Adatvédelmi tájékoztató

Cégnév (hivatalos): Avenir Facility Management Szolgáltató Korlátolt Felelősségű Társaság Cégbíróság-rövidített: Avenir Facility Kft. Marketing-megnevezés: Avenir Facility Management Kft. Cégjegyzékszám: 01-09-328046 — Fővárosi Törvényszék Cégbírósága Adószám: 26395124-2-41 EU VAT azonosító: HU26395124 Alapítás: 2018. július 31. Székhely: 1039 Budapest, Királyok útja 291. B. ép. 15. ajtó Általános elérhetőség: info@afm.hu · +36 70 316 8218 Web: https://www.afm.hu

Képviseletre jogosult személy: Kovács Attila ügyvezető Email: info@afm.hu Telefon: +36 70 312 5868 Adatvédelmi kérdéseit, kéréseit, panaszait közvetlenül a fenti elérhetőségeken jelezheti.

Az Adatkezelő a GDPR 37. cikk (1) bek. b) és c) pontjai alapján adatvédelmi tisztviselőt jelölt ki. Az adatvédelmi tisztviselő az adatvédelmi kérdésekben az érintettek és a felügyeleti hatóság kapcsolattartója. Adatvédelmi tisztviselő: Csegény Fanni Email: dpo@afm.hu Telefon: +36 70 622 6242 Postai elérhetőség: 1039 Budapest, Királyok útja 291. B. ép. 15. ajtó A NAIH-bejelentést az Adatkezelő az Infotv. 25/L. § alapján megtette / folyamatban van. Az érintett adatvédelmi kérdéseivel, kérelmeivel vagy panaszaival közvetlenül az adatvédelmi tisztviselőhöz is fordulhat. Ez nem érinti azt a jogát, hogy a 11. pont szerint panaszt tegyen a felügyeleti hatóságnál vagy bírósághoz forduljon.

A www.afm.hu weboldal kapcsolatfelvételi folyamatában a következő célokra kezelünk személyes adatokat: 4.1. CÉL — Kapcsolatfelvétel / ajánlatkérés feldolgozása Kezelt adatok: teljes név, cégnév, email cím, telefonszám, érdeklődési terület, üzenet szövege. A kezelés célja: a kapcsolatfelvételi űrlapon küldött ajánlatkérés feldolgozása, kapcsolatfelvétel az érintettel, ajánlat előkészítése. Jogalap (B2B-dual-path): GDPR 6. cikk (1) bek. b) pont, amennyiben az ajánlatkérés az érintettel mint leendő szerződő féllel történő szerződéskötést megelőző lépések megtételéhez szükséges (természetes személy / egyéni vállalkozó). GDPR 6. cikk (1) bek. f) pont, amennyiben az érintett valamely jogi személy vagy szervezet kapcsolattartójaként jár el. Az Adatkezelő jogos érdeke ez utóbbi esetben: üzleti kapcsolatfelvétel kezelése, ajánlat előkészítése, B2B ügyfélkommunikáció fenntartása. Megőrzési idő: • Szerződéskötéssel nem záruló ajánlatkérés esetén: az utolsó érdemi kapcsolatfelvételtől számított 12 hónap. • Szerződéskötés esetén: az ajánlatkérésből és üzleti levelezésből a szerződés előkészítéséhez, teljesítéséhez vagy igényérvényesítéshez szükséges adatok a szerződéses iratanyag részeként a szerződés megszűnésétől, illetve az adott követelés esedékességétől számított általános elévülési időig (Ptk. 6:22. § főszabály: 5 év) kezelhetők. • Számviteli bizonylatok esetén: Sztv. 169. § (2): 8 év. • A célhoz nem szükséges, túlzott, különleges vagy büntetőjogi adatot tartalmazó megkereséseket az Adatkezelő indokolatlan késedelem nélkül törli vagy anonimizálja. 4.2. CÉL — Visszaélés-megelőzés és weboldal-biztonság Kezelt adatok: IP-cím, kérés-időbélyeg, user-agent, honeypot-mező értéke, rate-limit-számláló. A kezelés célja: spam- és botbeküldések szűrése, DoS-jellegű túlterhelés elhárítása, az űrlap visszaélésszerű használatának megakadályozása. Jogalap: GDPR 6. cikk (1) bek. f) pont — az Adatkezelő jogos érdeke a weboldal biztonságos és visszaélésmentes üzemeltetéséhez. Megőrzési idő: technikai napló 30 nap (rolling); rate-limit-számláló 1 óra (csak memóriában). 4.3. CÉL — Sikeres ajánlatkérést követő szerződéses adminisztráció és üzleti kapcsolattartás Kezelt adatok: a kapcsolattartó adatai (név, email, telefon, beosztás), üzleti levelezés tartalma, szerződéses dokumentumok. Jogalap: GDPR 6. cikk (1) bek. b) pont (szerződés teljesítése) és c) pont (jogi kötelezettség — Sztv., Áfa tv.). Megőrzési idő: 5 év (Ptk. 6:22. § elévülés) + 8 év (Sztv. 169. § (2)). 4.4. CÉL-KIZÁRÁS — Különleges, büntetőjogi és harmadik személyre vonatkozó adatok kezelésének kizárása a webes űrlapból Az Adatkezelő a weboldali kapcsolatfelvételi űrlapon keresztül nem kér és nem kíván kezelni GDPR 9. cikk szerinti különleges adatot, GDPR 10. cikk szerinti büntetőjogi adatot, minősített adatot, üzleti titkot, valamint harmadik személyre vonatkozó részletes magánéleti, egészségügyi, családi, munkaügyi, pénzügyi vagy büntetőjogi információt. Kérjük, hogy az űrlapon ne küldjön ilyen adatot. Magánnyomozói, kamerás megfigyelési, beléptetési, vagyonvédelmi incidenssel kapcsolatos vagy más magasabb kockázatú adatkezelést igénylő ügyben az Adatkezelő külön szerződéses és adatvédelmi tájékoztatás alapján jár el. Amennyiben az érintett vagy harmadik személy a webes űrlapon keresztül ilyen adatot küld, az Adatkezelő azt kizárólag a megkeresés kezeléséhez feltétlenül szükséges mértékben vizsgálja meg, és szükség esetén indokolatlan késedelem nélkül törli, anonimizálja vagy külön adatkezelési folyamatba irányítja.

