Adatkezelési tájékoztató
Jelen adatkezelési tájékoztató az InDeRe Élelmezéskutató és Innovációs Intézet Nonprofit Közhasznú Kft. által üzemeltetett www.indere.hu honlap használata során megvalósuló személyesadat-kezeléseket ismerteti.
1. Bevezetés és hatály
A tájékoztató a honlap megtekintésére, a honlapon elérhető tartalmak használatára, az e-mailes vagy telefonos kapcsolatfelvételre, a hírek és publikációk megtekintésére, a külső tartalmak és szolgáltatások használatára, valamint a honlap működésével összefüggő technikai adatkezelésekre vonatkozik.
Jelen tájékoztató nem terjed ki az InDeRe külön kutatási projektjeiben, kérdőíveiben, szerződéses együttműködéseiben vagy pályázati programjaiban végzett adatkezelésekre, amennyiben azokhoz külön adatkezelési tájékoztató készül.
A honlap jelenleg nem tartalmaz webáruházat, online regisztrációt, hírlevél-feliratkozást vagy klasszikus kapcsolatfelvételi űrlapot. A honlapon e-mail- és telefonlinkek, hírek, projektoldalak, publikációs hivatkozások, külső linkek, YouTube-beágyazás, valamint egyes oldalakon chatbot-megoldás szerepelhet.
2. Az adatkezelő adatai
| Adat | Tartalom |
|---|---|
| Adatkezelő neve | InDeRe Élelmezéskutató és Innovációs Intézet Nonprofit Közhasznú Korlátolt Felelősségű Társaság |
| Rövidített név | InDeRe Nonprofit Közhasznú Kft. |
| Székhely | 1118 Budapest, Budaörsi út 15. 1. emelet 11. ajtó |
| Cégjegyzékszám | 01-09-287346 |
| Adószám | 13768568-2-43 |
| Honlap | www.indere.hu |
| food@foodcontrol.hu | |
| Telefon | +36703382408 |
| Adatvédelmi kapcsolattartás | Adatvédelmi kérdésekben az érintett a fenti e-mail-címen vagy postai címen fordulhat az Adatkezelőhöz. |
3. A honlap üzemeltetésében részt vevő fő adatfeldolgozó
| Szolgáltató | Szerep |
|---|---|
| ZeroTime Services Kft. | Tárhelyszolgáltatás, szerverüzemeltetés, technikai rendelkezésre állás biztosítása, biztonsági mentések, szervernaplók kezelése és informatikai támogatás. |
Az Adatkezelő további technikai szolgáltatókat is igénybe vehet a honlap működtetéséhez, a tartalomkezeléshez, külső tartalmak megjelenítéséhez vagy informatikai karbantartáshoz. Ezeket a szolgáltatókat a tájékoztató megfelelő pontjai tartalmazzák.
4. A honlap használatával összefüggő adatkezelések
Az alábbi táblázat a honlap működéséhez kapcsolódó főbb adatkezelési helyzeteket foglalja össze. Ha a honlap új funkcióval, űrlappal, analitikával, hírlevéllel vagy más külső szolgáltatással bővül, a tájékoztatót frissíteni kell.
| Adatkezelési helyzet | Kezelt adatok | Cél | Jogalap | Megőrzés | Címzettek |
|---|---|---|---|---|---|
| Honlap megtekintése, szervernaplók | IP-cím; látogatás dátuma és időpontja; megtekintett URL vagy aloldal; böngésző és eszköz technikai adatai; operációs rendszer; hivatkozó oldal; HTTP státuszkód; adatforgalmi és hibainformációk. | A honlap technikai kiszolgálása, működésbiztonság, hibakeresés, visszaélések és támadások megelőzése, bizonyítása. | GDPR 6. cikk (1) f) pont: az Adatkezelő jogos érdeke a honlap biztonságos és rendeltetésszerű működtetéséhez. | A naplóadatokat az Adatkezelő a technikai és biztonsági célhoz szükséges ideig, főszabály szerint legfeljebb 30 napig kezeli; biztonsági esemény vagy jogvita esetén az ügy lezárásáig is megőrizhetők. | ZeroTime Services Kft. mint tárhelyszolgáltató, valamint az általa igénybe vett infrastruktúra- és adatközponti szolgáltatók. |
| Kapcsolatfelvétel e-mailben vagy telefonon | Név; e-mail-cím; telefonszám; szervezet vagy munkahely; üzenet tartalma; csatolmányok; az üzenetküldés és válaszadás időpontjai; az érintett által önként megadott további adatok. | Megkeresések megválaszolása, kapcsolattartás, együttműködési vagy szolgáltatási igények kezelése, szükség esetén jogi igények érvényesítése vagy védelme. | GDPR 6. cikk (1) f) pont: jogos érdek a megkeresések kezeléséhez; szolgáltatási vagy együttműködési ajánlatkérés esetén GDPR 6. cikk (1) b) pont: szerződéskötést megelőző lépések. | Általános érdeklődés esetén a lezárást követő 1 évig; szerződéses, elszámolási vagy jogi igényhez kapcsolódó ügyben a vonatkozó jogszabályi megőrzési időig vagy az igényérvényesítéshez szükséges ideig. | Az Adatkezelő kijelölt munkatársai; e-mail- és IT-szolgáltatók, amennyiben az Adatkezelő ilyen szolgáltatót vesz igénybe. |
