subjects and clients are explicitly covered by the regulation of the European Parliament and Council (EU) 2016/679. (GDPR), the rules formulated therein shall govern for the data controller.

Briefly, for information purposes, these are the following:

  • The subject is entitled, if the data management is based solely on his / her consent and the data management is therefore not the subject of any statutory obligation, to withdraw his / her consent, after which the data controller immediately destroys the stored data of the affected subject.
  • The subject has the right to know the exact data managed and collected by the data controller, which are affecting him / her directly. In the case of such written or verbal request, the company prepares a simplified and understandable summary of the managed data of the affected subject.
  • The subject may at any time ask for correction and clarification of his / her data.
  • The subject is entitled to request from the data controller to forward the data provided by the subject to any third party given by the data subject.
  • The subject may ask the data controller to discard and destroy any of his / her data.
  • The subject are entitled to view and know the privacy policy of the company as a data controller at any time.
  1. Duration, deletion, transfer and storage of the managed data 

The data controller actively manages the data primarily through the contractual relationship between the company as data controller and the client. Following the closure of the active contractual relationship, the company as a data controller stores the data until the expiry of the general limitation period, which expires on the 5th year after the date of the contract concluded by the parties. If the contractual partner is a legal person, the data necessary for the official contact will be destroyed by the data controller as the contractual relationship is terminated. If any necessary case regarding the legal person partners, the data necessary for additional contact will be looked up only through the public record or other explicit request. An exception for this rule if the termination of the contractual relationship is caused by a dispute, in which case the rules in point 4 will be applied.

The data controller inform the subject that the data controller could transfer his / her personal data at the explicit request of the subject.

In addition, the data controller transfers the data to the accounting company or accountant, with which it has contractual relations in order to fulfill the company’s accounting obligations, which company is

LibraE Bt

2097 Pilisborosjenő

Ezüsthegyi út 58

In further addition, the data controller only transfers any data to an official authority,  if there is a lawful request or the law prescribes it.

The managed personal data are stored in by the data controller on paper and in electronic form. Storage of the paper form is stored in the file of the client or employee, in printed form, in a closet at the company’s office, which is in a physically enclosed place that is protected by a closed door. Data stored in electronic form are stored by the data controller on a central computer located in the office, using hard drives and cloud services provided by a cloud service provider. With regard to the security of the cloud service, the data controller has performed the necessary compliance qualification audits of the provider’s data security procedures.

  1. Privacy incident, data protection supervision and remedies

In Hungary, the Data Protection Supervisory Authority:

Hungarian National Authority for Data Protection and Freedom of Information

(hereinafter: NAIH, address: 1125 Budapest, Szilágyi Erzsébet fasor 22/C, e-mail address: ugyfelszolgalat@naih.hu)

The subject may submit the a complaint to the NAIH if he / she considers that the personal data management does not comply with legal obligations.

A judicial review may be initiated against NAIH’s decision

A privacy incident is a breach of data security resulting in accidental or unlawful destruction, loss, alteration, unauthorized disclosure or unauthorized access to the managed personal data. The data controller shall ensure the data security of the degree of risk associated with the data handling. In a case of a privacy incident, without delay, but no later than within 72 hours of the date of the incident, the data controller or it’s representative shall notify the supervisor authority and inform the data subjects affected as well. The data controller shall promptly take the necessary security measures as soon as it becomes aware of the privacy incident to terminate the breach of the data protection and to restore the security of the managed data and restore the affected data to a state before the incident, or at least to the most intact state as possible. The subject will be notified of the measures taken and their results.

  1. The name and contact information of the data controller

Name:   Red Door Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság

Seat:     1092 Budapest, Ráday utca 11-13. 1. em. 2.

