Adatvédelmi szabályzat
SZEMÉLYES ADATOK BIZTONSÁGI SZABÁLYZATA
ECOMPORATE Maksymilian Polkowski
Szlak 77/222, 31-153 Kraków
NIP: 6821812937 | REGON: 543921159
E-mail: alkogames.contact@gmail.com
Web: alkogames.hu
Kidolgozás dátuma:
17.02.2026
Bevezetés dátuma:
17.02.2026
A dokumentumot jóváhagyta és bevezette:
Maksymilian Polkowski
1. Cél, alkalmazási kör és a dokumentumban használt fogalmak
A Szabályzat célja
A jelen Személyes adatok biztonsági szabályzatának (a továbbiakban: „Szabályzat”) kidolgozásának és bevezetésének célja azon technikai és szervezési intézkedések leírása, amelyeket a(z) ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków (a továbbiakban: „Adatkezelő”) alkalmaz, és amelyek a kezelt személyes adatok védelmét a jogok és szabadságok sérelmének kockázatához mérten biztosítják a személyes adatok kezelése során.
A Szabályzat célja, hogy lehetővé tegye az Adatkezelő – ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków – kötelezettségeinek megfelelő teljesítését. A Szabályzat az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016. április 27.) (Általános Adatvédelmi Rendelet – GDPR) rendelkezéseivel összhangban készült.
E dokumentum a szervezeten belüli közzététellel, valamint a személyes adatok kezelésére felhatalmazott személyek, továbbá az Adatkezelő által kezelt személyes adatokhoz hozzáféréssel rendelkező egyéb személyek tájékoztatásával kerül bevezetésre.
Alkalmazási kör és kizárások
A Szabályzat kiterjed az Adatkezelő által kezelt valamennyi személyes adatra.
A Szabályzat rendelkezései és követelményei csak akkor zárhatók ki, ha azt a hatályos jogszabályok kifejezetten lehetővé teszik.
Fogalommeghatározások
|
Ssz. |
Fogalom |
Meghatározás |
|
1. |
Adatkezelő |
ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków azon adatok tekintetében, amelyeknél meghatározza az adatkezelés céljait és eszközeit. |
|
2. |
Személyes adat |
azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon azonosítható, különösen név, azonosító szám, helymeghatározó adat, online azonosító vagy a személy fizikai, fiziológiai, genetikai, pszichikai, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján; |
|
3. |
Különleges adatok |
faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló adatok, valamint genetikai adatok, biometrikus adatok egyedi azonosítás céljából, egészségügyi adatok, szexuális életre vagy szexuális irányultságra vonatkozó adatok, továbbá büntetőjogi felelősségre vonásra és bűncselekményekre vonatkozó adatok vagy kapcsolódó biztonsági intézkedések; |
|
4. |
Hatóság elnöke |
a személyes adatok védelméért felelős felügyeleti hatóság elnöke (Lengyelországban: a Személyes Adatok Védelméért Felelős Hivatal elnöke); |
|
5. |
Adatintegritás |
olyan tulajdonság, amely biztosítja, hogy a személyes adatokat jogosulatlanul nem változtatták meg vagy nem semmisítették meg; |
|
6. |
Adatvédelmi incidens |
a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisüléséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közléséhez vagy az azokhoz való jogosulatlan hozzáféréshez vezet; |
|
7. |
Felhatalmazott személy |
az a személy, aki az Adatkezelő nevében személyes adatok kezelésére felhatalmazással rendelkezik; |
|
8. |
Érintett (adatok tulajdonosa) |
bármely természetes személy, akinek személyes adatait az Adatkezelő vagy az Adatkezelő megbízásából kezelik a végzett tevékenységgel összefüggésben; |
|
9. |
Adatbizalmasság |
olyan tulajdonság, amely biztosítja, hogy az adatok ne legyenek hozzáférhetők jogosulatlan személyek számára; |
|
10. |
Munkavállaló |
olyan személy, aki személyes adatokhoz hozzáféréssel rendelkezik, és munkaviszony alapján az Adatkezelő javára munkát végez; |
|
11. |
Harmadik fél |
az érintetten, az adatkezelőn, az adatfeldolgozón és azokon a személyeken kívüli természetes vagy jogi személy, hatóság, szerv vagy egyéb szervezet, akik az adatkezelő vagy adatfeldolgozó felhatalmazása alapján kezelhetnek személyes adatokat; |
