Jelen tájékoztató a Horváth Tamás egyéni vállalkozó által nyújtott Athlon elnevezésű sportszövetség-menedzsment szolgáltatás keretében végzett személyesadat-kezelés szabályait ismerteti. A tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezéseivel összhangban készült.
§ 1Az adatkezelő és az adatvédelmi tisztviselő
Név: Horváth Tamás egyéni vállalkozó (a továbbiakban: Athlon vagy Szolgáltató)
Székhely: 2521 Csolnok, Szénbányászok útja 57.
Adószám: 56819650-1-31
Képviselő: Horváth Tamás
E-mail: info@athlon.hu
Telefon: +36 20 339 6404
NAIH-azonosító: nincs (a Szolgáltató NAIH-nyilvántartásba vétele a 2018. május 25. utáni szabályozás szerint nem kötelező; adatvédelmi nyilvántartás vezetésére a GDPR 30. cikke szerinti belső adatkezelési nyilvántartás formájában kerül sor).
Adatvédelmi tisztviselő (DPO): Horváth Tamás. A DPO elérhetősége megegyezik a fenti általános elérhetőséggel (info@athlon.hu, illetve +36 20 339 6404). Bármilyen adatvédelmi kérdéssel, jogérvényesítéssel vagy panasszal kapcsolatban a fenti e-mail címen lehet a DPO-hoz fordulni.
§ 2Az Athlon kettős szerepe — adatkezelő és adatfeldolgozó
Az Athlon az általa kezelt adatok különböző köreire vonatkozóan eltérő minőségben jár el. Ennek megértése azért fontos, mert a GDPR szerinti jogok gyakorlásának pontos címzettje attól függ, hogy mely adatokról van szó.
2.1. Az Athlon mint Adatkezelő. Az Athlon önálló adatkezelőként jár el az alábbi adatok tekintetében:
- az Athlon szolgáltatást előfizető sportszövetségi és klubi adminisztrátorok (mint szerződő felek) regisztrációs és számlázási adatai;
- az Athlon weboldalának látogatóira vonatkozó technikai adatok (lásd a Cookie-szabályzatot);
- az ügyfélszolgálati megkeresések során rendelkezésre bocsátott adatok.
2.2. Az Athlon mint Adatfeldolgozó. Az Athlon adatfeldolgozóként jár el az általa kiszolgált sportszövetség vagy sportklub (mint Adatkezelő) megbízásából, az adott szervezet tagjainak (sportolók, edzők, bírák stb.) adataira vonatkozóan. Ezen adatok kezelésének célját és eszközeit nem az Athlon, hanem a szövetség / klub mint Adatkezelő határozza meg. Ezt a jogviszonyt a Felek között létrejövő adatfeldolgozói szerződés (DPA) szabályozza a GDPR 28. cikkével összhangban.
A jelen tájékoztató mindkét szerepkörre kiterjed; ahol szükséges, az adott szakasz kifejezetten megjelöli, hogy az Athlon adatkezelőként vagy adatfeldolgozóként jár el.
§ 3A kezelt személyes adatok köre
3.1. Sportszövetségi / klubi adminisztrátorok (Athlon mint Adatkezelő):
- azonosító és kapcsolattartási adatok: név, e-mail cím, telefonszám, beosztás;
- fiók- és belépési adatok: jelszó hash-elt formában, munkamenet-azonosító;
- számlázási adatok: a képviselt szövetség / klub számlázási adatai (név, székhely, adószám);
- kommunikációs előzmények (ügyfélszolgálati üzenetváltások).
