A Flowyer LegalTech Kft. az üzleti partnerek kapcsán birtokába jutott személyes adatokra vonatkozóan az alábbi tájékoztatást adja.
A Flowyer LegalTech Kft. (székhelye: 1117 Budapest, Alíz utca 6. A. ép. B. lház. 1. em. 6. ajtó, adószám: 25556584-4-13; cégjegyzékszám: 13-09-181128) a jelen tájékoztatóban foglaltak alapján kezeli / dolgozza fel a személyes adatokat, amelyet a jelen – a megrendelés véglegesítéséhez elengedhetetlen - tájékoztató elolvasásával tudomásul vesz.
Az Adatkezelő a Flowyer LegalTech Kft.
A Flowyer LegalTech Kft. nem nevezett ki adatvédelmi tisztviselőt, tekintettel arra, hogy nem folytat olyan adatkezelési tevékenységet, amely miatt ez szükségessé vált volna.Az adatkezelés megnevezése és célja: A megrendelő üzleti partnerek ügyvitelének elősegítése, valamint az ezzel kapcsolatos szerződéses jogok és kötelezettségek, illetve törvényben előírt adó és számviteli kötelezettségek teljesítése (könyvelés, adózás).
További cél az üzleti partnerek (mind vevő, mind szállító) azonosítása és egymástól való megkülönböztetése, kapcsolatfelvétel, a felhasználói statisztikák készítése, rendelések, vásárlások kezelése, a vásárlásból eredő szerződéses kötelezettségek teljesítése és jogok gyakorlása.
Az adatkezelés jogalapja: szerződéses / jogi kötelezettség teljesítése (amennyiben a Megrendelő elnevezésében magánszemély neve szerepel) / jogos érdek (egyéb esetben).A kezelt adatok köre és azok forrása: Amennyiben a Megrendelő üzleti partner elnevezésében magánszemély neve szerepel, úgy az üzleti partner által a számlázáshoz megadott név, cím, adószám, megrendelt liszenszek száma, valamint annak lejárati ideje.
Továbbá, minden esetben a magánszemély kapcsolattartó neve, e-mail címe, telefonszáma, esetlegesen pozíciója.
Az adatkezelés időtartama: számviteli bizonylat (elsősorban: számla, szerződés) esetében minimum 8 év (amennyiben a Megrendelő elnevezésében magánszemély neve szerepel) / az utolsó tranzakciót követő 5 év (egyéb esetben).Adattovábbítás: A mindennapi üzleti működés során a rögzített személyes adatokat kizárólag az Adatkezelő, illetve érintett alvállalkozói a tevékenységükhöz szükséges mértékben ismerhetik meg. A személyes adatok megkeresés, illetve törvényi előírás alapján hatóságnak kerülnek továbbításra. A törvényi kötelezettség teljesítése érdekében egyéb harmadik felek is hozzájuthatnak az adatokhoz (például könyvelő).
A Szolgáltató a www.flowyer.hu weboldal látogatottságának méréséhez a Google Analytics programot használja. A hivatkozott program a felhasználó számítógépén ún. cookie-kat helyez el, amelyek felhasználói adatokat gyűjtenek, úgy, mint a böngésző, az operációs rendszer adatai és a felhasználó IP címe, valamint a belépő és a kilépő oldal URL-je. Ezen adatokból a rendszer automatikusan statisztikai adatokat generál. A Szolgáltató ezeket az adatokat nem kapcsolja össze más személyes adatokkal, azokat kizárólag látogatottsági statisztikák elkészítésére használja.
A Szoftver szervereit a Google LLC üzemelteti. A Google Cloud Platformnak köszönhetően a Szoftver adatbázisai a legmagasabb biztonsági és rendelkezésre állási iparági sztenderdeknek eleget téve többszörösen redundáns szervereken, ún. failover módon kerülnek tárolásra, melyek fizikailag Frankfurtban találhatóak. A rendszer automatizáltan minden adatbázisról napi mentést készít, amelyet 365 napig őriz meg. Mivel számunkra a biztonság a legfontosabb, ezért földrajzilag is szegmentált módon a biztonsági mentést Belgiumban tároljuk. Magasan az elvárható fizikai és szoftveres védelmen felül fontosnak tartjuk, hogy előfizetőink ügyállománya is szegmentált módon kerüljön tárolása, így Megrendelőnként azokat a rendszer külön adatbázisban tárolja. Az adatoktól eltérő módon a feltöltött file-ok esetében verziókövető rendszert használunk, melyet szintén Frankfurtban üzemeltetünk. A törölt, vagy véletlenül felülírt file-okat 90 napig visszamenőleg van mód helyreállítani.