A https://www.afm.hu weboldal és a kapcsolódó rendszerek üzemeltetéséhez az Adatkezelő az alábbi adatfeldolgozókat veszi igénybe. Mindhárom adatfeldolgozóval írásos adatfeldolgozói szerződés (Data Processing Agreement, DPA) van érvényben. 5.1. Plus Five Five, Inc. („Resend") — tranzakcionális email-továbbítás Bejegyzett cím: 2261 Market Street #5039, San Francisco, CA 94114, Amerikai Egyesült Államok Tevékenység: a kapcsolatfelvételi űrlapon küldött üzenetek email-továbbítása. Adatkezelési helyzet: a szolgáltató publikus tájékoztatása szerint ügyféladatok USA-ban tárolása is megvalósulhat; az email-küldési régió technikai konfigurációja nem jelent teljes EU-only adattárolást. Adatfeldolgozói szerződés (Art. 28): írásos DPA van érvényben. Harmadik országba történő adattovábbítási garancia: aktív DPF-tanúsítás esetén GDPR 45. cikk szerinti megfelelőségi határozat; másodlagosan az Európai Bizottság 2021/914 sz. határozata szerinti SCC-k a GDPR 46. cikk alapján, valamint kiegészítő technikai-szervezési intézkedések. 5.2. Vercel Inc. — hosting, edge/CDN szolgáltatás és szerveroldali naplózás Bejegyzett székhely: 440 N Barranca Avenue #4133, Covina, CA 91723, Amerikai Egyesült Államok Tevékenység: a https://www.afm.hu weboldal kiszolgálása, edge/CDN infrastruktúra, szerveroldali request-naplózás. Adatkezelési helyzet: a statikus tartalom és edge-szolgáltatások globális infrastruktúrán keresztül működhetnek; a szerveroldali funkciók régióját az Adatkezelő konfigurálja (vercel.json: fra1). Az Adatkezelő törekszik EU-régió használatára, de harmadik országbeli adattovábbítás vagy hozzáférés nem zárható ki. Adatfeldolgozói szerződés (Art. 28): írásos DPA van érvényben. Harmadik országba történő adattovábbítási garancia: aktív DPF-tanúsítás esetén GDPR 45. cikk; másodlagosan SCC-k a GDPR 46. cikk alapján és kiegészítő intézkedések (titkosított átvitel, hozzáférés-korlátozás, régiókonfiguráció). 5.3. Neon, LLC (a Databricks, Inc. affiliate-je) — PostgreSQL adatbázis-szolgáltatás Szerződéses szolgáltató: Neon, LLC (a Databricks, Inc. affiliate-je 2025 májusi akvizíció óta). Bejegyzett cím: 160 Spear Street, Suite 1300, San Francisco, CA 94105, Amerikai Egyesült Államok. Tevékenység: PostgreSQL adatbázis-szolgáltatás (hírek, tanúsítványok, kapcsolatfelvételi naplók). Adatbázis-régió: AWS Frankfurt / eu-central-1. Adatfeldolgozói szerződés (Art. 28): írásos DPA van érvényben. Harmadik országba történő adattovábbítási garancia: a Databricks, Inc. aktív DPF-tanúsítása lefedi a Neon, LLC-t mint affiliate-et (GDPR 45. cikk); másodlagosan SCC-k a GDPR 46. cikk alapján és kiegészítő intézkedések.