| A honlapon megjelenő munkatársi és szakmai profiladatok | Név; fénykép; beosztás; szakmai bemutatkozás; végzettség; kutatási terület; szakmai e-mail-cím; esetleges közösségi vagy szakmai profilra mutató link. | Az Adatkezelő kutatási és szakmai tevékenységének bemutatása, szakmai átláthatóság, kapcsolattartás elősegítése. | GDPR 6. cikk (1) f) pont: az Adatkezelő jogos érdeke a szervezet és munkatársai szakmai bemutatásához; ahol szükséges, az érintett hozzájárulása. | A honlapon addig jelenik meg, amíg a szakmai bemutatás célja fennáll, illetve az érintett tiltakozásának, kérelmének vagy a közlési cél megszűnésének elbírálásáig. | Honlaplátogatók; tárhelyszolgáltató; CMS- és tartalomszolgáltatási szolgáltatók. |
| Hírek, projektoldalak, publikációk és nyilvános szakmai tartalmak közzététele | A tartalomban szereplő személyek neve, szakmai minősége, szervezeti kapcsolata, képmása, idézete, publikációs vagy projektadata, amennyiben a tartalom ilyen adatot tartalmaz. | Tudományos, kutatási, szakmai és közhasznú tevékenység bemutatása; tájékoztatás; publikációs és projektkommunikáció. | GDPR 6. cikk (1) f) pont: jogos érdek a szakmai kommunikációhoz és tájékoztatáshoz; képmás vagy hozzájárulást igénylő tartalom esetén az érintett hozzájárulása vagy más megfelelő jogalap. | A tartalom a honlapon a közzétételi cél fennállásáig, illetve archív jelleggel maradhat elérhető. Kérelem vagy jogos tiltakozás esetén az Adatkezelő egyedileg vizsgálja a további közzététel szükségességét. | Honlaplátogatók; tárhelyszolgáltató; CMS- és tartalomszolgáltatási szolgáltatók. |
| Caisy CMS-ből betöltött hírek és tartalmak | Technikai lekérdezési adatok; tartalom- és médiaazonosítók; a CMS-ben szerkesztett nyilvános tartalmak; a rendszer működéséhez szükséges metaadatok. | A hírek, képek és dinamikus tartalmak megjelenítése a honlapon. | GDPR 6. cikk (1) f) pont: jogos érdek a honlap naprakész és biztonságos tartalomszolgáltatásához. | A CMS-ben tárolt tartalmak a közzétételi cél fennállásáig, a technikai naplók pedig a szolgáltató szabályai és az Adatkezelő beállításai szerint őrződnek meg. | Caisy / cyclus.digital GmbH, valamint a szolgáltatás technikai alvállalkozói. |
| Külső betűtípusok és külső CSS/JavaScript erőforrások | IP-cím; böngésző- és eszközinformációk; kért erőforrás URL-je; hivatkozó oldal; lekérdezés időpontja. | A honlap egységes megjelenítése, betűtípusok, stíluslapok és interaktív elemek betöltése. | GDPR 6. cikk (1) f) pont: jogos érdek a honlap működéséhez és megjelenítéséhez. Amennyiben a külső erőforrás nem feltétlenül szükséges, az Adatkezelő hozzájárulásos vagy helyi betöltéses megoldást alkalmazhat. | Az Adatkezelő nem őrzi meg ezeket az adatokat külön adatbázisban; a külső szolgáltatók saját naplózási és adatkezelési szabályaik szerint kezelhetik. | Google Ireland Limited / Google LLC; UNPKG/CDN-szolgáltató; TeleportHQ-hoz kapcsolódó csomagok kiszolgálását végző szolgáltatók. |
| YouTube-videó beágyazása | IP-cím; böngésző- és eszközinformációk; megtekintett oldal; videóazonosító; lejátszási és interakciós adatok; a YouTube/Google által alkalmazott cookie-k és hasonló azonosítók. | Videós tartalom megjelenítése a honlapon. | GDPR 6. cikk (1) a) pont: hozzájárulás; a cookie-k és hasonló technológiák esetén az elektronikus hírközlési szabályok szerinti előzetes tájékoztatás és hozzájárulás, kivéve a feltétlenül szükséges technikai műveleteket. | A hozzájárulás visszavonásáig, illetve a Google/YouTube saját adatkezelési szabályai szerint. Az Adatkezelő nem fér hozzá a YouTube által vezetett teljes látogatói profilokhoz. | Google Ireland Limited / Google LLC / YouTube. |
| Chatbase chatbot használata | A chatablakban megadott üzenetek és adatok; IP-cím; böngésző- és eszközinformációk; munkamenet-azonosítók; időbélyegek; a beszélgetés technikai és tartalmi metaadatai. | Interaktív tájékoztatás, kérdések megválaszolása, felhasználói élmény javítása és a chatbot működtetése. | GDPR 6. cikk (1) a) pont: hozzájárulás, illetve az érintett által kezdeményezett beszélgetéshez kapcsolódó adatkezelés. A felhasználó ne adjon meg különleges adatot, egészségügyi adatot vagy más bizalmas információt a chatbotban. | A beszélgetési adatokat az Adatkezelő a chatbot-szolgáltatás beállításai szerint, legfeljebb 12 hónapig őrzi; törlési kérelem esetén a kérelem elbírálásáig és teljesítéséig. | Chatbase Inc. és annak alfeldolgozói. A szolgáltatás igénybevétele harmadik országba, különösen az Egyesült Államokba irányuló adattovábbítással járhat. |