7.1. Bármikor jogosultak tájékoztatást kérni az általunk kezelt, jelen tájékoztatóban is nevesített személyes adatokról, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat (mindegyik jogalap esetében).
7.2. Bármikor jogosultak kérni, hogy helyesbítsük / kiegészítsük a pontatlan / hiányos személyes adatokat (mindegyik jogalap esetében).
7.3. Bármikor jogosultak kérni, hogy a rendelkezésünkre álló, elektronikus formában kezelt személyes adatokat az adatok tulajdonosának, illetve más adatkezelő részére általánosan használt formátumban átadjuk (kizárólag szerződéses / jogi kötelezettség teljesítése esetén).
7.4. Bármikor jogosultak kérni, hogy korlátozzuk az adatkezelést. Az adatkezelés korlátozása esetén a személyes adatok tárolása kivételével csak hozzájárulással vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez vagy más személy jogainak védelme érdekében kezelhetjük. A személyes adatok kezelésének korlátozását kérheti, ha
» vitatják a személyes adatok pontosságát,
» az adatkezelés jogellenes, a személyes adatok törlését ellenzik,
» Adatkezelőnek a személyes adatokra adatkezelés céljából nincs szüksége, azonban jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez a személyes adatok korlátozását igényli
Adatkezelő az adatkezelés korlátozásának feloldásáról tájékoztatást nyújt a feloldást megelőzően (mindegyik jogalap esetében).
7.5. Bármikor jogosultak kérni, hogy töröljük a személyes adatokat (mindegyik jogalap esetében). Töröljük a személyes adatokat, ha
» nincs szükségünk a személyes adatokra abból a célból, amely célból gyűjtöttük vagy kezeltük,
» a személyes adatokat jogellenesen kezeltük vagy
» Adatkezelő jogi kötelezettsége teljesítéséhez köteles a személyes adatokat törölni.
7.6. Bármikor jogosultak tiltakozni az adatok kezelése ellen (kizárólag jogos érdek esetén).
Adatkezelő az adatkezeléssel kapcsolatos kérelmeket azok benyújtásától számított legfeljebb 30 napon belül kivizsgálja, annak megalapozottságáról döntést hoz és döntéséről a kérelmezőt írásban tájékoztatja.8.1. Amennyiben úgy véli, hogy személyes adatait nem a tájékoztatóban jelzetteknek megfelelően kezeltük, illetve a jogait maradéktalanul nem tudta érvényesíteni, úgy kérjük, hogy a következő elérhetőségünkön vegye fel velünk a kapcsolatot:
» e-mail cím: support@flowyer.hu (a levél tárgyában kérjük, hogy az „Adatkezelés” szót legyenek szívesek megjelölni)
8.2. A személyes adataira vonatkozó jogainak megsértése esetén a hatósághoz az alábbi elérhetőségen nyújthatja be a panaszát:
A Szoftver két, egymástól független AI szolgáltatást tartalmaz, amelyek eltérő adatkezelési szabályok alá esnek.
A) Dokumentum Anonimizáló – adatkezelés
Adatkezelési szerepkörök
A Dokumentum Anonimizáló vonatkozásában a Megrendelő minősül adatkezelőnek. A Flowyer LegalTech Kft. adatfeldolgozóként jár el a Megrendelő utasításai alapján.
Kezelt adatok köre
A feltöltött dokumentumok teljes tartalma, valamint a dokumentumokban található személyes adatok – kizárólag a felismerés és anonimizálás céljából, ideiglenesen kerülnek kezelésre.
Adattovábbítás
A Dokumentum Anonimizáló kizárólag az Európai Unióban található szervereken fut. Nem történik adattovábbítás az Európai Unión kívülre.
Adatok megőrzési ideje
A feltöltött és feldolgozott dokumentumok kizárólag a feldolgozás időtartama alatt (jellemzően másodpercektől néhány percig) találhatók a szerveren. A feldolgozás befejezését követően automatikusan és véglegesen törlésre kerülnek. A Szolgáltató a dokumentumokról másolatot nem készít és nem tárol.
Adatok felhasználásának tilalma
A Szolgáltató a Dokumentum Anonimizálóba feltöltött adatokat nem használja fel mesterséges intelligencia modellek tanítására vagy fejlesztésére. Az alkalmazott nyelvi modell előre betanított, és kizárólag felismerési módban működik.
