Adatkezelési Tájékoztató

Adatvédelmi tájékoztató — HelloJog Platform

1. Az adatkezelő

Adatkezelő: Replit, Inc.

Weboldal / alkalmazás: HelloJog Platform

Az adatkezelő felelős a személyes adatok kezeléséért a jelen tájékoztatóban foglaltak szerint.

2. Az adatkezelés alapelvei

Az adatkezelő az adatkezelés során az alábbi alapelveket követi:

• jogszerűség
• tisztességes és átlátható adatkezelés
• célhoz kötöttség
• adattakarékosság
• pontosság
• korlátozott tárolhatóság
• integritás és bizalmas jelleg

3. A kezelt adatok köre

A szolgáltatás igénybevétele során az alábbi adatok kerülhetnek kezelésre:

Regisztrációs és kapcsolattartási adatok

• név
• e-mail cím
• jelszó

Konzultációhoz kapcsolódó adatok

• a felhasználó által megadott jogi kérdés
• konzultáció időpontja
• a konzultációhoz kapcsolódó kommunikáció

Technikai adatok

• IP-cím
• böngésző adatok
• eszköz adatok
• naplófájlok

4. Az adatkezelés célja

Az adatkezelés céljai különösen:

• felhasználói fiók létrehozása
• konzultációk megszervezése
• kommunikáció a felhasználóval
• szolgáltatás működtetése
• pénzügyi teljesítés
• jogi kötelezettségek teljesítése
• szolgáltatás fejlesztése

5. Az adatkezelés jogalapja

Az adatkezelés jogalapja az alábbi lehet:

• a felhasználó hozzájárulása
• szerződés teljesítése
• jogi kötelezettség teljesítése

6. Az adatok tárolása

Az adatok a Replit Inc. szerverein kerülnek tárolásra.

A szolgáltató megfelelő biztonsági intézkedéseket alkalmaz az adatok védelme érdekében.

7. Adatfeldolgozók

A szolgáltatás működése során az alábbi típusú adatfeldolgozók vehetnek részt:

• tárhelyszolgáltató
• fizetési szolgáltató
• videókommunikációs szolgáltató
• e-mail szolgáltató
• analitikai szolgáltató

Az adatfeldolgozókkal az adatkezelő írásbeli adatfeldolgozói szerződést köt.

8. Adatmegőrzési idő

A személyes adatokat az adatkezelő csak a szükséges ideig tárolja. Általános esetben:

• a konzultáció lezárultáig
• legfeljebb a felhasználói fiók fennállásáig
• jogszabályban előírt megőrzési időig

9. A felhasználók jogai

A felhasználók jogosultak:

• hozzáférést kérni személyes adataikhoz
• kérni azok helyesbítését
• kérni törlésüket
• kérni az adatkezelés korlátozását

A kérelmeket az adatkezelő a lehető legrövidebb időn belül, de legfeljebb 30 napon belül kezeli.

10. Adatbiztonság

Az adatkezelő az alábbi technikai és szervezési intézkedéseket alkalmazza az adatok védelmére:

• titkosított adatkapcsolat
• hozzáférés-kezelés
• rendszeres biztonsági mentések
• biztonsági naplózás

11. Adatvédelmi incidensek

Adatvédelmi incidens esetén az adatkezelő haladéktalanul megteszi a szükséges intézkedéseket.

11.1. Az incidens észlelése

Adatvédelmi incidens minden olyan esemény, amely a személyes adatok jogosulatlan hozzáféréséhez, elvesztéséhez, megsemmisüléséhez, módosításához vagy jogosulatlan nyilvánosságra kerüléséhez vezet.

Az incidens észlelhető például:

• belső rendszerek monitorozása során
• a platform üzemeltetője vagy munkatársai által
• jogász partnerek jelzése alapján
• felhasználói bejelentés révén
• informatikai szolgáltató értesítése útján

11.2. Az incidens azonnali rögzítése

Az incidens észlelését követően a szolgáltató köteles azt haladéktalanul dokumentálni, különösen az alábbi adatokkal:

• az incidens időpontja
• az incidens jellege
• az érintett adatkörök
• az érintett személyek becsült száma
• az incidens feltételezett oka

Az incidensekről incidensnyilvántartást kell vezetni.