| Facebook-megosztás, közösségi linkek és külső oldalak megnyitása | A megosztott oldal URL-je; a közösségi oldal által kezelt technikai adatok, IP-cím, böngészőadatok, cookie-k, fiókadatok, ha a látogató be van jelentkezve az adott szolgáltatásba. | Tartalommegosztás, közösségi oldal vagy külső szakmai oldal megnyitása. | A megosztás vagy külső oldal megnyitása a látogató önkéntes művelete. A közösségi oldalak saját adatkezelésük tekintetében önálló adatkezelők. | Az Adatkezelő nem őriz külön megosztási adatbázist; a közösségi platformok saját szabályaik szerint őrzik az adatokat. | Meta Platforms Ireland Ltd. / Facebook; LinkedIn Ireland Unlimited Company, ha LinkedIn-link megnyílik; az adott külső oldal üzemeltetője. |
| Hozzájárulások kezelése, amennyiben cookie- vagy külső tartalom-kezelő megoldás kerül bevezetésre | Hozzájárulás státusza; választott kategóriák; időpont; technikai azonosító; esetleg IP-cím vagy böngészőadat. | A látogató cookie- és külső tartalomra vonatkozó döntéseinek rögzítése és bizonyíthatósága. | GDPR 6. cikk (1) c) pont: jogi kötelezettség teljesítése, valamint GDPR 6. cikk (1) f) pont: jogos érdek a hozzájárulás igazolására. | A hozzájárulás visszavonásáig vagy módosításáig, de legfeljebb 12 hónapig; ezt követően a látogatótól ismételt választás kérhető. | A választott hozzájáruláskezelő szolgáltató, amennyiben ilyen kerül bevezetésre. |
5. Kapcsolatfelvétel és e-mailes kommunikáció
A honlapon jelenleg nem található klasszikus kapcsolatfelvételi űrlap vagy hírlevél-feliratkozás. A kapcsolatfelvétel elsősorban e-mailben vagy telefonon történik.
Az Adatkezelő az e-mailben vagy telefonon megadott személyes adatokat kizárólag a megkeresés megválaszolására, a kapcsolattartásra, illetve az esetleges együttműködés előkészítésére használja fel. Az érintett felelőssége, hogy a megkeresésben csak olyan adatokat adjon meg, amelyek az ügyintézéshez szükségesek.
Különleges személyes adat, például egészségügyi adat, politikai vélemény, vallási meggyőződés vagy más érzékeny adat megadása nem szükséges és nem kért.
Amennyiben a megkeresés a Food Control Group más tagját vagy együttműködő partnerét érinti, az Adatkezelő az ügyintézéshez szükséges mértékben továbbíthatja a megkeresést az illetékes szervezet vagy munkatárs részére.
6. Cookie-k és hasonló technológiák
A cookie kis méretű adatcsomag, amelyet a böngésző tárolhat a látogató eszközén. Cookie vagy hasonló technológia lehet például a böngésző helyi tárhelye, munkamenet-azonosítója vagy más online azonosító.
A feltárt honlapkód alapján az oldal nem tartalmaz saját Google Analytics, Meta Pixel vagy más remarketing célú mérőkódot, és nem tartalmaz hírlevél-feliratkozást. A honlap saját, látogatókat azonosító tartós cookie-t a feltárt kódban nem használ.
Ugyanakkor egyes külső szolgáltatások — különösen a YouTube és a Chatbase — cookie-kat vagy hasonló azonosítókat használhatnak. Ezek nem feltétlenül szükséges szolgáltatások, ezért használatukhoz a honlapnak előzetes, önkéntes és visszavonható hozzájárulást kell kérnie, vagy a tartalmat kétlépcsős, csak kattintásra betöltődő megoldással kell megjelenítenie.
| Cookie / technológia | Kezelt adat | Cél | Jogalap | Megőrzés |
|---|---|---|---|---|
| Saját működési cookie | A feltárt honlapkódban nem azonosítottunk látogatókat azonosító saját, tartós cookie-t. | Nincs külön cél; a honlap alapvető kiszolgálása szerveroldali naplózással történik. | Nem alkalmazandó / szervernapló: jogos érdek. | Nem alkalmazandó. |
| Google Fonts | A böngésző külső betűtípus-erőforrást kérhet le, amely során IP-cím és technikai fejlécek továbbítódhatnak. | Betűtípusok megjelenítése. | Jogos érdek; adatvédelmi kockázat csökkentésére javasolt a betűtípusok helyi kiszolgálása. | A Google saját szabályai szerint. |
| YouTube | YouTube/Google cookie-k és hasonló azonosítók a beágyazott videó megjelenítése vagy lejátszása során. | Videó megjelenítése, lejátszás, biztonság, preferenciák, statisztika a szolgáltató oldalán. | Hozzájárulás. | A Google/YouTube saját szabályai szerint. |
| Chatbase | Chat-munkamenethez, működéshez és biztonsághoz kapcsolódó azonosítók vagy helyi tárhelyelemek. | Chatbot működtetése és a beszélgetési munkamenet kezelése. | Hozzájárulás. | A Chatbase és az Adatkezelő beállításai szerint, legfeljebb 12 hónap. |
| Hozzájárulás-kezelő cookie vagy helyi tárhelyelem | A látogató cookie- és külső tartalom-választása. | A hozzájárulási döntés megjegyzése és bizonyítása. | Jogi kötelezettség / jogos érdek. | Legfeljebb 12 hónap. |
A látogató a böngésző beállításaiban is korlátozhatja vagy törölheti a cookie-kat, ez azonban egyes funkciók működését befolyásolhatja.