Contact information:    contact@active8.hu


adatvédelmi szabályzat (25 majus 2018)

  1. A szabályzat célja

Jelen adatvédelmi szabályzat célja, hogy a társaságnak, mint adatkezelőnek, adatvédelmi és adatkezelési elveit és eljárásait rögzítse, azokat megismerhetővé és átláthatóvá tegye és ezzel eleget tegyen annak, hogy a társaság megfeleljen az Európai Parlament és Tanács (EU) 2016/679. számú rendeletének (GDPR), azaz az EU általános adatvédelmi rendeletének.

A szabályzat kifejezetten ezen általános adatvédelmi EU rendeletnek van alárendelve, szabályai az EU rendelettel összhangban értelmezendőek és minden, jelen szabályzatban explicite nem szabályozott kérdésben az EU adatvédelmi rendelete az irányadó.

A szabályzat célja, hogy a társaság tevékenysége során az általa kezelt személyes adatokat szabályozza a tekintetben, hogy milyen adatokat, milyen jogcímen, milyen célra, terjedelemben és módon kezel, hogyan biztosítja a kezelt adatok biztonságát és tárolását, kinek, hogyan és milyen alapon továbbítja azokat, vagy teszi megismerhetővé, valamint hogyan semmisíti vagy teszi megismerhetetlenné azokat.

  1. A kezelt személyes adatok

A társaság, mint adatkezelő, az alábbi adatokat, mint személyes adatokat kezeli a tevékenysége során, melyek a tevékenységéhez, az ügyfelek érdekeinek teljes értékű képviseletéhez és a jogszabályi előírásoknak való megfeleléshez szükségesek. Nem természetes személy – gazdasági társaságok – esetén az adatkezelő kizárólag a hivatalos kapcsolattartáshoz szükséges adatait kezeli az érintettnek.

  • Név
  • Születési név
  • Születési hely és idő
  • Telefonos/ elektronikus elérhetőség adatai
  • Lakcím
  • Tartózkodási hely
  • Ügyfelek bankszámla adatai
  • Adóazonosító jel

Az adatkezelés célja

Az adatkezelés célja elsősorban az ügyfelek, mint a társasággal szerződő partnerek adatainak kezelése, kapcsolattartás és a megfelelő, általuk kért szolgáltatás maradéktalan ellátásának céljából. Ide vonatkozik még a társaság alkalmazottainak adatkezelése is, a munkáltatói, alkalmazotti tevékenység sikeres ellátásához szükséges mértékig és céllal.

Az adatkezelés további céljai az ügyfelek által igényelt, részükre a társaság által nyújtott, az ügyfél és a társaság között szerződésben megállapodott szolgáltatás sikeres teljesítése. Ennek során a társaság, mint adatkezelő, kizárólag a magyarországi általános üzleti, gazdasági tevékenység során megszokott, valamint a jogszabályok által előírt és szükséges adatait kéri meg.

Az adatkezelés tekintetében az adatok bekérését, kezelését és tárolását különös tekintettel az alábbi jogszabályok írják elő a társaság, mint adatkezelő részére, a fenti adatokat kifejezetten ezen törvények és a kapcsolódó egyéb szükséges jogszabályok előírásainak megfelelően kezeli, tárolja, illetve továbbítja:

  • 2000. évi C. törvény a számvitelről
  • 2006. évi V. törvény a a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról
  • 2017. évi CL. törvény az adózás rendjéről
  • 2013. évi V. törvény a polgári törvénykönyvről
  • 2012. évi I. törvény a munka törvénykönyvéről
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

A társaság, mint adatkezelő, nem végez adatfeldolgozást, illetve nem végez profilalkotási tevékenységet, speciális és szenzitív adatokat nem kezel.

A kezelt adatokat a társaság csak abban az esetben küldi tovább harmadik fél részére, ha azt az érintett ügyfél kifejezetten kéri, vagy a továbbküldéséről tudomása van és hozzájárult, továbbá könyvelési kötelezettségek ellátásának céljával, illetve amennyiben a továbbküldést jogszabály vagy hatóság kötelező erejű döntés útján írja elő.