|
12. |
Adatfeldolgozó |
olyan természetes vagy jogi személy, hatóság, szerv vagy egyéb szervezet, amely az Adatkezelő nevében kezel személyes adatokat, és nem dönt az adatkezelés céljairól és eszközeiről; az adatkezelés az Art. 28 GDPR szerinti adatfeldolgozói szerződés alapján történik; |
|
13. |
Személyes adatok kezelése |
a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így különösen gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás útján, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés; |
|
14. |
Szabályzat |
jelen dokumentum, azaz a Személyes adatok biztonsági szabályzata; |
|
15. |
Elszámoltathatóság |
olyan tulajdonság, amely lehetővé teszi az Adatkezelő GDPR-nak való megfelelésének igazolását; |
|
16. |
GDPR / Rendelet |
az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), 2016. április 27.; |
|
17. |
Álnevesítés |
a személyes adatok olyan módon történő kezelése, hogy további információk felhasználása nélkül többé nem rendelhetők egy konkrét érintetthez, feltéve, hogy a további információkat elkülönítve tárolják és olyan technikai és szervezési intézkedések vonatkoznak rájuk, amelyek biztosítják, hogy a személyes adatokat ne lehessen azonosított vagy azonosítható természetes személyhez rendelni; |
|
18. |
Adatkezelési tevékenységek nyilvántartása |
az Adatkezelő által vezetett nyilvántartás, amely legalább a következőket tartalmazza: a) az adatkezelő (és adott esetben a közös adatkezelők), valamint adott esetben az adatkezelő képviselője és az adatvédelmi tisztviselő azonosító és elérhetőségi adatai; b) az adatkezelés céljai; c) az érintettek kategóriáinak és a személyes adatok kategóriáinak leírása; d) a címzettek kategóriái, ideértve a harmadik országokban vagy nemzetközi szervezetekben lévő címzetteket is; e) adott esetben harmadik országba/nemzetközi szervezethez történő adattovábbítások és a megfelelő garanciák dokumentálása; f) amennyiben lehetséges, a törlés tervezett határidői; g) amennyiben lehetséges, a GDPR 32. cikk (1) szerinti technikai és szervezési biztonsági intézkedések általános leírása; |
|
19. |
Panasz |
bármely (papír vagy elektronikus) beadvány, amelyet az érintett vagy a felügyeleti hatóság elnöke juttat el, és amelynek tartalmából elégedetlenség vagy magyarázat/információ kérése következik az Adatkezelő adatkezelésével kapcsolatban; |
|
20. |
Informatikai rendszer (IT) |
együttműködő eszközök, programok, információfeldolgozási eljárások és szoftvereszközök összessége, amelyeket adatok kezelésére alkalmaznak; |
|
21. |
Törvény |
a személyes adatok védelméről szóló 2018. május 10-i lengyel törvény (amennyiben alkalmazandó); |
|
22. |
Felhatalmazás |
az alábbiak egyike: írásbeli felhatalmazás a GDPR 29. cikke alapján, vagy írásbeli adatfeldolgozói szerződés a GDPR 28. cikke alapján; |
|
23. |
Együttműködő (megbízott) |
olyan személy, aki személyes adatokhoz hozzáféréssel rendelkezik, és az Adatkezelő részére személyesen és közvetlenül feladatokat/szolgáltatásokat végez munkaviszonyon kívüli jogalapon – a szerződés megnevezésétől vagy típusától függetlenül; |
|
24. |
Adatbiztonság |
megfelelő technikai és szervezési intézkedések bevezetése és működtetése, amelyek védelmet nyújtanak a jogosulatlan adatkezeléssel szemben; |
|
25. |
Az érintett hozzájárulása |
az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy egyértelmű megerősítő cselekedet útján hozzájárul a rá vonatkozó személyes adatok kezeléséhez; |
2. A(z) ECOMPORATE Maksymilian Polkowski kötelezettségei Adatkezelőként
2.1 Jogalap biztosításának kötelezettsége
Minden munkavállaló és együttműködő köteles – még az adatkezelési cél létrehozásáról vagy a már nyilvántartott adatkezelési célhoz kapcsolódóan a gyűjtött személyes adatok körének bővítéséről szóló döntés előtt – meghatározni és alkalmazni a GDPR szerinti jogalapot, amely az adatkezelést jogszerűvé teszi.