7. Külső szolgáltatások és beágyazott tartalmak
YouTube
A honlapon YouTube-videó beágyazás található. A videó betöltésekor vagy lejátszásakor a Google/YouTube technikai adatokat kaphat a látogatóról, különösen IP-címet, böngészőadatokat, a megtekintett oldalra vonatkozó információt, valamint a YouTube- vagy Google-fiókkal összefüggő adatokat, ha az érintett be van jelentkezve.
A YouTube-videó betöltéséhez hozzájárulás szükséges. Adatvédelmi szempontból javasolt a videót kétkattintásos megoldással vagy privacy-enhanced módban betölteni.
Google Fonts
A honlap külső betűtípusokat használhat. A betűtípus betöltésekor a szolgáltató technikai adatokat, így IP-címet és HTTP fejléceket kaphat. Adatvédelmi szempontból javasolt a betűtípusokat saját tárhelyről kiszolgálni.
Facebook / Meta
A honlapon Facebook-megosztás és Facebook-oldalra mutató link szerepelhet. A Facebook-megosztás csak akkor továbbít adatot a Meta felé, ha az érintett a megosztás gombra kattint vagy a Facebook-linket megnyitja. A Meta a saját adatkezelési tájékoztatói szerint önálló adatkezelőként jár el.
Chatbase
A honlap egyes aloldalain Chatbase chatbot script szerepelhet. Amennyiben a chatbot aktív és betöltődik, a Chatbase technikai adatokat és a beszélgetésben megadott adatokat kezelheti.
A chatbot használata során az érintett ne adjon meg különleges adatot vagy olyan személyes adatot, amely a válaszadáshoz nem szükséges. A Chatbase használatához előzetes hozzájárulás szükséges.
Külső CDN-ek és scriptforrások
A honlap egyes stílus- és scriptállományai külső CDN-ről, például unpkg.com-ról töltődhetnek be. Ezek a szolgáltatók a technikai kiszolgáláshoz IP-címet, böngészőadatokat és kért fájlokra vonatkozó adatokat kezelhetnek. Adatvédelmi szempontból javasolt az éles honlapon a szükséges fájlokat saját tárhelyről kiszolgálni.
Külső linkek
A honlap külső weboldalakra, például szakmai projektekre, tudományos publikációkra, DOI-linkekre vagy közösségi oldalakra mutató hivatkozásokat tartalmazhat. Ezek megnyitásakor az érintett az adott külső weboldalra lép át, ahol az adott szolgáltató saját adatkezelési szabályai érvényesek.
8. Adatfeldolgozók és címzettek
Az Adatkezelő a honlap működtetéséhez technikai szolgáltatókat vehet igénybe. Az adatfeldolgozók az Adatkezelő utasításai szerint járnak el, kivéve, ha az adott külső szolgáltató saját célból, önálló adatkezelőként is kezel adatokat.
| Szolgáltató / címzett | Szerep |
|---|---|
| ZeroTime Services Kft. | Tárhelyszolgáltatás, szerverinfrastruktúra, naplózás, biztonsági mentések és technikai üzemeltetéshez kapcsolódó szolgáltatások. |
| Caisy / cyclus.digital GmbH | CMS- és tartalomszolgáltatás a hírek, képek és dinamikus tartalmak kezeléséhez. |
| Google Ireland Limited / Google LLC / YouTube | Külső betűtípusok és YouTube-videó megjelenítése; kapcsolódó technikai adatok és cookie-k kezelése. |
| Chatbase Inc. | Chatbot-szolgáltatás, chatüzenetek és technikai adatok kezelése. Harmadik országbeli adattovábbítás merülhet fel. |
| UNPKG/CDN-szolgáltató és TeleportHQ-csomagok kiszolgálását végző szolgáltatók | Külső CSS/JavaScript erőforrások kiszolgálása. |
| Meta Platforms Ireland Ltd. / Facebook; LinkedIn Ireland Unlimited Company | Közösségi linkek és megosztási funkciók használatakor önálló adatkezelőként járhatnak el. |
| Hatóságok, bíróságok | Jogszabály alapján eljáró szervek, kizárólag a jogszabályban előírt adatok tekintetében. |
9. Harmadik országba történő adattovábbítás
Egyes külső szolgáltatók, különösen a Google/YouTube, a Chatbase, a közösségi platformok vagy a CDN-szolgáltatók az Európai Gazdasági Térségen kívül is kezelhetnek személyes adatokat.
Ilyen adattovábbítás csak a GDPR V. fejezetében meghatározott feltételek mellett történhet, például megfelelőségi határozat, általános adatvédelmi kikötések vagy más megfelelő garancia alapján.
A chatbot használatakor a látogató különösen ügyeljen arra, hogy ne adjon meg egészségügyi adatot, különleges adatot, pénzügyi azonosítót, bizalmas üzleti információt vagy más olyan adatot, amely a kérdés megválaszolásához nem szükséges.
10. Adatbiztonság
Az Adatkezelő megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok védelme érdekében. Ilyen intézkedés lehet különösen a HTTPS/TLS titkosított kapcsolat, hozzáférés-korlátozás, naplózás, biztonsági mentés, jogosultságkezelés, valamint a szolgáltatókkal kötött megfelelő szerződéses és adatvédelmi megállapodás.
Az interneten keresztüli adattovábbítás teljes kockázata nem zárható ki. A látogató ezért e-mailben vagy chatbotban csak olyan adatot küldjön, amely a megkeresés kezeléséhez valóban szükséges.