Az Adatkezelő a weboldal és a kapcsolatfelvételi rendszer működtetése során olyan adatfeldolgozókat is igénybe vesz, amelyek az Egyesült Államokban bejegyzett társaságok, amerikai vállalatcsoporthoz tartoznak, vagy amerikai alfeldolgozókat vesznek igénybe. Az Adatkezelő törekszik arra, hogy ahol technikailag és szerződésesen lehetséges, az adattárolás és az adatbázis-kezelés Európai Unión belüli régióban történjen. Ugyanakkor az Adatkezelő nem állítja, hogy minden adatkezelési művelet kizárólag az Európai Gazdasági Térség területén történik. Harmadik országba irányuló adattovábbítás, illetve harmadik országból történő szolgáltatói hozzáférés különösen az email-továbbítás, hosting, technikai üzemeltetés, támogatás, hibakeresés, naplózás, alfeldolgozói működés vagy jogszabályon alapuló szolgáltatói kötelezettség esetén merülhet fel. Az Egyesült Államokban bejegyzett vagy amerikai vállalatcsoporthoz tartozó szolgáltatók esetén bizonyos körülmények között az Egyesült Államok joga alapján hatósági hozzáférési vagy adatszolgáltatási kötelezettség merülhet fel. Ilyen jogszabály lehet különösen a Foreign Intelligence Surveillance Act 702. szakasza, illetve a Clarifying Lawful Overseas Use of Data Act („CLOUD Act"). A harmadik országbeli adattovábbítások jogi garanciái az adott szolgáltatótól, jogi entitástól és adatáramlástól függően a következők lehetnek: a) GDPR 45. cikk szerinti megfelelőségi határozat: amennyiben az adott amerikai címzett aktív EU-U.S. Data Privacy Framework (DPF) tanúsítással rendelkezik, az adattovábbítás a DPF-re és az Európai Bizottság megfelelőségi határozatára alapítható. b) GDPR 46. cikk szerinti általános szerződési feltételek: ahol a DPF nem alkalmazható, illetve kiegészítő vagy fallback garanciaként az Európai Bizottság 2021/914/EU határozata szerinti Standard Contractual Clauses alkalmazhatók. c) Kiegészítő technikai és szervezési intézkedések: különösen adattakarékosság, titkosított adatátvitel, hozzáférés-korlátozás, jogosultságkezelés, naplózás, alfeldolgozói kontroll, régiókonfiguráció és a szolgáltatói DPA-k rendszeres felülvizsgálata. Az Adatkezelő az alkalmazott adatfeldolgozók adatkezelési garanciáit, DPF-státuszát, DPA-ját és alfeldolgozói listáját legalább évente, valamint jelentős szolgáltatóváltás esetén felülvizsgálja. Az érintett további tájékoztatást kérhet az alkalmazott adattovábbítási garanciákról az info@afm.hu címen.

Süti-audit folyamatban — az Adatkezelő a teljes süti-listát a deployt követően DevTools-audittal véglegesíti, és a jelen szakaszt a tényleges süti-állomány alapján frissíti. A https://www.afm.hu weboldal jelenlegi működésében az Adatkezelő nem alkalmaz analitikai, marketing-, retargeting- vagy profilalkotási célú sütiket. Amennyiben a weboldal működéséhez elengedhetetlen technikai sütit vagy hasonló technológiát alkalmazunk, azt kizárólag a weboldal működésének biztosítása, biztonsága és visszaélések megelőzése céljából használjuk. Az ilyen technológiák nem szolgálnak marketing- vagy analitikai célt. Az Adatkezelő a sütik használatát rendszeresen ellenőrzi. Amennyiben analitikai vagy marketing célú sütik kerülnek bevezetésre, az Adatkezelő előzetesen frissíti a jelen tájékoztatót, és ahol szükséges, hozzájárulás-kezelési megoldást alkalmaz.

Az érintett a https://www.afm.hu kapcsolatfelvételi flow-jában kezelt személyes adatai vonatkozásában a GDPR alapján a következő jogokkal rendelkezik: a) Tájékoztatáshoz való jog (Art. 13-14) — jelen Tájékoztató megismerése. b) Hozzáféréshez való jog (Art. 15) — másolat kérése a róla kezelt adatokról. c) Helyesbítéshez való jog (Art. 16) — pontatlan adatok helyesbítése, kiegészítése. d) Törléshez való jog (Art. 17, „elfeledtetéshez való jog") — meghatározott feltételek esetén. e) Adatkezelés korlátozásához való jog (Art. 18). f) Adathordozhatósághoz való jog (Art. 20) — strukturált, géppel olvasható formátumban. g) Tiltakozáshoz való jog (Art. 21) — a jogos érdeken alapuló adatkezelés ellen, mind a 4.1. célnál (B2B-kapcsolattartói pozícióban kezelt adatok GDPR 6. cikk (1) bek. f) pont alapján), mind a 4.2. célnál (visszaélés-megelőzés GDPR 6. cikk (1) bek. f) pont alapján), ide értve a profilalkotást. h) Automatizált döntéshozatallal kapcsolatos jogok (Art. 22) — lásd 9. pont. Visszavonási jog (Art. 7(3)): mivel az Adatkezelő a https://www.afm.hu kapcsolatfelvételi flow-ban hozzájárulást nem kér jogalapként, ez a jog itt nem alkalmazandó.