2.2 Tájékoztatási kötelezettség (GDPR 13. és 14. cikk)
Minden munkavállaló/együttműködő, aki személyes adatokat gyűjt, köteles az érintettet az adatok közvetlen felvételekor a GDPR 13. cikke szerinti előkészített tájékoztató rendelkezéseknek megfelelően tájékoztatni.
Amennyiben az adatokat harmadik személytől (nem közvetlenül az érintettől) gyűjtik, az érintettet az adatok rögzítését követően haladéktalanul tájékoztatni kell a GDPR 14. cikke szerinti tájékoztató alapján.
Automatikus adatgyűjtést végző informatikai rendszerek használata esetén biztosítani kell, hogy a rendszer a fenti tájékoztatást biztosítsa.
Harmadik felek (pl. marketing- vagy toborzó ügynökségek) igénybevétele esetén a szerződésben biztosítani kell, hogy a harmadik fél az Adatkezelő nevében teljesítse a tájékoztatási kötelezettséget.
2.3 A GDPR 5. cikk szerinti alapelvek betartása
A személyes adatok kezelése során különös gondossággal kell eljárni az érintettek érdekeinek védelme érdekében, különösen a Szabályzatban leírt adatkezelési alapelvek betartásával. Ez a kötelezettség a munkavállalókra, együttműködőkre és az Adatkezelő nevében adatkezelést végző adatfeldolgozókra is kiterjed.
2.4 Adatfeldolgozói szerződés megkötésének kötelezettsége (GDPR 28. cikk)
Amennyiben az Adatkezelő harmadik fél szolgáltatásait veszi igénybe, és e szolgáltatásnyújtás keretében a harmadik fél az Adatkezelő megbízásából vagy nevében személyes adatokat kezel, biztosítani kell, hogy az adatok átadása előtt a felek GDPR 28. cikke szerinti adatfeldolgozói szerződést kössenek.
2.5 Az érintetti kérelmek teljesítésének kötelezettsége
Ha az érintett szóban vagy írásban (papír alapon vagy elektronikusan) hozzáférést/másolatot/adathordozhatóságot/törlést/helyesbítést/korlátozást/frissítést kér, a kérelmet – ha megalapozott – haladéktalanul, legkésőbb 30 napon belül teljesíteni kell.
Minden esetben az Adatkezelő teljesíti a kérelmet; az Adatkezelő kijelölhet munkavállalót/együttműködőt vagy más szervezetet a végrehajtás támogatására.
Az Adatkezelő elősegíti az érintett GDPR 15–22. cikk szerinti jogainak gyakorlását. Ha az Adatkezelő nem tudja az érintettet azonosítani, amennyiben lehetséges, tájékoztatja, és további adatokat kérhet az azonosításhoz.
2.6 Adatbiztonság biztosításának kötelezettsége
Minden munkavállaló és együttműködő köteles alkalmazni a szervezetben érvényes szervezési védelmi intézkedéseket (pl. szabályzatok, eljárások) és a technikai védelmi intézkedéseket (pl. hozzáférési jelszavak, titkosított adathordozók, számítógépek és mobil eszközök titkosítása). A védelmi intézkedések megkerülése adatvédelmi incidensnek minősülhet.