11. Automatizált döntéshozatal és profilalkotás
Az Adatkezelő a honlap használatával összefüggésben nem végez olyan automatizált döntéshozatalt, amely a látogatóra nézve joghatással járna vagy őt hasonlóan jelentős mértékben érintené.
A feltárt honlapkódban Google Analytics, Meta Pixel vagy más klasszikus látogatottságmérő vagy profilalkotó megoldás nem szerepel. A külső szolgáltatók, például Google, Meta vagy Chatbase saját szolgáltatásaik keretében végezhetnek önálló adatkezelést, amelyre saját adatkezelési tájékoztatóik irányadók.
12. Gyermekek adatai
A honlap általános tájékoztató, szakmai és tudományos célú felület. Az Adatkezelő a honlapon keresztül nem kér és nem gyűjt kifejezetten gyermekektől személyes adatokat.
Amennyiben kiskorú érintett vagy törvényes képviselője kapcsolatba lép az Adatkezelővel, az Adatkezelő az adatokat kizárólag a megkeresés kezeléséhez szükséges mértékben kezeli.
13. Az érintettek jogai
Az érintett a GDPR alapján az alábbi jogokkal élhet:
- Tájékoztatáshoz és hozzáféréshez való jog: az érintett tájékoztatást kérhet arról, hogy az Adatkezelő kezeli-e a személyes adatait, és ha igen, hozzáférést kérhet az adatokhoz és az adatkezelés részleteihez.
- Helyesbítéshez való jog: az érintett kérheti pontatlan személyes adatainak helyesbítését vagy hiányos adatainak kiegészítését.
- Törléshez való jog: az érintett kérheti személyes adatainak törlését, ha az adatkezelés célja megszűnt, az adatkezelés jogellenes, az érintett visszavonta hozzájárulását, vagy más GDPR szerinti feltétel fennáll.
- Adatkezelés korlátozásához való jog: az érintett kérheti az adatkezelés korlátozását, például ha vitatja az adatok pontosságát, vagy az adatkezelés jogellenes, de nem kéri az adatok törlését.
- Adathordozhatósághoz való jog: hozzájáruláson vagy szerződésen alapuló, automatizált módon végzett adatkezelés esetén az érintett kérheti, hogy az általa megadott adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja.
- Tiltakozáshoz való jog: az érintett tiltakozhat a jogos érdeken alapuló adatkezelés ellen.
- Hozzájárulás visszavonása: amennyiben az adatkezelés hozzájáruláson alapul, az érintett a hozzájárulását bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
14. Az érintetti kérelmek kezelése
Az érintett kérelmét az alábbi elérhetőségeken nyújthatja be:
- E-mail: food@foodcontrol.hu
- Postai cím: InDeRe Nonprofit Közhasznú Kft., 1118 Budapest, Budaörsi út 15. 1. emelet 11. ajtó
Az Adatkezelő a kérelmet indokolatlan késedelem nélkül, de legkésőbb egy hónapon belül megválaszolja. Szükség esetén, a kérelem összetettségére vagy a kérelmek számára tekintettel, ez a határidő további két hónappal meghosszabbítható. A hosszabbításról az Adatkezelő egy hónapon belül tájékoztatja az érintettet.
Az Adatkezelő a kérelem teljesítése előtt szükség esetén kérheti az érintett személyazonosságának igazolását, de csak az ehhez szükséges mértékben.
15. Jogorvoslat
Az érintett adatvédelmi kérdéssel vagy panasszal elsőként az Adatkezelőhöz fordulhat a food@foodcontrol.hu e-mail-címen.
Ha az érintett úgy véli, hogy személyes adatainak kezelése sérti a GDPR-t vagy más adatvédelmi szabályt, panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.
Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1055 Budapest, Falk Miksa utca 9–11.
Postacím: 1363 Budapest, Pf. 9.
E-mail: ugyfelszolgalat@naih.hu
Telefon: +36 1 391 1400
Honlap: www.naih.hu
Az érintett bírósághoz is fordulhat. A pert az érintett választása szerint a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindíthatja.
16. A tájékoztató módosítása
Az Adatkezelő fenntartja a jogot, hogy jelen adatkezelési tájékoztatót módosítsa, különösen akkor, ha a honlap működése, az igénybe vett szolgáltatók köre, az adatkezelési célok vagy a jogszabályi környezet megváltozik.
A módosított tájékoztató a honlapon való közzététellel lép hatályba.
Hatályos: 2026. május 15-től
Privacy Notice
This Privacy Notice describes the processing of personal data carried out in connection with the use of the www.indere.hu website operated by InDeRe Élelmezéskutató és Innovációs Intézet Nonprofit Közhasznú Kft.
1. Introduction and scope
This Privacy Notice applies to the browsing of the website, the use of content available on the website, contact by e-mail or telephone, the viewing of news items and publications, the use of external content and services, and technical data processing related to the operation of the website.
This Privacy Notice does not cover data processing carried out in connection with separate research projects, questionnaires, contractual cooperation projects or grant programmes of InDeRe, where a separate privacy notice is provided.
The website does not currently include an online store, online registration, newsletter subscription or traditional contact form. The website may include e-mail and telephone links, news, project pages, publication links, external links, embedded YouTube content and, on certain pages, chatbot functionality.
