Adatkezelési tájékoztató

Áttekintés

A dokumentum az EU általános adatvédelmi rendelete (az (EU) 2016/679 rendelet, „GDPR") 13. és 14. cikkének, valamint a Litván Köztársaság személyes adatok jogi védelméről szóló törvényének megfelelően készült. A következő fejezet azonosítja az adatkezelőt; az oldal többi része az egyes témaköröket részletezi.

Ki az adatkezelő

A szolgáltatást a MB Libranet üzemelteti, amely egy Vilnius, Lithuania székhelyű kis társaság, és a GDPR 4. cikk (7) bekezdése értelmében az egyetlen adatkezelő. Adatvédelmi kérdésekkel forduljon hozzánk a [email protected] címen. A jogi személyre vonatkozó teljes adatok – beleértve a cégjegyzékszámot és az adószámot – a céginformációs oldalon találhatók.

Nem neveztünk ki adatvédelmi tisztviselőt, mivel adatkezelésünk nem éri el a GDPR 37. cikkében meghatározott küszöbértéket. Az adatvédelemért felelős személy a fenti e-mail-címen érhető el.

Milyen adatokat kezelünk

A következő korlátozott személyes adatkategóriákat kezeljük, az alább feltüntetett jogalapon:

• Fiókadatok. Az Ön neve, e-mail-címe és bcrypt-kivonatolt jelszava (vagy nyilvános jelkódkulcsa). Jogalap: Szerződés teljesítése – GDPR 6. cikk (1) bekezdés b) pont.
• Ön által létrehozott számla- és ügyféladatok. Kizárólag az Ön által megadott adatok: ügyfélnevek, címek, adószámok, tételsorok, végösszegek, fizetési állapot. Jogalap: Szerződés teljesítése – GDPR 6. cikk (1) bekezdés b) pont.
• Munkamenet- és biztonsági sütik. Egy aláírt munkamenet-süti és egy CSRF-token-süti, amelyek fenntartják a bejelentkezési állapotot és megakadályozzák a hamisított kéréseket. Jogalap: Feltétlenül szükséges – GDPR 6. cikk (1) bekezdés f) pont, jogos érdek.
• Szervernaplók. IP-cím, böngészőazonosító és kérésmetaadatok, amelyeket rövid ideig őrzünk meg visszaélések megelőzése és hibakeresés céljából. Jogalap: Jogos érdek – GDPR 6. cikk (1) bekezdés f) pont.
• VIES-ellenőrzési napló. Amikor Ön egy uniós vevő közösségi adószámát ellenőrzi, tároljuk a kérésazonosítót, a lekérdezett országot és adószámot, valamint a választ, bizonyítékként a 904/2010/EU tanácsi rendelet 31. cikke alapján. Jogalap: Jogi kötelezettség teljesítése – GDPR 6. cikk (1) bekezdés c) pont.

Ezen adatok egy része nem Öné, hanem számlázott ügyfeleihez tartozik (GDPR 14. cikk). A forrás Ön – mi csak azért kapjuk meg azokat, mert Ön bevitte a számláiba. Az adatokat az Önnel kötött szerződésünk alapján és az Ön mint vállalkozó törvényi előírásoknak megfelelő számlavezetetéshez fűződő jogos érdeke alapján kezeljük.

Adatfeldolgozók

Szándékosan kis számú adatfeldolgozóra támaszkodunk. Egyikük sem hirdetési vagy analitikai hálózat. Mindegyikük adatfeldolgozói szerződéssel kötött, és csak a feladatához szükséges minimális adatot kezeli.

SMTP2GO (tranzakciós e-mail)

Amikor Ön e-mailben küld számlát, vagy rendszerértesítést kap, az üzenetet az SMTP2GO EU-s régióján (mail-eu.smtp2go.com) keresztül továbbítjuk. Megosztott adatok: feladó, fogadó e-mail-cím, tárgy, törzsszöveg és az esetleges PDF-melléklet. Az SMTP2GO Inc. Új-Zélandon bejegyzett vállalat, EU infrastruktúrával; az adattovábbításra standard szerződéses klauzulák vonatkoznak.