  1. Az adatkezelés jogszerűsége

A társaság, mint adatkezelő az ügyfelek személyes adatait kizárólag abban a esetben kezeli, amennyiben:

  1.     4.1.Az érintett kifejezett és írásos hozzájárulását adta személyes adatainak kezeléséhez, amelyek szükségesek a szerződéses kapcsolatban vállalt célok teljesítéséhez. Ezen célok elsősorban az ügyfelek részére nyújtott szolgáltatások teljesítése, amelyeket a társaság az ügyféllel szerződéses kapcsolatban végez.
    1.     4.2.Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
    1.     4.3.Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A társaság, mint adatkezelő, az adatkezelés jogszerűségét tevékenységének rendes ellátása során a 4.1-4.2 pontokra alapozza. A 4.3. pont, mint jogi alap kizárólag abban az esetben kerül alkalmazásra, ha a társaság, mint adatkezelő, a jogos érdekeinek érvényesítését vagy védelmét, továbbá ügyfelei jogainak érvényesítését vagy védelmét semmilyen más úton és jogalap szerint nem tudja érvényesíteni.

A társaság érdekmérlegelési áttekintése:

A 4.3 pont tekintetében:

Az adatkezelés célja a társaság saját, illetve adott esetben harmadik fél jogos érdekeinek érvényesítése, ilyen különleges esetben az adatkezelés kizárólag az adott jogos érdek – például elszámolási vita, egyéb jogvita, az adatkezelő esetleges hatósági ellenőrzési eljárásában történő védekezése, munkaügyi jogvita stb. – terjedelméig történik.

Ilyen esetben a gyűjtött és kezelt adat kizárólag az adott érdekérvényesítési ügy elintézéséhez feltétlenül szükséges mértékben történik, kizárólag a már jogosan kezelt adatokból, vagy az érdekérvényesítés ügyéhez feltétlenül szükséges, harmadik féltől megkért adatokból dolgozik (Pl. bíróságtól, hatóságtól kikért adatok), és az adatkezelés terjedelme az adott ügy ellátásáig terjed.

A kezelt adatok kizárólag a jogos érdekérvényesítéshez szükséges adatokra terjednek ki, kizárólag az ügy terjedelmére.

Az adatkezelési garancia biztosítása érdekében a társaság kizárólag az ügy teljesítésének terjedelméig, illetve a jogszabályok által előírt keretek között kezeli a személyes adatokat. Ezt követően azok megsemmisítésre kerülnek.

  1. Az érintettek jogai

Az érintettek és az ügyfelek adatkezeléssel kapcsolatos jogait kifejezetten az Európai Parlament és Tanács (EU) 2016/679. számú rendelete szabályozza, az ott megfogalmazottak az irányadóak az adatkezelőre nézve.

Röviden összefoglalva, tájékoztatási jelleggel ezek az alábbiak:

  • Az érintett jogosult, amennyiben az adatkezelés kizárólag a hozzájárulásán alapul, tehát nem tárgya jogszabályi kötelezettségnek a tárolása, visszavonni hozzájárulását, melyet követően az adatkezelő azonnali hatállyal megsemmisíti a tárolt adatait az érintettnek.
  • Az érintett jogosult megismerni az őt érintő kezelt adatokat, ilyen írásbeli vagy szóbeli kérelem esetén a társaság egy egyszerűsített és közérthető összefoglalást készít az érintett kezelt adatairól.
  • Az érintett jogosult bármikor az adatai helyesbítését, pontosítását kérni.
  • Az érintett jogosult kérni az adatkezelőtől, hogy az általa megadott adatokat az adatkezelő továbbítsa az érintett által megadott harmadik fél részére.
  • Az érintett kérheti, hogy az adatkezelő semmisítse meg az adatait.
  • Az érintett jogosult bármikor megtekinteni és megismerni a társaság, mint adatkezelő adatvédelmi szabályzatát.
  1. Az adatkezelés időtartama, törlése, továbbítása, és tárolása 