2. Details of the Data Controller
| Data | Details |
|---|---|
| Data Controller | InDeRe Élelmezéskutató és Innovációs Intézet Nonprofit Közhasznú Korlátolt Felelősségű Társaság |
| Short name | InDeRe Nonprofit Közhasznú Kft. |
| Registered seat | 1118 Budapest, Budaörsi út 15., 1st floor, door 11, Hungary |
| Company registration number | 01-09-287346 |
| Tax number | 13768568-2-43 |
| Website | www.indere.hu |
| food@foodcontrol.hu | |
| Telephone | +36 70 338 2408 |
| Privacy contact | For privacy-related questions, data subjects may contact the Data Controller by e-mail or by post using the contact details above. |
3. Main processor involved in the operation of the website
| Service provider | Role |
|---|---|
| ZeroTime Services Kft. | Hosting services, server operation, ensuring technical availability, backups, server log management and IT support. |
The Data Controller may also use additional technical service providers for the operation of the website, content management, display of external content or IT maintenance. These service providers are listed in the relevant sections of this Privacy Notice.
4. Data processing related to the use of the website
The table below summarises the main data processing situations related to the operation of the website. If the website is extended with new functions, forms, analytics, newsletter services or other external services, this Privacy Notice must be updated accordingly.
| Processing activity | Personal data processed | Purpose | Legal basis | Retention period | Recipients |
|---|---|---|---|---|---|
| Website browsing and server logs | IP address; date and time of visit; visited URL or page; browser and device information; operating system; referrer page; HTTP status code; traffic and error information. | Technical delivery of the website, operational security, troubleshooting, prevention and investigation of misuse and attacks. | Article 6(1)(f) GDPR: the legitimate interest of the Data Controller in ensuring the secure and proper operation of the website. | Log data are processed only for the period necessary for technical and security purposes, generally for no longer than 30 days. In the event of a security incident or legal dispute, data may be retained until the matter is closed. | ZeroTime Services Kft. as hosting provider and any infrastructure or data centre providers used by it. |
| Contact by e-mail or telephone | Name; e-mail address; telephone number; organisation or workplace; message content; attachments; date and time of sending and replying; any other data voluntarily provided by the data subject. | Responding to enquiries, maintaining contact, handling cooperation or service-related requests, and, where necessary, enforcing or defending legal claims. | Article 6(1)(f) GDPR: legitimate interest in handling enquiries. In the case of requests related to services or cooperation, Article 6(1)(b) GDPR: steps prior to entering into a contract. | General enquiries are retained for 1 year after closure. Where the matter is related to a contract, accounting or legal claim, data are retained for the applicable statutory period or for the period necessary for the enforcement of claims. | Designated employees of the Data Controller; e-mail and IT service providers where such providers are used by the Data Controller. |
| Publication of staff and professional profile data on the website | Name; photograph; position; professional biography; qualifications; research field; professional e-mail address; possible links to social or professional profiles. | Presentation of the Data Controller’s research and professional activities, professional transparency and facilitation of contact. | Article 6(1)(f) GDPR: legitimate interest in presenting the organisation and its staff professionally. Where required, the consent of the data subject. | The data remain available on the website as long as the purpose of professional presentation exists, or until an objection, request or the termination of the publication purpose is assessed. | Website visitors; hosting provider; CMS and content delivery service providers. |
| Publication of news, project pages, publications and public professional content | Name, professional capacity, organisational affiliation, image, quote, publication data or project data of persons appearing in the content, where such data are included. | Presentation of scientific, research, professional and public benefit activities; public information; publication and project communication. | Article 6(1)(f) GDPR: legitimate interest in professional communication and information. For images or content requiring consent, the consent of the data subject or another appropriate legal basis. | Content may remain available on the website as long as the publication purpose exists and may also remain available for archival purposes. In the event of a request or justified objection, the Data Controller will assess the necessity of continued publication individually. | Website visitors; hosting provider; CMS and content delivery service providers. |
| News and content loaded from Caisy CMS | Technical query data; content and media identifiers; public content edited in the CMS; metadata necessary for the operation of the system. | Displaying news, images and dynamic content on the website. | Article 6(1)(f) GDPR: legitimate interest in providing up-to-date and secure website content. | Content stored in the CMS is retained as long as the publication purpose exists. Technical logs are retained in accordance with the service provider’s rules and the Data Controller’s settings. | Caisy / cyclus.digital GmbH and the technical subprocessors of the service. |
| External fonts and external CSS/JavaScript resources | IP address; browser and device information; URL of the requested resource; referrer page; time of request. | Ensuring the consistent appearance of the website and loading fonts, stylesheets and interactive elements. | Article 6(1)(f) GDPR: legitimate interest in the operation and display of the website. Where the external resource is not strictly necessary, the Data Controller may apply a consent-based or locally hosted solution. | The Data Controller does not store these data in a separate database. External service providers may process them in accordance with their own logging and privacy rules. | Google Ireland Limited / Google LLC; UNPKG/CDN provider; providers serving TeleportHQ-related packages. |
| Embedded YouTube video | IP address; browser and device information; visited page; video identifier; playback and interaction data; cookies and similar identifiers used by YouTube/Google. | Displaying video content on the website. | Article 6(1)(a) GDPR: consent. For cookies and similar technologies, prior information and consent under electronic communications rules, except for strictly necessary technical operations. | Until consent is withdrawn and otherwise in accordance with Google/YouTube’s own privacy rules. The Data Controller does not have access to complete visitor profiles maintained by YouTube. | Google Ireland Limited / Google LLC / YouTube. |