3.2. Sportolók, edzők, bírák és egyéb tagok (Athlon mint Adatfeldolgozó, a szövetség / klub megbízásából):
- azonosító adatok: családi és utónév, születési idő, klubtagság;
- kapcsolattartási adatok (felnőtt érintettek esetén): e-mail, telefon;
- kiskorúak esetében a törvényes képviselő azonosító és kapcsolattartási adatai (lásd 5. pont);
- versenyengedély és igazolási adatok: státusz, érvényesség, klubigazolás, átigazolás;
- sportorvosi engedély adatai (különleges kategória — GDPR 9. cikk): érvényesség, lejárati dátum, érvényesítő orvos megjelölése (lásd 4. pont);
- edzői képesítések és licencek: szakképzettség, fokozat, lejárati dátum;
- bírói minősítés és működési adatok;
- mérkőzések és versenyek metaadatai: időpont, helyszín, súlycsoport, eredmény, jegyzőkönyv;
- videó-elemzéssel kapcsolatos tag-metaadatok (időbélyegek, megjegyzések) — maga a videófelvétel nem kerül az Athlon szervereire (lásd 6. pont);
- pénzügyi adatok: tagdíj-státusz, számlák, NAV-felé továbbított számlaadatok.
§ 4Különleges kategóriájú (egészségügyi) adatok
Az Athlon a sportorvosi engedéllyel kapcsolatos adatokat a GDPR 9. cikk (1) bekezdése szerinti egészségügyi adatként kezeli. Az ilyen adatok kezelése csak szigorú jogalap mellett megengedett. Az Athlon ezeket az adatokat a szövetség / klub mint Adatkezelő utasítása alapján dolgozza fel, és kizárólag az alábbi információkat tárolja:
- a sportorvosi engedély érvényessége (igen / nem),
- az engedély lejárati dátuma,
- az érvényesítő sportorvos azonosítása (név vagy intézmény).
Konkrét egészségügyi diagnózist, vizsgálati eredményt vagy orvosi leletet az Athlon rendszere nem tárol és nem dolgoz fel.
Jogalap: a GDPR 9. cikk (2) bekezdés (g) pontja — jelentős közérdek (a sportszövetségek versenyeztetési és tagnyilvántartási feladatainak ellátása a magyar sporttörvény keretében), kiegészítve adott esetben a sportoló vagy törvényes képviselője kifejezett hozzájárulásával (9. cikk (2) (a)) a szövetség / klub regisztrációs folyamatában. A konkrét jogalap mindenkor a szövetséget / klubot mint Adatkezelőt terheli.
§ 5Kiskorú érintettek adatai
Az Athlon felülete a sportszövetségek természeténél fogva nagyszámú kiskorú (18 éven aluli) sportoló adatát kezeli. A magyar sportjog és a GDPR 8. cikke alapján kiskorú érintett személyes adatainak kezelése a törvényes képviselő (szülő / gyám) hozzájárulásával vagy közreműködésével történik. Az ehhez szükséges hozzájárulás megszerzése a sportoló igazolási folyamatának része, és a szövetség / klub mint Adatkezelő feladata.
Az Athlon technikailag biztosítja, hogy a kiskorú sportolók adatlapja megfelelően megjelölésre kerüljön, és a törvényes képviselő kapcsolattartási adatai tárolhatók legyenek. Az Athlon nem kér és nem fogad el közvetlen regisztrációt 16 éven aluli érintettől (a regisztráció mindig a szövetség / klub adminisztrátorán keresztül történik).
§ 6Videófelvételek és tagelés
Az Athlon kínál egy videó-tag rendszert, amely mérkőzések elemzéséhez használható. Az Athlon a maga szerverein nem tárol videófelvételt. A rendszer kizárólag a videók külső hivatkozására és a felhasználók által rögzített tag-metaadatokra (időbélyeg + szöveges megjegyzés + technikai mutató) támaszkodik. A videótartalom maga a szövetség / klub saját tárhelyén marad, így annak adatvédelmi kezeléséért is az adott szövetség / klub felelős.
A tagelési metaadatok az érintett sportoló személyéhez köthetők (családi és utónév + mérkőzés azonosító), ezért személyes adatnak minősülnek; ezeket az Athlon a 7. pont szerinti jogalapon kezeli.
