IPMFlow Desktop – Adatkezelési Tájékoztató
1. Bevezetés és fogalommeghatározások
Jelen Adatkezelési Tájékoztató célja annak bemutatása, hogy a Trapshop Kft. (a továbbiakban: „Szolgáltató” vagy „mi”) milyen személyes adatokat kezel a szoftver értékesítése, licencelése, támogatása, valamint korlátozott online technikai funkciói során.
Jelen dokumentum élesen megkülönbözteti a következőket:
- a Szolgáltató saját adatkezelési tevékenységét, és
- az IPMFlow Desktop Vevő általi, helyi használatát a Vevő saját eszközén vagy környezetében.
A weboldalunk (ipmflow.com) általános böngészésére, a süti (cookie) kezelésre, a webanalitikára, a weboldal biztonsági szolgáltatásaira és bármely különálló felhőalapú szolgáltatásra a Szolgáltató weboldalán található adatkezelési anyagok az irányadók.
2. Az Adatkezelő adatai (az értékesítési és támogatási adatok tekintetében)
- Név: Trapshop Kft.
- Székhely: 8797 Batyk, Fő utca 34., Magyarország
- E-mail: [email protected]
- Telefon: +36 30 220 9884
- Weboldal: https://ipmflow.com
3. A szoftver működési elvei és az adatkezelői szerepek
- Helyi működés: Az IPMFlow Desktop egy telepített, elsősorban helyben futó alkalmazás. A szoftverbe bevitt adatok, így a dokumentumok, elemzések, a generált tartalom és a helyi feljegyzések a Vevő saját környezetében kerülnek tárolásra.
- Nincs rutinszerű szolgáltatói hozzáférés: A Szolgáltató nem fér hozzá, nem tekinti meg és nem tárolja központilag a Vevő asztali szoftverben létrehozott helyi üzleti feljegyzéseit.
- Vevő mint adatkezelő: A helyi üzleti tartalmak és minden olyan személyes adat tekintetében, amelyet a Vevő a szoftverbe helyez, a Vevő jár el adatkezelőként. A Szolgáltató csupán a szoftveres eszközt biztosítja.
3.1 Megosztott Tudástár és történeti elemzési másolatok
A szoftver tartalmazhat egy opcionális megosztott referenciakönyvtárat („Tudástár” / „Knowledge Base”), melyet a Vevő jogosult felhasználói tartanak fenn helyben.
- A Tudástár anyagai helyben, a Vevő saját környezetében tárolódnak.
- Ha a Vevő engedélyezi a többfelhasználós használatot ugyanazon a telepítésen belül, az aktív Tudástár elemek láthatóvá válhatnak az adott szervezet más jogosult felhasználói számára is.
- Amikor egy Tudástár elemet kiválasztanak egy elemzéshez, a szoftver megőrizhet egy helyi, az adott futtatáshoz kötődő történeti (historical) másolatot a kiválasztott anyagról, így a korábbi elemzések érthetők, auditálhatók és reprodukálhatók maradnak.
- Ezek a történeti másolatok is helyben kerülnek tárolásra, mint a Vevő feljegyzéseinek részei.
Amennyiben a Tudástár anyagai személyes adatokat, bizalmas üzleti információkat vagy üzleti titkokat tartalmaznak, a Vevő felelőssége annak eldöntése, hogy ezen adatok szerepeltetése jogszerű, szükséges és arányos-e.
3.2 Opcionális Mobile Risk PWA kiegészítő
A termékhez tartozhat egy opcionális, különálló webalkalmazás-kiegészítő („Mobile Risk PWA”) a kockázatértékelési adatok terepi rögzítéséhez.
- Eszközön belüli titkosított tárolás: A kiegészítőbe bevitt üzleti és terepi adatok a Vevő eszközén, titkosított (AES-GCM) böngésző-tárolóban („vault”) maradnak.
- Kizárólag fájl-alapú átvitel: Az adatok kizárólag a felhasználó által kontrollált, titkosított fájlokon keresztül kerülnek át az IPMFlow Desktopba és vissza. A kiegészítő nem végez szerveroldali szinkronizációt, és nem alkalmaz telemetriát, analitikát, hibajelentést (crash reporting), mobil AI-funkciót, fénykép- vagy mellékletkezelést.