Visszajelzési funkció adatkezelése
a) A Megrendelő az anonimizáló felületen visszajelzést küldhet a nem felismert (false negative) vagy tévesen azonosított (false positive) elemekről.
b) A visszajelzések kezelésének célja: a szolgáltatás minőségének folyamatos fejlesztése és a felismerési pontosság javítása.
c) A visszajelzések kezelésének jogalapja: a Szolgáltató jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont) a szolgáltatás minőségének javítása érdekében.
d) A visszajelzésekben szereplő adatok megőrzési ideje: a visszajelzés feldolgozásáig és a szükséges fejlesztések elvégzéséig, de legfeljebb 1 év.
e) A Szolgáltató a visszajelzésekben esetlegesen szereplő személyes adatokat a fejlesztési folyamat során anonimizálja vagy általánosítja; az eredeti dokumentumokat nem tárolja és nem használja fel közvetlenül.
B) AI Asszisztens (ChatGPT integráció) – adatkezelés
Adatkezelési szerepkörök
Az AI Asszisztens vonatkozásában a Megrendelő közvetlenül, saját nevében szerződik az OpenAI-jal (saját OpenAI fiók és API kulcs használatával). A Flowyer LegalTech Kft. kizárólag technikai felületet biztosít az API eléréséhez, és nem minősül al-adatfeldolgozónak az OpenAI viszonylatában.
A Megrendelő és az OpenAI közötti kapcsolat
| Megnevezés | OpenAI, LLC |
|---|---|
| Székhely | San Francisco, Amerikai Egyesült Államok |
| Tevékenység | GPT nyelvi modell API szolgáltatás |
| Szerződéses viszony | Közvetlenül a Megrendelővel |
| Adatvédelmi szabályzat | https://openai.com/policies |
A Megrendelő felelőssége:
• Az OpenAI szolgáltatási feltételeinek és adatvédelmi szabályzatának megismerése és elfogadása
• A saját ügyfelei megfelelő tájékoztatása az adattovábbításról
Kezelt adatok köre
A Megrendelő által megadott promptok (utasítások, kérdések), az azokban esetlegesen szereplő személyes adatok, valamint a generált válaszok. Továbbá a Megrendelő által létrehozott prompt sablonok (gyorsgombok) tartalma.
Adattovábbítás harmadik országba
Az AI Asszisztens használatakor a promptok az Amerikai Egyesült Államokba kerülnek továbbításra az OpenAI szervereire, a Megrendelő saját API kulcsán keresztül. Az adattovábbítás jogalapjáért és az OpenAI-jal kötött adatvédelmi megállapodásért (DPA, SCCs) a Megrendelő felel mint az OpenAI közvetlen szerződő partnere.
A Megrendelő az AI Asszisztens szolgáltatás használatával tudomásul veszi és elfogadja az adatok USA-ba történő továbbítását.
Adatok megőrzési ideje
| Hely | Megőrzési idő |
|---|---|
| Flowyer szerverei | Nincs tárolás |
| OpenAI szerverei | Zero Data Retention |
Adatok felhasználásának tilalma
Az OpenAI 2023. március 1. napjától hivatalosan nem használja az API-n keresztül küldött adatokat AI modellek tanítására vagy fejlesztésére (kivéve, ha a felhasználó ehhez kifejezetten hozzájárul). Ennek ellenőrzése és betartatása a Megrendelő és az OpenAI közötti jogviszony keretében történik.
C) Közös rendelkezések
Automatizált döntéshozatal
Az AI szolgáltatások (sem a Dokumentum Anonimizáló, sem az AI Asszisztens) nem hoznak a Megrendelőre vagy az érintettekre nézve joghatással bíró, kizárólag automatizált adatkezelésen alapuló döntést a GDPR 22. cikke értelmében. Az AI szolgáltatások kizárólag segédeszközként működnek; a végső döntést minden esetben a Megrendelő hozza meg.