A https://www.afm.hu kapcsolatfelvételi folyamatában automatizált döntéshozatal nem történik, és profilalkotás nem valósul meg (GDPR Art. 22). A bejövő ajánlatkéréseket az Adatkezelő munkatársai egyenként, manuálisan dolgozzák fel.

Jogai gyakorlására az alábbi módokon van lehetősége: Email: info@afm.hu (tárgy: „Adatvédelmi kérelem") Postai úton: Avenir Facility Management Kft., 1039 Budapest, Királyok útja 291. B. ép. 15. ajtó Az Adatkezelő a kérelemre — a GDPR 12. cikk (3) bekezdése szerint — legkésőbb 1 hónapon belül válaszol. Indokolt esetben (a kérelem összetettségére vagy a kérelmek számára tekintettel) ez a határidő további 2 hónappal meghosszabbítható, amelyről az érintettet a kérelem beérkezésétől számított 1 hónapon belül tájékoztatjuk. Az Adatkezelő — a kérelmező személyazonosságának megalapozott kétségbe vonhatósága esetén — a kérelmező azonosításához szükséges további információk megadását kérheti (Art. 12(6)). A jogok gyakorlása az érintett számára díjmentes, kivéve, ha a kérelem nyilvánvalóan megalapozatlan vagy túlzó (Art. 12(5)).

Amennyiben Ön úgy ítéli meg, hogy az Adatkezelő tevékenysége a GDPR vagy az Infotv. rendelkezéseit sérti, panasszal fordulhat: a) A felügyeleti hatósághoz: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Cím: 1055 Budapest, Falk Miksa utca 9-11. Postacím: 1363 Budapest, Pf.: 9 Telefon: +36 (1) 391-1400 Email: ugyfelszolgalat@naih.hu Web: https://www.naih.hu b) Bírósághoz: az érintett a GDPR 79. cikke alapján bírósági jogorvoslattal élhet a lakóhelye vagy tartózkodási helye, illetve az Adatkezelő székhelye szerint illetékes törvényszéken (Adatkezelő esetében: Fővárosi Törvényszék).

Az Adatkezelő a GDPR 33. cikke alapján az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb az incidensről való tudomásszerzéstől számított 72 órán belül bejelenti a NAIH részére, amennyiben az incidens valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira nézve. Magas kockázat esetén az Adatkezelő az érintetteket is közvetlenül tájékoztatja (GDPR 34. cikk).

Az Adatkezelő ISO/IEC 27001:2022 szabvány szerinti információbiztonsági irányítási rendszer tanúsítvánnyal rendelkezik a tanúsítványban meghatározott tárgyi hatály szerint. Tanúsítvány száma: 988960032 Kibocsátó: MARTON Szakértő Iroda Kft. Érvényesség: 2026.04.27 – 2029.04.26 A tanúsítvány tárgyi hatályára vonatkozó információ kérésre rendelkezésre áll. A technikai és szervezési intézkedéseket az Adatkezelő a GDPR 32. cikkének megfelelően, kockázatalapú megközelítéssel határozza meg és rendszeresen felülvizsgálja, különösen az alábbiak körében: adattakarékosság (data minimization), titkosított átvitel és tárolás (encryption in transit and at rest), hozzáférés-korlátozás és jogosultságkezelés (access control), naplózás és incidens-detektálás (logging), valamint rendszeres biztonsági felülvizsgálat és teszt.

Az Adatkezelő fenntartja a jogot a jelen Tájékoztató egyoldalú módosítására. A módosítások a https://www.afm.hu/hu/adatvedelem oldalon történő közzététellel lépnek hatályba. A jelentős módosításokról az Adatkezelő külön értesítést tehet közzé. A jelen Tájékoztató hatályos szövege mindenkor a fenti URL-en érhető el. A korábbi verziókat az Adatkezelő archiválja és kérésre rendelkezésre bocsátja. Verzió-history: • 1.0 verzió — Hatály: 2026. április 28-tól. Első kiadás (a https://www.afm.hu weboldal indulása). Korábbi verziók: nincsenek.