- Nincs szolgáltatói hozzáférés a terepi adatokhoz: A Szolgáltató nem fér hozzá, nem tekinti meg és nem tárolja a kiegészítőben rögzített üzleti vagy terepi adatokat; ezek tekintetében a Vevő jár el adatkezelőként.
- Kiszolgálás (hosting) és technikai kapcsolati adatok: A kiegészítő statikus webes tartalomként kerül kiszolgálásra egy tárhelyszolgáltatótól. Az alkalmazás betöltésekor vagy frissítésekor a tárhelyszolgáltató kizárólag technikai kapcsolati adatokat (például IP-cím, kéréslogok) kezel a tartalom kézbesítéséhez – ugyanazon adatkör, mint egy szokásos weboldal-látogatásnál. Üzleti vagy terepi adat nem kerül továbbításra a tárhelyszolgáltatóhoz.
- Tárhelyszolgáltató: Vercel Inc. (Székhely: 340 S Lemon Ave #4133, Walnut, CA 91789, USA; weboldal: www.vercel.com).
- Nemzetközi adattovábbítás: Mivel az IPMFlow Desktop és kiegészítője világszerte elérhető, a tárhelyszolgáltató a fenti technikai kapcsolati adatokat az Egyesült Államokban vagy más országokban is kezelheti. Az ilyen adatkezelés és -továbbítás a mindenkor alkalmazandó adatvédelmi jogszabályokkal összhangban történik; ahol a jog ezt megköveteli, megfelelő adattovábbítási garanciák alapján (például az EU általános adatvédelmi rendeletének [GDPR] hatálya alá tartozó esetben az Európai Bizottság általános szerződési feltételei [SCC] szerint).
4. A Szolgáltató által kezelt adatok köre
4.1 Árajánlat, megrendelés, licencelés és számlázás
A szoftver helyi használatának megkezdése előtt a Szolgáltató a Vevő adatait megrendelés, licencelés, számlázás és teljesítés (szállítás) céljából kezeli.
- A kezelt adatok köre: cégnév, kapcsolattartó neve, cím, adószám vagy közösségi adószám, e-mail cím és IP-cím.
- Cél: megrendelés-feldolgozás, szerződés teljesítése, számlázás, fizetéskezelés és a licencfájl megküldése.
- Jogalap: GDPR 6. cikk (1) bekezdés b) pontja (szerződés teljesítése) és 6. cikk (1) bekezdés c) pontja (jogi, pl. számviteli kötelezettség teljesítése).
- Megőrzési idő: a számlákat és számviteli bizonylatokat a vonatkozó jogszabályok által megkövetelt ideig őrizzük meg.
Az értékesítéshez és pénzügyekhez igénybe vett adatfeldolgozók:
- Tárhelyszolgáltató: Rackhost Zrt. (weboldal üzemeltetése)
- Számlázórendszer: Billingo Technologies Zrt. (elektronikus számlázás és számlatárolás)
- Fizetési szolgáltató: Barion Payment Zrt. (online fizetési folyamatok lebonyolítása, szükség szerint)
- Könyvelők: Kutyavilág Kft. és Animado Kft. (könyvelési és adózási adminisztráció)
4.2 Szoftverfrissítések ellenőrzése
Indításkor a szoftver háttérlekérdezést indíthat annak ellenőrzésére, hogy elérhető-e újabb verzió.
- A kezelt adatok köre: technikai kapcsolati adatok, mint például IP-cím és a lekérdezés időpontja; helyi üzleti feljegyzések, jelszavak vagy helyi adatbázistartalmak szándékosan nem kerülnek továbbításra erre a célra.
- Cél: a biztonságos működés elősegítése és a szoftver naprakészen tartása.
- Jogalap: GDPR 6. cikk (1) bekezdés f) pont (jogos érdek).
- Megőrzési idő: a technikai naplófájlok (logok) jellemzően csak korlátozott operatív ideig kerülnek megőrzésre.