Adatbiztonsági intézkedések
Az AI szolgáltatások vonatkozásában a Szolgáltató az alábbi adatbiztonsági intézkedéseket alkalmazza:
• Titkosított adatátvitel: TLS 1.2 vagy magasabb verzió
• Szerepkör-alapú hozzáférés-korlátozás
• Biztonsági események naplózása
Összefoglaló táblázat – A két szolgáltatás különbségei
| Szempont | Dokumentum Anonimizáló | AI Asszisztens (ChatGPT) |
|---|---|---|
| Fejlesztő | Flowyer LegalTech Kft. | OpenAI, LLC |
| Üzemeltetés helye | EU (Németország) | USA (OpenAI szerverek) |
| Adattovábbítás | Nincs (csak EU) | USA-ba történik |
| Szerződéses viszony | Megrendelő ↔ Flowyer | Megrendelő ↔ OpenAI (közvetlen) |
| Flowyer szerepe | Adatfeldolgozó | Csak technikai felület |
| Adatok tárolása | Feldolgozás idejére, utána törlés | Zero Data Retention |
| Tanításra felhasználás | Nem | Nem (OpenAI garancia) |
| Pontossági garancia | Közel 100%, de nem garantált | Nincs garancia |
| Ellenőrzési kötelezettség | Igen | Igen |
| Visszajelzési lehetőség | Igen (false positive/negative) | Nem |
Flowyer LegalTech Kft. a személyes adatok védelmének szempontjából – a fentebb meghatározott megrendeléshez, kapcsolattartáshoz megadott adatoktól eltekintve - kizárólag adatfeldolgozási tevékenységet végez (tárhely szolgáltatás), az adatkezelési döntéseket kizárólag a saját ügyfelei vonatkozásában személyes adatokat átadó adatkezelő üzleti partner (jelen esetben és a továbbiakban: Megrendelő) hozza meg, amely köteles helytállni a Flowyer LegalTech Kft.-vel szemben harmadik fél által személyes adatok kezelése vagy üzleti titok megsértése miatt érvényesített igényekért. A Flowyer LegalTech Kft. adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag Megrendelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. E körben a felek megállapodnak abban, hogy Megrendelő jóváhagyólag tudomásul veszi az adatok tárolásának és megőrzésének Flowyer LegalTech Kft. által kialakított rendszerét, amelyet ugyanakkor jogosult ellenőrizni. Flowyer LegalTech Kft. kijelenti, hogy az adatok biztonságát szolgáló technikai és szervezési intézkedések meghatározásakor és alkalmazásakor tekintettel van a technika mindenkori fejlettségére.
Megrendelő - adatkezelésre vonatkozó döntéseinek végrehajtására - műveleteket határozhat meg a Flowyer LegalTech Kft. részére (a szerződésben foglalt feladatok megfelelő ellátásának biztosítása érdekében), ugyanakkor az utasításai jogszerűségéért őt terheli felelősség. Flowyer LegalTech Kft. még az utasítás végrehajtása előtt köteles a Megrendelő figyelmét haladéktalanul felhívni, ha a Megrendelő célszerűtlen, szakszerűtlen vagy jogszabály rendelkezésébe ütköző utasítást ad. A Megrendelő által adott utasítástól a Flowyer LegalTech Kft. kizárólag (hazai vagy Európai Uniós) jogszabály eltérő rendelkezése estén térhet el.
A Flowyer LegalTech Kft. további adatfeldolgozót vehet igénybe, ugyanakkor amennyiben így tesz, akkor az igénybe vett adatfeldolgozóra ugyanazokat az adatvédelmi kötelezettségeket telepíti, mint amelyek a Megrendelő és a Flowyer LegalTech Kft. között fennállnak. Flowyer LegalTech Kft. vállalja, hogy a vele jogviszonyban álló – az adatfeldolgozásban részt vevő - személyekkel a tudomására jutott személyes adatok tekintetében szerződést köt.
Flowyer LegalTech Kft. az adatokhoz történő, illetéktelen személyek általi hozzáférést köteles megakadályozni, illetve köteles indokolatlan késedelem nélkül részletesen tájékoztatni a Megrendelőt az adatvédelmi incidens bekövetkezéséről.
Ha Megrendelő úgy dönt, hogy előfizetésének lejárta után nem kívánja meghosszabbítani előfizetését, úgy a Flowyer LegalTech Kft. „olvasási" jogosultságot biztosít számára, így az adatait eltudja érni, és a feltöltéssel megegyező módon, azt ki tudja magának másolni (egyes funkciókban elérhető exportálás funkció is).
A fentiekkel összefüggésben felmerülő jogvitát elsősorban egymás között, tárgyalások útján kell rendezni. Ha a vitát a közvetlen tárgyalások írásbeli indítványozásától számított 30 napon belül nem lehet megoldani, úgy a 2016. évi CXXX. törvény szerinti általános hatáskörrel és illetékességgel rendelkező bírósághoz lehet fordulni.