E kötelezettség az adatfeldolgozókra is vonatkozik; a részletes követelményeket az adatfeldolgozói szerződésben kell rögzíteni.
2.7 Új adatkezelési cél bejelentésének kötelezettsége
Ha munkavállaló vagy együttműködő új adatkezelési célból kíván személyes adatokat gyűjteni, az adatgyűjtés megkezdése előtt köteles erről az Adatkezelőt a szervezetben szokásos kommunikációs csatornán tájékoztatni.
A tájékoztatás alapján az Adatkezelő dönt arról, hogy az adatkezelési célt fel kell-e venni az Adatkezelési tevékenységek nyilvántartásába.
2.8 Harmadik országba történő továbbítások
Az EGT-n kívüli szolgáltató kiválasztása vagy harmadik országba történő adattovábbítás előtt az Adatkezelőnek további elemzést kell végeznie vagy külső forrásokból információt kell szereznie az ilyen továbbítások biztonságáról.
2.9 Kötelezettségek és felelősség
Minden munkavállaló és együttműködő – pozíciójától függetlenül – felelős különösen: a személyes adatok és a védelem módjainak bizalmas kezeléséért; a jelen Szabályzat és a kapcsolódó belső dokumentumok megismeréséért és betartásáért; a megismerés írásos igazolásáért; a vonatkozó jogszabályok betartásáért; a hozzáférési jelszavak át nem adásáért; a jogosulatlan hozzáférés megakadályozásáért; valamint minden incidens vagy gyanú bejelentéséért.
3. Eljárás panaszok esetén
3.1 Az érintett által benyújtott panaszok/kérelmek
Az érintett által az Adatkezelőhöz benyújtott írásbeli panaszt/kérelmet – kézbesítési módtól és elnevezéstől függetlenül – haladéktalanul, de legkésőbb a beérkezéstől számított 30 napon belül meg kell vizsgálni.
A választ írásban kell megadni (nyilvántartott küldeményként), ha a kérelmező megadta a kézbesítési címet; ennek hiányában ugyanazon a csatornán, amelyen a panasz/kérelem érkezett, kivéve, ha a kérelmező más formát kért. E-mailben adott válasz esetén a választ minden esetben archiválni kell az elszámoltathatóság teljesítéséhez.
Helyesbítésre vagy frissítésre irányuló kérelmet haladéktalanul teljesíteni kell.
Törlésre vagy adatkezelés megszüntetésére irányuló kérelem esetén, ha az adatokat kizárólag hozzájárulás alapján gyűjtötték, a személyes adatokat haladéktalanul törölni kell vagy az adatkezelést a hozzájárulással érintett célokra meg kell szüntetni.
Szerződés alapján kezelt adatok – az érintett hozzájárulásainak visszavonását követően is – tovább kezelhetők más célokra (pl. szerződés teljesítése, adózási kötelezettségek), amennyiben ez a nyilvántartásból következik.
Hozzáférésre vagy másolat kiadására irányuló kérelemre haladéktalanul, de legkésőbb 30 napon belül válaszolni kell.
Az érintett jogosult a szerződés vagy hozzájárulás alapján kezelt, általa szolgáltatott adatok első másolatára díjmentesen. Minden további másolatért az Adatkezelő ésszerű adminisztratív díjat számíthat fel.
3.2 A felügyeleti hatóság által továbbított panaszok
Ha az érintett a felügyeleti hatósághoz fordul, és a hatóság a panaszt az Adatkezelőhöz továbbítja, a panaszt haladéktalanul az Adatkezelő illetékes személyének kell átadni.
A felügyeleti hatóságtól érkezett panasz megválaszolásának határideje 7 nap (ha a hatóság másként nem rendelkezik).