- Offline használat: internetkapcsolat hiányában az ellenőrzés csendesen meghiúsulhat, és az alkalmazás zavartalanul működik tovább helyben.
4.3 Ügyfélszolgálat és támogatás
- A kezelt adatok köre: a
[email protected]címre küldött támogatási üzenetek tartalma és mellékletei, a feladó nevével és e-mail címével együtt. - Cél: hibaelhárítás, ügyféltámogatás, kommunikáció és a termék fejlesztése.
- Jogalap: GDPR 6. cikk (1) bekezdés b) pont, és szükség esetén a 6. cikk (1) bekezdés a) pontja.
- Megőrzési idő: az utolsó támogatási interakciótól számított legfeljebb 2 év, kivéve, ha jogszabály hosszabb megőrzést ír elő, vagy az esetleges viták rendezéséhez ez elengedhetetlen.
- Támogatási kommunikációhoz használt adatfeldolgozó: Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Írország) – a Google Workspace e-mail és kapcsolódó üzleti kommunikációs eszközeinek használata a támogatási üzenetek fogadására és kezelésére.
Fontos gyakorlati figyelmeztetés: A Vevőnek kerülnie kell szükségtelen személyes adatok, teljes bizalmas fájlok vagy egész dokumentumkönyvtárak elküldését a támogatás részére. Ahol csak lehetséges, az adatok kitakarása (redakciója) és minimalizálása javasolt.
5. AI funkciók és harmadik fél szolgáltatók (OpenRouter vagy a Vevő által választott más AI szolgáltatás)
- BYOK modell: Felhőalapú AI funkciók használatához a Vevő saját API kulcsot biztosít és kezel. Ha a Vevő helyi AI szolgáltatót állít be, a helyi végpontot és annak adatkezelését a Vevő kontrollálja.
- Közvetlen irányítás: Az AI-hoz kapcsolódó bemenetek a Vevő saját környezetéből az alkalmazás beállításaiban kiválasztott AI szolgáltatóhoz kerülnek továbbításra. OpenRouter felhő opció esetén a kérések az OpenRouterhez mennek, és onnan továbbíthatók a kiválasztott modell szolgáltatójához. A Szolgáltató nem üzemeltet kötelező felhőalapú közvetítő hubot (cloud relay) ezen AI hívásokhoz.
- AI Privacy Shield az OpenRouter-kéréseknél: Az alkalmazás az ismert, strukturált identitásmezők valós értékét visszafordítható, futtatásonként elkülönített helyettesítő tokenre cseréli a felhőhívás előtt. Ez a szolgáltató és az ügyfél cégnevét, a szolgáltatói engedélyt és kapcsolattartói adatot, a szolgáltatói és ügyfélcímet, az ügyfél e-mail-címét, a telephelynevet, a szakértő/felhasználó nevét és a veszélysorok felelősét fedi; a felismerhető e-mail-címekre további korlátozott szöveges maszkolás is fut. A tokenek a szemantikai kategóriát és a futtatáson belüli azonosságot megőrzik, a sikeres választ pedig az alkalmazás helyben visszaállítja a valós értékekre. A helyi AI szolgáltatóhoz irányított kérések ezt a felhővédelmi réteget nem használják.
- A Privacy Shield korlátozott garanciája: Ez célzott pszeudonimizálás, nem általános DLP-, NER-, OCR- vagy anonimizáló rendszer. A feltöltött PDF-ek és képek belső tartalma, illetve
file_data/image data URL adata változatlanul kerül a kiválasztott szolgáltatóhoz. A kiválasztott Tudástár-dokumentumokban az ismert értékek és felismerhető e-mailek maszkolása csak best-effort, teljességi garancia nélkül történik. Az ismeretlen személy- vagy cégnevek tetszőleges szabad szövegben, táblázatcellában, fájltartalomban vagy korábbi AI-szövegben nem garantáltan felismerhetők. E tartalmak adatminimalizálása, szükség szerinti kitakarása és felhőbe küldésük jogszerűsége továbbra is a Vevő felelőssége. - Mi kerülhet továbbításra: a fenti célzott pszeudonimizálás és korlátai mellett promptok és szabad szöveges utasítások, feltöltött fájlok tartalma (beleértve táblázatos fájlokat, PDF-eket és képeket), a Vevő által megadott telephelyi adatok, a munkafolyamathoz szükséges generált köztes elemzési kontextus, valamint a felhasználó által az adott elemzéshez aktívan kiválasztott Tudástár (Knowledge Base) referenciaanyagok.