Cloudflare Turnstile (botellenes védelem)

A /login és /register űrlapokon Cloudflare Turnstile-ellenőrzés véd az automatizált visszaélések ellen. A widget a challenges.cloudflare.com domainről töltődik be, és egy rövid életű tokent vált a Cloudflare siteverify végpontjával. Megosztott adatok: az Ön IP-címe, böngészőazonosítója és egy egyszeri kihívástoken. A Turnstile nem állít be nyomkövetési sütiket, és nem reklámcélokra szolgál. A Cloudflare, Inc. amerikai székhelyű; az adattovábbításra az EU–USA adatvédelmi keretrendszer és standard szerződéses klauzulák vonatkoznak.

bunny.net (betűkészlet-CDN)

Az oldal két webes betűkészletet tölt be a fonts.bunny.net domainről, amelyet a BunnyWay d.o.o. (Szlovénia, EU) üzemeltet, adatvédelmi szempontból kedvező betűkészlet-CDN-ként. Megosztott adatok: az Ön IP-címe és böngészőazonosítója a betűkészlet-kérés idejére. Lásd az adatvédelmi nyilatkozatukat.

Európai Bizottság VIES (közösségi adószám ellenőrzése)

Amikor Ön egy vevő közösségi adószámát ellenőrzi, az Ön által megadott országkód és adószám elküldésre kerül az Európai Bizottság HÉA-információcsere-rendszeréhez (VIES) az ec.europa.eu címen. A fogadó fél uniós intézmény; az adatkezelésre a 2018/1725/EU rendelet az irányadó.

Tárhelyszolgáltatás és PDF-előállítás (házon belül)

Az alkalmazás az Európai Unión belüli dedikált infrastruktúrán fut. A PDF-számlákat saját szervereinken állítjuk elő az mPDF segítségével. Harmadik feles PDF-szolgáltatás vagy tárhelyviszonteladó nem vesz részt a folyamatban.

Semmilyen Google-szolgáltatás. Sem Meta, sem Facebook pixel. Sem analitikai SDK. Sem harmadik feles hibajelentő szolgáltatás.

Sütik

Kizárólag feltétlenül szükséges sütiket helyezünk el. Az elektronikus hírközlési irányelv (2002/58/EK) 5. cikkének (3) bekezdése alapján a feltétlenül szükséges sütikhez nem szükséges hozzájárulás, ezért nem jelenik meg sütibanner.

Nincs analitikai süti. Nincs reklámsüti. Nem helyezünk el harmadik feles sütiket. A 04. szakaszban leírt Cloudflare Turnstile-ellenőrzés beállíthat saját, rövid életű sütit a challenges.cloudflare.com alá kötve; ez a süti kizárólag a botellenes ellenőrzéshez szükséges, nyomkövetési célra nem használjuk.

Adatmegőrzési idő

A fiók- és számlázási adatokat az Ön fiókjának fennállása alatt őrizzük meg. A fiók törlése esetén a személyes adatok főkörét 30 napon belül töröljük, kivéve, ha a litván számviteli jog (amely a számlák megőrzésére 10 éves megőrzési időt ír elő) megköveteli egyes dokumentumok hosszabb megőrzését – ez esetben az érintett nyilvántartást hozzáférés-korlátozott archívumba helyezzük, és csak a törvényes határidőig tartjuk meg.

A szervernaplókat legfeljebb 30 napig őrizzük, kivéve, ha azokat egy folyamatban lévő biztonsági vizsgálathoz hosszabb ideig kell megőrizni. A VIES-ellenőrzési napló sorait legalább 10 évig őrizzük a 904/2010/EU tanácsi rendelet bizonyítéki követelményeinek teljesítése érdekében.

Az Ön GDPR szerinti jogai

A GDPR alapján Önt megilleti a hozzáférés (15. cikk), a helyesbítés (16. cikk), a törlés (17. cikk), az adatkezelés korlátozása (18. cikk), az adathordozhatóság (20. cikk) és a tiltakozás (21. cikk) joga. Ahol az adatkezelés hozzájáruláson alapul, azt bármikor visszavonhatja (7. cikk (3) bekezdés).