4. Az Adatkezelő adatkezelési alapelvei
Jogszabályi megfelelés, tisztesség és átláthatóság elve
A személyes adatokat jogszerűen, tisztességesen és az érintett számára átlátható módon kell kezelni. Jogalap nélkül személyes adat nem kezelhető. Új adat-kategória vagy új cél esetén előzetesen meg kell határozni a jogalapot.
Célhoz kötöttség elve
A személyes adatokat csak meghatározott, egyértelmű és jogszerű célból lehet gyűjteni, és azzal össze nem egyeztethető módon tovább kezelni nem lehet. Az érintettet a célról tájékoztatni kell.
Adattakarékosság elve
Csak annyi adat gyűjthető, amennyi a cél eléréséhez szükséges és arányos. „Tartalékba” történő adatgyűjtés nem megengedett.
Pontosság elve
A felhatalmazott személyek és az adatfeldolgozók felelősek az adatok pontosságáért. A személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; ésszerű intézkedéseket kell tenni a pontatlan adatok haladéktalan törlésére vagy helyesbítésére.
Tárolhatóság korlátozása
Személyes adat csak addig kezelhető, ameddig a cél fennáll, illetve ameddig jogszabály előírja. Az adatokat az érintett azonosítását lehetővé tevő formában nem szabad a szükségesnél hosszabb ideig tárolni.
Bizalmasság és integritás elve
A személyes adatokat megfelelő biztonságot nyújtó módon kell kezelni, beleértve a jogosulatlan vagy jogellenes kezelés, valamint a véletlen elvesztés, megsemmisülés vagy károsodás elleni védelmet megfelelő technikai vagy szervezési intézkedésekkel.
Korlátozott hozzáférés elve
A személyes adatokhoz való hozzáférést mindig a felhatalmazott személyekre kell korlátozni. A korlátozás lehet szervezési, fizikai vagy informatikai jellegű.
Kettős hozzáférés-korlátozás elve
A személyes adatokhoz való hozzáférést legalább két, tetszőleges típusú hozzáférés-korlátozó intézkedéssel kell biztosítani.
Tiszta asztal elve
A munka befejezése után a munkavállaló/együttműködő asztalán nem maradhatnak személyes adatot tartalmazó dokumentumok vagy adathordozók; azokat zárható szekrényben/tárolóban kell elhelyezni.
Biztonságos megsemmisítés elve
Az adatok megsemmisítése papír vagy elektronikus formában a „Biztonságos adattörlési eljárás” szerint történik.
Elszámoltathatóság elve
Az informatikai rendszerekben végzett adatkezelési műveleteknek egyértelműen egy személyhez kell köthetőknek lenniük. Egy felhasználói azonosító csak egy személyhez rendelhető; az azonosítók megosztása tilos.
Titoktartás és jelszóminőség elve
A hozzáférési jelszót semmilyen körülmények között nem szabad kiadni. A rendszeradminisztrátortól kapott jelszót ugyanazon a napon meg kell változtatni. A jelszó legalább 8 karakterből álljon, tartalmazzon nagy- és kisbetűt, számot és speciális karaktert.
5. Adatkezelés kiszervezésének (adatfeldolgozók igénybevételének) elvei
5.1 Adatfeldolgozói szerződések alkalmazása
Szolgáltatási szerződés megkötésekor, amely adatfeldolgozással jár, írásbeli adatfeldolgozói szerződést kell kötni a GDPR 28. cikke szerint.
5.2 Az adatfeldolgozók kötelezettségei
Az adatfeldolgozói szerződésben kötelezően rögzíteni kell többek között: a kezelés tárgyát és időtartamát, jellegét és célját, a személyes adatok típusát és az érintettek kategóriáit, az Adatkezelő és az adatfeldolgozó kötelezettségeit és jogait; a dokumentált utasítás szerinti kezelést; a titoktartást; a GDPR 32. cikk szerinti intézkedéseket; az alvállalkozók (további adatfeldolgozók) igénybevételének szabályait; az érintetti jogok gyakorlásának támogatását; az Adatkezelő támogatását a 32–36. cikk szerinti kötelezettségekben; a szolgáltatás végén a törlés/visszaadás szabályait; valamint az információszolgáltatást és auditok lehetővé tételét.