§ 7Az adatkezelés célja és jogalapja
Az Athlon mint Adatkezelő a 3.1. pont szerinti adatokat az alábbi célokból és jogalapokon kezeli:
- Szolgáltatás nyújtása, fiók működtetése: a szerződés teljesítéséhez szükséges (GDPR 6. cikk (1) bekezdés b) pontja);
- Számlázás és számviteli bizonylatok megőrzése: jogi kötelezettség (6. cikk (1) c)) — a számvitelről szóló 2000. évi C. törvény 169. §-a alapján 8 év;
- NAV felé történő számlaadat-szolgáltatás: jogi kötelezettség (6. cikk (1) c)) — az áfatörvény és kapcsolódó rendelkezések alapján;
- Ügyfélszolgálat, panaszkezelés: jogos érdek (6. cikk (1) f)) — a megkeresések megválaszolásához;
- Biztonság, csalásmegelőzés, rendszer-naplózás: jogos érdek (6. cikk (1) f)) — a rendszer integritásának fenntartásához;
- Hírlevél, marketing kommunikáció: kifejezett hozzájárulás alapján (6. cikk (1) a)), bármikor visszavonható.
A 3.2. pont szerinti, adatfeldolgozóként kezelt adatok jogalapját a szövetség / klub mint Adatkezelő határozza meg. Az Athlon ezekre az adatokra vonatkozóan kizárólag az Adatkezelő dokumentált utasításai alapján jár el, kivéve, ha az adatkezelést uniós vagy tagállami jog írja elő.
§ 8Adatfeldolgozók (sub-processors)
Az Athlon a szolgáltatás nyújtásához az alábbi alvállalkozó adatfeldolgozók közreműködését veszi igénybe. Valamennyi felsorolt szolgáltatóval írásbeli adatfeldolgozói szerződés van érvényben, és valamennyien a GDPR-nak megfelelő szintű védelmet biztosítanak.
- Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Németország) — tárhelyszolgáltatás (EU, Németország);
- Neon Inc. — menedzselt PostgreSQL adatbázis az EU régióban (Frankfurt);
- Cloudflare, Inc. — tartalomszolgáltató hálózat (CDN), DDoS-védelem; EU-edge cache;
- Resend, Inc. — tranzakciós e-mail küldés (értesítések, megerősítő levelek);
- Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin, Írország) — online bankkártyás fizetés feldolgozása. Az Athlon szerverein bankkártyaadatok nem kerülnek tárolásra.
Adattovábbítás harmadik országba: a tárolt személyesadat-állomány elsődlegesen az Európai Gazdasági Térségen (EGT) belül marad. Amennyiben egy alvállalkozó EGT-n kívülre is továbbít adatot (pl. anyacég részére), a továbbítás kizárólag az Európai Bizottság által jóváhagyott általános szerződéses feltételek (SCC) alapján történik.
§ 9Adatok címzettjei és jogszabályi adattovábbítás
Az Athlon a kezelt személyes adatokat nem értékesíti és nem adja át harmadik feleknek marketing célból. Az alábbi esetekben kerülhet sor adattovábbításra:
- Nemzeti Adó- és Vámhivatal (NAV) — a kibocsátott elektronikus számlák kötelező adatszolgáltatása keretében (Online Számla rendszer);
- illetékes hatóságok (bíróság, ügyészség, rendőrség stb.) — jogszabályon alapuló, kötelező megkeresés esetén;
- könyvelő / könyvvizsgáló — kizárólag a számviteli bizonylatok tekintetében, írásbeli titoktartás mellett.
§ 10Az adatok megőrzési ideje
Az Athlon a személyes adatokat csak addig őrzi meg, ameddig az adatkezelés célja megkívánja, illetve ameddig jogszabály erre kötelezi.
- Aktív szövetségi / klubi előfizetés: a szerződés fennállása alatt;
- Előfizetés megszűnését követő türelmi idő: a kezelt adatok 30 napig visszaállítható állapotban maradnak, ezt követően véglegesen törlésre kerülnek;
- Számviteli bizonylatok: 8 év (a számvitelről szóló 2000. évi C. törvény 169. §);
- Rendszer-naplók, biztonsági naplók: legfeljebb 12 hónap;
- Marketing hozzájárulás alapján kezelt adat: a hozzájárulás visszavonásáig.
§ 11Az érintett jogai
Az érintett a GDPR és az Infotv. alapján az alábbi jogokkal élhet az adatkezelővel szemben. Ahol az Athlon adatfeldolgozóként jár el, a megkeresés címzettje elsősorban a szövetség / klub mint Adatkezelő; ilyen esetben az Athlon a megkeresést haladéktalanul továbbítja az érintett Adatkezelőnek.