| Use of the Chatbase chatbot | Messages and data entered in the chat window; IP address; browser and device information; session identifiers; timestamps; technical and content-related metadata of the conversation. | Providing interactive information, answering questions, improving user experience and operating the chatbot. | Article 6(1)(a) GDPR: consent, and processing related to the conversation initiated by the data subject. Users should not provide special category data, health data or other confidential information in the chatbot. | Conversation data are retained according to the chatbot service settings, for no longer than 12 months, unless a deletion request or legal matter requires otherwise. | Chatbase Inc. and its subprocessors. Use of the service may involve transfers to third countries, particularly the United States. |
| Facebook sharing, social links and opening external websites | URL of the shared page; technical data processed by the social platform, such as IP address, browser data, cookies and account data where the visitor is logged in to the relevant service. | Content sharing and opening social media pages or external professional websites. | Sharing or opening an external page is a voluntary action by the visitor. Social media platforms act as independent data controllers in relation to their own processing. | The Data Controller does not maintain a separate sharing database. Social platforms retain data in accordance with their own privacy rules. | Meta Platforms Ireland Ltd. / Facebook; LinkedIn Ireland Unlimited Company, where a LinkedIn link is opened; the operator of the relevant external website. |
| Consent management, where a cookie or external content management solution is introduced | Consent status; selected categories; date and time; technical identifier; possibly IP address or browser data. | Recording and demonstrating the visitor’s choices regarding cookies and external content. | Article 6(1)(c) GDPR: compliance with a legal obligation, and Article 6(1)(f) GDPR: legitimate interest in demonstrating consent. | Until consent is withdrawn or changed, but for no longer than 12 months. After that period, the visitor may be asked to make a new choice. | The selected consent management provider, if such a provider is introduced. |
5. Contact and e-mail communication
The website does not currently contain a traditional contact form or newsletter subscription form. Contact is primarily made by e-mail or telephone.
The Data Controller uses personal data provided by e-mail or telephone solely to respond to enquiries, maintain contact and prepare possible cooperation. The data subject is responsible for providing only data that are necessary for handling the matter.
The provision of special category personal data, such as health data, political opinions, religious beliefs or other sensitive data, is not necessary and is not requested.
If an enquiry concerns another member of the Food Control Group or a cooperating partner, the Data Controller may forward the enquiry to the competent organisation or colleague to the extent necessary for handling the matter.
6. Cookies and similar technologies
A cookie is a small data file that may be stored by the browser on the visitor’s device. Similar technologies may include local storage, session identifiers or other online identifiers.
Based on the reviewed website code, the website does not include its own Google Analytics, Meta Pixel or other remarketing tracking code, and does not include newsletter subscription functionality. No own persistent cookie suitable for identifying visitors was identified in the reviewed code.
However, certain external services, in particular YouTube and Chatbase, may use cookies or similar identifiers. These are not strictly necessary services; therefore, their use should be based on prior, voluntary and withdrawable consent, or the content should be displayed through a two-step solution that loads only after user interaction.
| Cookie / technology | Data processed | Purpose | Legal basis | Retention |
|---|---|---|---|---|
| Own operational cookie | No own persistent cookie suitable for identifying visitors was identified in the reviewed website code. | No separate purpose. The basic delivery of the website is supported by server-side logging. | Not applicable / server logs: legitimate interest. | Not applicable. |
| Google Fonts | The browser may request external font resources, during which IP address and technical headers may be transmitted. | Displaying fonts. | Legitimate interest. To reduce privacy risk, local hosting of fonts is recommended. | According to Google’s own rules. |
| YouTube | YouTube/Google cookies and similar identifiers used when embedded video content is displayed or played. | Video display, playback, security, preferences and service-side statistics. | Consent. | According to Google/YouTube’s own rules. |
| Chatbase | Identifiers or local storage elements related to chat sessions, operation and security. | Operating the chatbot and managing the conversation session. | Consent. | According to Chatbase and the Data Controller’s settings, for no longer than 12 months. |
| Consent management cookie or local storage item | The visitor’s cookie and external content choices. | Remembering and demonstrating consent choices. | Legal obligation / legitimate interest. | No longer than 12 months. |
Visitors may also restrict or delete cookies in their browser settings. However, this may affect the operation of certain website functions.
7. External services and embedded content
YouTube
The website contains embedded YouTube video content. When the video is loaded or played, Google/YouTube may receive technical data about the visitor, in particular IP address, browser data, information about the viewed page and data related to the visitor’s YouTube or Google account if the visitor is logged in.
Loading YouTube videos requires consent. From a privacy perspective, it is recommended to load videos using a two-click solution or privacy-enhanced mode.
Google Fonts
The website may use external fonts. When fonts are loaded, the service provider may receive technical data such as IP address and HTTP headers. From a privacy perspective, it is recommended to host fonts locally.
Facebook / Meta
The website may include Facebook sharing and links to Facebook pages. Data are transmitted to Meta only if the visitor clicks the share button or opens the Facebook link. Meta acts as an independent data controller in accordance with its own privacy notices.
Chatbase
Certain pages of the website may include a Chatbase chatbot script. If the chatbot is active and loaded, Chatbase may process technical data and data entered in the conversation.
When using the chatbot, visitors should not provide special category data or personal data that are not necessary for answering the question. Use of Chatbase requires prior consent.
External CDNs and script sources
Certain stylesheet and script files of the website may be loaded from external CDNs, such as unpkg.com. These service providers may process IP addresses, browser data and information about requested files for technical delivery. From a privacy perspective, it is recommended that the necessary files be served from the website’s own hosting environment on the live website.
