SURWAY'R Back to home

Érintetti jogok gyakorlásának eljárásrendje (Data Subject Request Policy)

Dokumentum azonosítója: SURWAYR-DSR-v1.0 Hatályba lépés dátuma: 2026. március 28. Utoljára felülvizsgálva: 2026. március 28. Felelős: Adatvédelmi tisztviselő (DPO) / privacy@surwayr.com

1. Célkitűzés és hatály

Ez a dokumentum meghatározza azt az eljárásrendet, amellyel a SURWAY’R megválaszolja az érintett személyek GDPR III. fejezete szerinti joggyakorlási kérelmeit. Az eljárás vonatkozik: - A SURWAY’R platform regisztrált felhasználóira (mint adatkezelő) - Az olyan személyekre, akiknek adatait a SURWAY’R kezeli (pl. marketing-listák)

Fontos határ: A SURWAY’R Felhasználóinak felmérésein keresztül gyűjtött válaszadók adatai tekintetében a SURWAY’R adatfeldolgozóként jár el. Ezen érintetteknek elsősorban a Felhasználóhoz (az adatkezelőhöz) kell fordulniuk. A SURWAY’R a Felhasználó utasítása alapján nyújt technikai segítséget (GDPR 28(3)(e) cikk).

2. Érintetti jogok katalógusa

2.1 Hozzáférési jog (GDPR 15. cikk)

Mit jelent: Az érintett kérheti megerősítését arról, hogy kezeljük-e az adatait, és ha igen, másolatot kaphat a kezelt adatokról.

Teljesítési kötelezettség: Az érintettet a következőkről kell tájékoztatni: - Az adatkezelés célja és jogalapja - Az érintett adatok kategóriái - A címzettek és adatfeldolgozók köre - A tervezett megőrzési idő - Az érintett jogai (helyesbítés, törlés, korlátozás, tiltakozás) - Ha az adatokat nem közvetlenül az érintettől gyűjtötték: az adatforrás

Határidő: 30 nap (legfeljebb további 60 nappal meghosszabbítható, indoklással) Díj: Ingyenes; ismételt vagy aránytalan kérelem esetén ésszerű díj számítható fel

2.2 Helyesbítési jog (GDPR 16. cikk)

Mit jelent: Az érintett kérheti pontatlan személyes adatainak helyesbítését, hiányos adatainak kiegészítését.

Belső folyamat: 1. Azonosítás (melyik adatmező, melyik rekord) 2. Helyesbítés elvégzése az adatbázisban 3. Megerősítő visszajelzés az érintettnek 4. Ha az adatot harmadik félnek is továbbítottuk: értesítés az adatfeldolgozónak (GDPR 19. cikk)

Határidő: 30 nap

2.3 Törlési jog / „Elfeledtetéshez való jog” (GDPR 17. cikk)

Mit jelent: Az érintett kérheti adatainak törlését, ha: - Az adatok már nem szükségesek az eredeti célhoz - Az érintett visszavonja hozzájárulását (és nincs más jogalap) - Az érintett tiltakozik és nincs elsőbbséget élvező jogos érdek - Az adatokat jogellenesen kezelték

Törlési folyamat: 1. Kérelem fogadása és azonosítás 2. Jogalap ellenőrzése (van-e kivétel: jogi kötelezettség, közérdek, stb.) 3. Ha nincs kivétel: adatok törlése minden aktív rendszerből 4. Biztonsági mentések: anonimizálás a mentési ciklus lejártával (legkésőbb 90 napon belül) 5. Harmadik felek értesítése (ha az adatokat megosztottuk) 6. Megerősítés az érintettnek

Jogilag elismert kivételek (törlés megtagadható): - Magyar/EU számviteli kötelezettség (8 éves megőrzés) - Jogi igény előterjesztéséhez, érvényesítéséhez szükséges adatok - Közérdekű tevékenység vagy kutatás

2.4 Adatkezelés korlátozásához való jog (GDPR 18. cikk)

Mit jelent: Az érintett kérheti, hogy az adatokat csak tároljuk, de ne kezeljük tovább, ha: - Vitatja az adatok pontosságát (a pontosság ellenőrzéséig) - Jogellenesnek tartja a kezelést, de törlés helyett korlátozást kér - A Szolgáltatónak már nincs szüksége az adatokra, de az érintettnek jogi igénye miatt igen - Az érintett tiltakozást nyújtott be (a mérlegelési eljárás ideje alatt)

Technikai megvalósítás: Az érintett fiókja „zárolva” állapotba kerül; az adatok nem törlődnek, de automatizált feldolgozás nem futhat rajtuk.