- Tájékoztatáshoz és hozzáféréshez való jog (GDPR 15. cikk) — másolat kérhető a kezelt adatokról;
- Helyesbítéshez való jog (16. cikk) — pontatlan adatok javítása;
- Törléshez való jog („elfeledtetéshez való jog") (17. cikk) — a jogszabályi megőrzési kötelezettség keretein belül;
- Adatkezelés korlátozásához való jog (18. cikk);
- Adathordozhatósághoz való jog (20. cikk) — strukturált, gépi olvasású formátumban (JSON / CSV);
- Tiltakozáshoz való jog (21. cikk) — jogos érdeken alapuló adatkezelés esetén;
- Hozzájárulás visszavonásához való jog (7. cikk (3)) — a hozzájáruláson alapuló adatkezelés bármikor leállítható;
- Automatizált döntéshozatallal szembeni jog (22. cikk) — az Athlon nem alkalmaz olyan automatizált döntéshozatalt, amely az érintettre jelentős hatást gyakorolna.
A jogok gyakorlása érdekében kérjük, írjon a info@athlon.hu címre. Az Athlon a megkeresést legfeljebb 30 napon belül megválaszolja.
§ 12Adatbiztonság — technikai és szervezési intézkedések
Az Athlon a GDPR 32. cikkének megfelelő szintű technikai és szervezési intézkedéseket alkalmaz a kezelt személyes adatok védelmére. Ennek keretében különösen:
- az adatok kizárólag az EGT-n belüli (Hetzner Németország és Neon EU Frankfurt) adatközpontokban kerülnek tárolásra;
- az adatbázis és a teljes hálózati forgalom titkosítva kerül továbbításra (TLS), valamint nyugalmi állapotban (encryption-at-rest) is védett;
- napi automatikus mentés, a biztonsági mentések 30 napig kerülnek megőrzésre;
- szerepalapú hozzáférés-vezérlés (RBAC): minden felhasználó csak az adatkörhöz fér hozzá, amelyhez a szerepköre alapján jogosult;
- jelszavak iparági szintű egyirányú hash alkalmazásával (kétfaktoros bejelentkezés támogatott);
- kérelem-szintű auditnapló a kritikus műveletekről;
- incidens-eljárás: bármilyen adatvédelmi incidens észlelése esetén az Athlon a GDPR 33. cikkének megfelelően 72 órán belül tájékoztatja az érintett Adatkezelőt és — szükség esetén — a NAIH-ot.
§ 13Cookie-k és hasonló technológiák
Az Athlon weboldala kizárólag feltétlenül szükséges cookie-kat használ (bejelentkezési munkamenet, CSRF-védelem, alapvető felhasználói beállítások). Marketing- vagy nyomkövető cookie-kat nem alkalmazunk. Részletek a Cookie-szabályzatban.
§ 14A tájékoztató módosítása
Az Athlon fenntartja a jogot a jelen tájékoztató módosítására. A lényeges (az érintettek jogait közvetlenül érintő) módosításokról a szövetségi / klubi felhasználókat legalább 30 nappal a hatálybalépés előtt elektronikus úton értesítjük. A mindenkor hatályos verzió ezen az oldalon elérhető; a tájékoztató alján található dátum jelzi a hatályosság kezdő napját.
§ 15Jogorvoslat — panasz és bírósági út
Az érintett az adatkezeléssel kapcsolatos panaszával elsősorban közvetlenül az Athlonhoz, illetve — adatfeldolgozói minőség esetén — a szövetség / klub mint Adatkezelő felé fordulhat. Amennyiben a válasz nem kielégítő, vagy az érintett közvetlenül kíván jogorvoslattal élni, az alábbi fórumokhoz fordulhat:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
E-mail: ugyfelszolgalat@naih.hu
Web: www.naih.hu
Az érintett jogainak megsértése esetén bírósághoz is fordulhat (Polgári Törvénykönyv és Infotv. szerint).