- Lehetséges adatkategóriák: Attól függően, hogy a Vevő mit visz be vagy tölt fel, az AI bemenetek tartalmazhatnak üzleti feljegyzéseket, telephelyneveket vagy címeket, kártevőaktivitási megfigyeléseket, munkavállalói vagy kapcsolattartói neveket, fotókat vagy dokumentumszöveget, üzletileg bizalmas információkat, üzleti titkokat és személyes adatokat. A szoftver nem tudja automatikusan eldönteni, hogy egy feltöltött fájl személyes vagy bizalmas adatot tartalmaz-e.
- Szolgáltatói szerepek és feltételek: Az OpenRouter és bármely továbbított modell szolgáltatója a saját feltételei, adatvédelmi tájékoztatói, megőrzési szabályai és biztonsági vállalásai szerint kezeli az AI bemeneteket. A Vevő felelőssége ezen szolgáltatói feltételek áttekintése használat előtt, ideértve az esetleges nemzetközi adattovábbítási következményeket is.
- Nincs rutinszerű szolgáltatói betekintés: A Szolgáltató nem vizsgálja meg rutinszerűen a Vevő AI-ba juttatott bemeneteit, és azokat a saját felhasználására sem tárolja. A helyi alkalmazás az elemzéstörténetet, a kiválasztott Tudástár-pillanatképeket és a generált kimeneteket a Vevő eszközén vagy környezetében tárolhatja, hogy a munkafolyamat auditálható és reprodukálható maradjon.
- Vevői felelősség és jogalap: Amennyiben a Vevő személyes adatokat, bizalmas információkat vagy üzleti titkokat foglal az AI bemenetekbe, a Vevő felelőssége annak biztosítása, hogy rendelkezzen megfelelő jogalappal, szükséges tájékoztatásokkal vagy engedélyekkel, valamint belső felhatalmazással erre vonatkozóan.
- Minimalizálási ajánlás: A Vevőnek csak azokat az adatokat szabad bevonnia, amelyek feltétlenül szükségesek a feladathoz, és feltöltés vagy promptküldés előtt lehetőség szerint el kell távolítania, ki kell takarnia vagy anonimizálnia kell a szükségtelen személyes adatokat, teljes dokumentumkönyvtárakat, hitelesítő adatokat és nem kapcsolódó bizalmas tartalmat.
6. Adatbiztonság
- Szolgáltatói rendszerek: Megfelelő technikai és szervezési intézkedéseket alkalmazunk az általunk felügyelt rendszerekben, így az ügyfélfiókok védelme, a végpontkapcsolati védelem és az ésszerű hozzáférés-szabályozás terén.
- Vevői rendszerek: Mivel a szoftver munkaadatai alapvetően a Vevő saját gépén vagy környezetében találhatók, a Vevő felelős a helyi hozzáférés-szabályozásért, az eszközök biztonságáért, a biztonsági mentésekért, az adatmegőrzésért és a belső jogosultságok kezeléséért.
7. Az érintettek jogai
A Szolgáltató által kezelt személyes adatok tekintetében az érintetteket a vonatkozó jogszabályok keretei között megilletheti a hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság és a tiltakozás joga.
Amikor az adatok megőrzését jogi kötelezettség írja elő, bizonyos törlési kérelmeket megtagadhatunk, vagy részben korlátozhatunk.
Panasszal a hatáskörrel rendelkező felügyeleti hatósághoz, többek között a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) lehet fordulni: https://www.naih.hu/
8. Jelen dokumentum módosításai
Amennyiben a termék jogi vagy technikai működése lényegesen megváltozik, a Szolgáltató frissítheti ezt a dokumentumot, és a felülvizsgált verziót az alkalmazásban, a weboldalon, vagy egyéb megfelelő módon közzéteszi.