Önt a GDPR 77. cikke alapján megilleti a felügyeleti hatósághoz benyújtott panasz joga – rendszerint ahhoz, amelyik abban az EU/EGT-tagállamban illetékes, ahol él, dolgozik, vagy ahol az állítólagos jogsértés történt. Mivel az üzemeltető Litvániában van bejegyezve, a vezető felügyeleti hatóság az Állami Adatvédelmi Felügyelőség (State Data Protection Inspectorate of Lithuania, VDAI).

Az egyes jogok érvényesítésének lépéseiről, beleértve a határidőket és a kérelem tartalmát, a GDPR-jogok oldalán talál részletes útmutatót.

Automatizált döntéshozatal

A FreeBillGen nem alkalmaz automatizált döntéshozatalt vagy profilalkotást a GDPR 22. cikke értelmében. Semmilyen, az Önre nézve jogi vagy hasonlóan jelentős hatással járó döntés nem születik kizárólag automatizált eszközökkel. Nem végzünk pontozást, rangsorolást vagy profilalkotást felhasználók tekintetében reklám, hitelértékelés, csalásfelderítés vagy bármely más célból.

Adatbiztonság

Technikai és szervezési intézkedések (GDPR 32. cikk):

• A jelszavak bcrypt-kivonatként tárolódnak; a jelkódok (WebAuthn) is támogatottak.
• Opcionális időalapú kétfaktoros hitelesítés (2FA) bármely TOTP-kompatibilis hitelesítő alkalmazással.
• CSRF-tokenek minden állapotmódosító kérésnél.
• Parametrizált lekérdezések az egész alkalmazásban – nincs karakterláncokból összerakott SQL.
• HTTPS/TLS az átvitel során; HTTP Strict Transport Security (HSTS) engedélyezve.
• Tartalombiztonsági szabályzat (CSP) és egyéb biztonsági fejlécek.
• Alkalmazásszintű eseménynapló a biztonsági szempontból érzékeny műveletekhez.
• Titkosított adatbázis-biztonsági mentések korlátozott hozzáféréssel.

Nemzetközi adattovábbítás

A személyes adatokat alapértelmezés szerint az Európai Unión belül kezeljük. A 04. szakaszban megnevezett adatfeldolgozók közül kettő esetén harmadik országba történő adattovábbítás fordulhat elő:

• Cloudflare Turnstile – adattovábbítás az Egyesült Államokba, az EU–USA adatvédelmi keretrendszer és az Európai Bizottság standard szerződéses klauzulái alapján.
• SMTP2GO – az üzemeltető vállalat Új-Zélandon van bejegyezve (az Európai Bizottság megfelelőségi határozatával rendelkező ország), és EU-s régiós infrastruktúrát alkalmaz a kézbesítéshez. Adattovábbítás esetén standard szerződéses klauzulák alkalmazandók.

Harmadik országba nem kerül sor más adattovábbításra. Ha ez megváltozna, a GDPR V. fejezete szerinti megfelelő adattovábbítási mechanizmust alkalmazzuk, és az új adattovábbítás megkezdése előtt frissítjük ezt a tájékoztatót.

Gyermekek

A FreeBillGen üzleti eszköz, és nem 16 év alatti gyermekek számára készült. Nem gyűjtünk tudatosan személyes adatokat gyermekektől.

A tájékoztató módosításai

Lényeges módosítások esetén az aktualizált szöveget az ezen az oldalon tesszük közzé, új „utolsó frissítés" dátummal, és e-mailben értesítjük az aktív fiókkal rendelkező felhasználókat. Az érvényes verzió az oldal tetején feltüntetett dátummal azonosítható.

Kapcsolat

Adatvédelmi kérdések és jogérvényesítési kérelmek: [email protected]. Postai cím és teljes jogi személyadatok a céginformációs oldalon találhatók.