5.3 Az adatfeldolgozók felügyelete
Az Adatkezelő személyesen vagy kijelölt munkavállaló útján felügyeli, hogy az adatfeldolgozó teljesíti-e a szerződésben rögzített követelményeket.
5.4 Ellenőrzés (audit)
Minden adatfeldolgozói szerződésben kötelezően szerepelnie kell az ellenőrzés (audit) lehetőségének a szerződésnek és a jogszabályoknak való megfelelés vizsgálatára. Az ellenőrzést az Adatkezelő által írásban felhatalmazott személy végezheti.
5.5 Az adatfeldolgozó előzetes ellenőrzése
Minden adatfeldolgozót a szerződés aláírása előtt az előzetes beszállítói ellenőrzési eljárás szerint kell ellenőrizni.
6. Technikai és szervezési intézkedések
6.1 Szervezési intézkedések
Az adatkezelési folyamatok feletti ellenőrzés erősítése érdekében szervezési adatbiztonsági intézkedések kerültek bevezetésre.
6.2 Belső képzések
Minden felhatalmazott személy köteles évente legalább egy, személyes vagy e-learning formájú képzésen részt venni az adatvédelem tárgyában.
6.3 Szabályok és eljárások bevezetése
A jelen Szabályzat alapot ad további adatvédelmi eljárások kidolgozásához és bevezetéséhez.
6.4 Biztonsági mentések tervezése
Az IT rendszerekben kezelt személyes adatokat biztonsági mentési rendszerek védik, amelyeket a vezetőség vagy az IT szolgáltató felügyel. A mentések a vezetőség vagy az IT szolgáltató által meghatározott ütemezés szerint készülnek.
6.5 Minimális technikai intézkedések
Az ebben a pontban leírt technikai intézkedések adatállományokra vonatkoznak, azonban nem feltétlenül mindegyik intézkedés minden adatállományra. Az adatok kategóriájától, jellegétől és céljától függően megfelelő biztonsági intézkedések kerülnek alkalmazásra a GDPR-nak való megfelelés érdekében.
6.6 Fizikai védelem
Azon helyiségekhez, ahol személyes adatokat kezelnek, a hozzáférés kulccsal zárható ajtókkal biztosított.
A helyiség tűz elleni védelmét tűzvédelmi rendszer és/vagy hordozható tűzoltó készülék biztosítja.
6.7 Informatikai és távközlési infrastruktúra védelme
A személyes adatokat kezelő számítógép operációs rendszeréhez való hozzáférést felhasználói azonosító és jelszó alapú hitelesítés védi.
Rendszerszintű mechanizmusok biztosítják a jelszavak időszakos megváltoztatását.
Az adattovábbítással átadott személyes adatokat kriptográfiai védelem védi.
Védelem került bevezetésre kártékony szoftverek ellen (pl. férgek, vírusok, trójai programok, rootkitek).
A számítógépes hálózat védelmére tűzfal (firewall) került alkalmazásra.
6.8 Az Adatkezelő által használt IT szoftverek védelmi intézkedései
Olyan intézkedések kerültek alkalmazásra, amelyek lehetővé teszik a meghatározott adatkörhöz tartozó hozzáférési jogosultságok kijelölését;
A személyes adatokhoz való hozzáférés felhasználói azonosító és jelszó alapú hitelesítést igényel.
Kriptográfiai védelmi intézkedések kerültek alkalmazásra.
A munkaállomásokon, ahol személyes adatokat kezelnek, képernyőkímélők kerültek telepítésre.
Hosszabb inaktivitás esetén automatikus zárolás védi az adatkezelő rendszert.