External links
The website may contain links to external websites, such as professional projects, scientific publications, DOI links or social media pages. When opening these links, the visitor is transferred to the external website, where the privacy rules of the relevant service provider apply.
8. Processors and recipients
The Data Controller may use technical service providers to operate the website. Processors act on the instructions of the Data Controller, except where an external service provider also processes data for its own purposes as an independent data controller.
| Provider / recipient | Role |
|---|---|
| ZeroTime Services Kft. | Hosting, server infrastructure, logging, backups and technical operation-related services. |
| Caisy / cyclus.digital GmbH | CMS and content delivery services for the management of news, images and dynamic content. |
| Google Ireland Limited / Google LLC / YouTube | Displaying external fonts and YouTube videos; processing related technical data and cookies. |
| Chatbase Inc. | Chatbot service, processing of chat messages and technical data. Third-country transfers may occur. |
| UNPKG/CDN provider and providers serving TeleportHQ-related packages | Serving external CSS/JavaScript resources. |
| Meta Platforms Ireland Ltd. / Facebook; LinkedIn Ireland Unlimited Company | May act as independent data controllers when social links or sharing functions are used. |
| Authorities and courts | Public bodies acting on the basis of law, only in relation to data required by law. |
9. Transfers to third countries
Certain external service providers, in particular Google/YouTube, Chatbase, social media platforms or CDN providers, may process personal data outside the European Economic Area.
Such transfers may take place only under the conditions set out in Chapter V of the GDPR, for example on the basis of an adequacy decision, standard contractual clauses or other appropriate safeguards.
When using the chatbot, visitors should pay particular attention not to provide health data, special category data, financial identifiers, confidential business information or any other data that are not necessary for answering the question.
10. Data security
The Data Controller applies appropriate technical and organisational measures to protect personal data. These may include, in particular, HTTPS/TLS encrypted connections, access restrictions, logging, backups, permission management and appropriate contractual and privacy arrangements with service providers.
The risks of data transmission over the internet cannot be completely excluded. Visitors should therefore send by e-mail or chatbot only data that are truly necessary for handling the enquiry.
11. Automated decision-making and profiling
The Data Controller does not carry out automated decision-making in connection with the use of the website that would produce legal effects concerning visitors or similarly significantly affect them.
Based on the reviewed website code, the website does not include Google Analytics, Meta Pixel or other classic visitor analytics or profiling solutions. External service providers such as Google, Meta or Chatbase may carry out independent processing within their own services, which is governed by their own privacy notices.
12. Children’s data
The website is a general informational, professional and scientific platform. The Data Controller does not specifically request or collect personal data from children through the website.
If a minor data subject or their legal representative contacts the Data Controller, the Data Controller processes the data only to the extent necessary for handling the enquiry.
13. Rights of data subjects
Under the GDPR, data subjects may exercise the following rights:
- Right to information and access: the data subject may request information on whether the Data Controller processes their personal data and, if so, may request access to the data and the details of processing.
- Right to rectification: the data subject may request the correction of inaccurate personal data or the completion of incomplete data.
- Right to erasure: the data subject may request the deletion of their personal data if the purpose of processing has ceased, the processing is unlawful, the data subject has withdrawn consent, or another GDPR condition applies.
- Right to restriction of processing: the data subject may request restriction of processing, for example if they dispute the accuracy of the data or if the processing is unlawful but they do not request deletion.
- Right to data portability: in the case of processing based on consent or contract and carried out by automated means, the data subject may request to receive the data provided by them in a structured, commonly used and machine-readable format.
- Right to object: the data subject may object to processing based on legitimate interest.
- Withdrawal of consent: where processing is based on consent, the data subject may withdraw consent at any time. Withdrawal does not affect the lawfulness of processing carried out before withdrawal.
14. Handling data subject requests
Data subjects may submit their requests using the following contact details:
- E-mail: food@foodcontrol.hu
- Postal address: InDeRe Nonprofit Közhasznú Kft., 1118 Budapest, Budaörsi út 15., 1st floor, door 11, Hungary
The Data Controller will respond to the request without undue delay and no later than within one month. Where necessary, taking into account the complexity and number of requests, this period may be extended by a further two months. The Data Controller will inform the data subject of any extension within one month.
Before fulfilling a request, the Data Controller may request proof of the data subject’s identity where necessary, but only to the extent required for identification.
15. Remedies
Data subjects may first contact the Data Controller with any privacy-related question or complaint at food@foodcontrol.hu.
If the data subject believes that the processing of their personal data infringes the GDPR or other data protection rules, they may lodge a complaint with the Hungarian National Authority for Data Protection and Freedom of Information.
Hungarian National Authority for Data Protection and Freedom of Information
Address: 1055 Budapest, Falk Miksa utca 9–11., Hungary
Postal address: 1363 Budapest, Pf. 9., Hungary
E-mail: ugyfelszolgalat@naih.hu
Telephone: +36 1 391 1400
Website: www.naih.hu
The data subject may also turn to court. The lawsuit may also be brought before the court having jurisdiction over the data subject’s place of residence or stay, at the data subject’s choice.
16. Amendments to this Privacy Notice
The Data Controller reserves the right to amend this Privacy Notice, in particular if the operation of the website, the range of service providers used, the purposes of processing or the legal environment changes.
The amended Privacy Notice enters into force upon publication on the website.
Effective as of: 15 May 2026