Az adatkezelő a kezelt adatokat elsősorban a közte és az ügyfél között fennálló, szerződéses kapcsolat és viszony terjedelméig kezeli aktívan. Az adott szerződéses kapcsolat lezárását követően a társaság, mint adatkezelő, az adatokat az általános elévülési határidő leteltéig tárolja, amely a felek által megkötött szerződés dátumától számított 5. év lejárta. Amennyiben a szerződés jogi személy ügyféllel áll fenn, úgy a kapcsolattartáshoz szükséges adatokat a szerződéses viszony megszűnésével az adatkezelő megsemmisíti, azt követően amennyiben szükséges, a kapcsolattartáshoz szükséges adatokat kizárólag a közhiteles nyilvántartás vagy egyéb megkeresés útján keresi meg. Kivételt képez az a megszűnési esete a szerződéses viszonynak, amennyiben a megszűnést jogvita okozza, ebben az esetben a 4. pont speciális szabályai kerülnek alkalmazásra.

Az adatkezelő felhívja az érintett figyelmét arra, hogy személyes adatait az ügyfél kifejezett kérelmére továbbítja.

Ezen felül az adatkezelő az adatokat könyvelési kötelezettségek ellátása érdekében továbbítja a vele szerződéses viszonyban álló könyvelő társaságnak, amely a

LibraE Bt

2097 Pilisborosjenő

Ezüsthegyi út 58

A fentieken kívül kizárólag jogszabály által előírt esetben és hatósági felhívásra továbbít adatokat az adatkezelő.

Az érintett személyes adatokat az adatkezelő papír és elektronikus formában tárolja. A papíralapon történő tárolás az adott ügyfél aktájában történik, az adatkezelő által, nyomtatott formában, szekrényben tartva, a társaság irodája pedig fizikailag zárt helységben található, amely zárt ajtóval van védve. Az elektronikus formában tárolt adatokat az adatkezelő az irodában található központi számítógépen tárolja, merevlemezen, valamint felhő szolgáltatás igénybe vételével a felhő szolgáltató által biztosított szervereken. A felhő szolgáltatás biztonsága tekintetében az adatkezelő elvégezte a szükséges minősítési ellenőrzéseket a szolgáltató adatbiztonsági eljárásairól.

  1. Adatvédelmi incidens, adatvédelmi felügyelet és jogorvoslat

Magyarországon az adatvédelmi felügyeleti hatóság:

Nemzeti Adatvédelmi és Információszabadság Hatóság

(továbbiakban: NAIH, címe: 1125 Budapest, Szilágyi Erzsébet fasor 22/C, e-mail címe: ugyfelszolgalat@naih.hu)

Az érintett panaszt nyújthat be a NAIH-hoz amennyiben álláspontja szerint a rá vonatkozó személyes adat kezelés nem felel meg a jogszabályi kötelezettségeknek.

A NAIH döntése ellen bírósági felülvizsgálat kezdeményezhető.

Az adatvédelmi incidens az adatbiztonság olyan sérülése, mely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatkezelő biztosítja az adatkezeléshez kapcsolódó kockázat mértékének megfelelő adatbiztonságot, melynek sérülése esetén késedelem nélkül, de legkésőbb a tudomásra jutástól számított 72 órán belül az adatkezelő vagy képviselője bejelentést tesz a felügyeleti hatóságnak és tájékoztatja az érintettet is. Az adatkezelő az adatvédelmi incidens tudomására jutását követően haladéktalanul megteszi a szükséges biztonsági intézkedéseket az adatvédelmi incidens alapját adó sérülés megszüntetése, helyreállítása céljából. Az érintettet értesítjük a megtett intézkedésekről és azok eredményéről.

  1. Az adatkezelő neve és elérhetősége

Az adatkezelő neve:

Red Door Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság

Székhelye: 1092 Budapest, Ráday utca 11-13. 1. em. 2.

Elérhetősége:  contact@active8.hu