11.3. Elsődleges kivizsgálás és kockázatértékelés

A szolgáltató megvizsgálja:

• milyen adatok érintettek (pl. név, e-mail, jogi ügy leírása)
• hány érintettet érinthet az incidens
• történt-e tényleges adat-hozzáférés
• fennáll-e az érintettek jogaira nézve kockázat

Ennek alapján eldönthető, hogy szükséges-e hatósági bejelentés.

11.4. Az incidens elhárítása

A szolgáltató haladéktalanul megteszi a szükséges intézkedéseket az incidens megszüntetésére, például:

• jogosulatlan hozzáférések megszüntetése
• rendszerhozzáférések korlátozása
• érintett fiókok zárolása
• technikai sérülékenység megszüntetése
• adatmentések visszaállítása

11.5. Hatósági bejelentés (NAIH)

Ha az incidens kockázattal jár az érintettek jogaira nézve, a szolgáltató köteles az incidenst 72 órán belül bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH).

A bejelentésnek tartalmaznia kell többek között:

• az incidens jellegét
• az érintett adatok körét
• az érintettek becsült számát
• az alkalmazott intézkedéseket

11.6. Az érintettek tájékoztatása

Ha az incidens magas kockázattal jár az érintettek számára (pl. érzékeny jogi információk kiszivárgása), a szolgáltató köteles az érintett felhasználókat is tájékoztatni.

A tájékoztatásnak tartalmaznia kell:

• az incidens rövid leírását
• az érintett adatköröket
• a lehetséges következményeket
• az ajánlott védelmi lépéseket
• a szolgáltató elérhetőségét

11.7. Utólagos elemzés és megelőzés

Az incidens lezárása után a szolgáltató:

• elemzi az incidens okát
• értékeli a megtett intézkedéseket
• szükség esetén módosítja az adatbiztonsági eljárásokat
• technikai vagy szervezeti fejlesztéseket vezet be

Cél: a hasonló incidensek jövőbeni megelőzése.

12. Hatósági jogorvoslat

A felhasználó panasszal fordulhat a következő hatósághoz:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9–11.
Weboldal: https://naih.hu

13. A tájékoztató módosítása

Az adatkezelő fenntartja a jogot a jelen adatkezelési tájékoztató módosítására.

A módosítások a közzétételt követően lépnek hatályba.

16. Online konzultációk rögzítése

A konzultációk alapértelmezés szerint nem kerülnek rögzítésre.

Amennyiben a szolgáltató minőségbiztosítási, oktatási vagy jogi védelmi célból rögzíteni kíván egy konzultációt, arról a felhasználót a konzultáció megkezdése előtt egyértelműen tájékoztatni kell.

Rögzítés csak az alábbi feltételek teljesülése esetén történhet:

• a felhasználó előzetes és kifejezett hozzájárulása
• a rögzítés céljának egyértelmű meghatározása
• korlátozott hozzáférés biztosítása

A rögzített anyagok:

• biztonságos módon kerülnek tárolásra
• kizárólag a meghatározott célra használhatók
• a szükséges idő elteltével törlésre kerülnek

A felhasználó bármikor visszavonhatja hozzájárulását a rögzítéshez.

17. Mesterséges intelligencia használata a platformon

A szolgáltató a platform működtetése során bizonyos funkciók esetében automatizált vagy mesterséges intelligencián alapuló rendszereket alkalmazhat, például:

• kérdések kategorizálása
• időpontfoglalás optimalizálása
• ügyféltámogatási folyamatok támogatása
• anonim statisztikai elemzések

Az AI rendszerek nem hoznak a felhasználóra nézve joghatással járó automatizált döntéseket.

A szolgáltató biztosítja, hogy:

• az AI rendszerek működése megfeleljen a GDPR rendelkezéseinek
• a személyes adatok kezelése minimalizált legyen
• az adatok megfelelő anonimizálása vagy pszeudonimizálása megtörténjen

A felhasználó kérheti az automatizált adatkezeléssel kapcsolatos további tájékoztatást.