2.5 Adathordozhatósági jog (GDPR 20. cikk)

Mit jelent: Az érintett kérheti az általa megadott adatokat strukturált, géppel olvasható formátumban (JSON vagy CSV), és joga van azokat másik adatkezelőhöz továbbítani.

Hatály: Kizárólag azokra az adatokra vonatkozik, amelyeket az érintett maga adott meg, és amelyek kezelési jogalapja szerződés teljesítése vagy hozzájárulás.

Teljesítési folyamat: 1. Kérelem azonosítása 2. Export generálása: fiókadatok + tevékenységnapló JSON/CSV formátumban 3. Biztonságos letöltési link küldése (max. 7 napos érvényes link)

2.6 Tiltakozáshoz való jog (GDPR 21. cikk)

Mit jelent: Az érintett tiltakozhat az adatkezelés ellen, ha az jogalapja „jogos érdek” (6(1)(f)) vagy közvetlen üzletszerzési célú.

Közvetlen marketing esetén: Az érintett tiltakozása esetén az adatokat azonnal törölni kell a marketing-listáról — kivétel nem megengedett.

Jogos érdeken alapuló kezelés esetén: A Szolgáltató mérlegeli a saját jogos érdekét az érintett érdekeivel szemben. Ha az érintett érdekei az elsőbbséget élveznek, az adatkezelést leállítjuk.

2.7 Automatizált döntéshozatallal kapcsolatos jogok (GDPR 22. cikk)

Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve jogi vagy jelentős hatással járna. A SURWAY’R automatizált AI elemzési funkciói nem hoznak ilyen hatályú döntéseket; az AI kimenetei mindig emberi értékelés tárgyát képezik.

3. Kérelem-benyújtás folyamata

3.1 Csatornák

Csatorna Elérhetőség Válaszidő
E-mail privacy@surwayr.com 5 munkanap (visszaigazolás), 30 nap (érdemi válasz)
Fiók UI (tervezett) Bejelentkezés → Adatvédelem → Kérelem benyújtása Automatikus visszaigazolás, 30 nap

3.2 Személyazonosság igazolása

A kérelmező személyazonosságát igazolni kell a kérelem feldolgozása előtt: - Belső felhasználó: A regisztrált e-mail-cím felőli kérelem önmagában elegendő azonosításhoz - Harmadik fél érintett: Neve + e-mail-cím + egy kiegészítő azonosító (pl. az adatbázisban tárolt tranzakció-azonosító) - Ügynökön keresztül (pl. ügyvéd): Meghatalmazás csatolása szükséges

3.3 Nyilvántartás

Minden beérkezett kérelmet a DPO/adatvédelmi felelős naplóz, tartalmazza: - Kérelem beérkezésének időpontja - Kérelem típusa - Azonosítás módja és eredménye - Teljesítési határidő - Megtett intézkedés és dátuma

4. Megtagadás esetén követendő eljárás

Ha a kérelmet megtagadjuk (pl. törlési kivétel érvényesül), az érintettet a következőkről kell tájékoztatni: 1. A megtagadás konkrét indoka (jogalap megjelölésével) 2. Az érintett jogorvoslati lehetőségei (panasztétel NAIH-nál, bírósági út) 3. A tájékoztatást a 30 napos határidőn belül kell megadni

5. Érintettség a SURWAY’R felmérésein keresztül

Ha valaki úgy tud róla, hogy egy SURWAY’R platformon készített felmérésben válaszadóként vett részt, az érintetti jogai érvényesítéséhez: 1. Elsőként a Felhasználóhoz (a felmérés tulajdonosához) forduljon, aki az adatkezelő. 2. Ha a Felhasználó nem azonosítható, a SURWAY’R legjobb erőfeszítések alapján asszisztál az azonosításban és a törlési kérelemnél, amennyiben a kérelem azonosítható formában beérkezik.

6. Kapcsolódó dokumentumok