Adatvédelmi Nyilatkozat
1. Az adatkezelő adatai
Cégnév: Váradi Ker. és Szolg. Bt.
Székhely: 2344 Dömsöd, Ráckevei út 38.
Adószám: 20665766-2-13
Cégjegyzékszám: Cg. 13-06-054679
Képviselő: Váradi Ákos
Kapcsolattartás: hello@kozlonyfigyelo.hu
Tárhelyszolgáltató: Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA)
A Szolgáltató (a továbbiakban: Adatkezelő) a kozlonyfigyelo.hu domain alatt elérhető Közlönyfigyelő szolgáltatás (a továbbiakban: Szolgáltatás) keretében az alábbiakban részletezett személyes adatokat kezeli az érintettekről. Az Adatkezelő a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szóló (EU) 2016/679 rendelet (a továbbiakban: GDPR) és a magyar jog vonatkozó rendelkezései, különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) szerint jár el.
Az Adatkezelő méretére, tevékenységi körére és az adatkezelés jellegére tekintettel a GDPR 37. cikke alapján nem köteles külön adatvédelmi tisztviselőt (DPO) kinevezni. Adatvédelmi kérdésekben a kapcsolattartó Váradi Ákos képviselő, a fent megadott e-mail címen.
2. A tájékoztató hatálya, fogalmak
A jelen Adatvédelmi Nyilatkozat (a továbbiakban: Tájékoztató) az Adatkezelő által a kozlonyfigyelo.hu domain alatt elérhető Szolgáltatással összefüggésben végzett személyes adatkezelésekre terjed ki. A Tájékoztató a Szolgáltatás Általános Szerződési Feltételeinek elválaszthatatlan részét képezi.
A Tájékoztatóban használt fogalmak (a GDPR 4. cikkével összhangban):
- Érintett: az a természetes személy, akinek személyes adatát az Adatkezelő kezeli (jellemzően: az Előfizető és az Előfizető által megadott további értesítési címekkel rendelkező munkatársak).
- Személyes adat: az érintettel kapcsolatba hozható bármely információ.
- Adatkezelő:az adatkezelés céljait és eszközeit önállóan vagy másokkal együtt meghatározó természetes vagy jogi személy – a jelen Tájékoztató 1. pontja szerinti társaság.
- Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, aki vagy amely az Adatkezelő nevében személyes adatokat kezel.
- Hozzájárulás: az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása.
3. A kezelt adatok körei, céljai, jogalapjai
Az Adatkezelő az alábbi adatkategóriákat kezeli a megjelölt célból és jogalapon. A jogalapok hivatkozásai a GDPR 6. cikk (1) bekezdésére utalnak.
| Adatkör | Konkrét adatok | Cél | Jogalap |
|---|---|---|---|
| 3.1. Regisztráció és fiókkezelés | név, e-mail cím, jelszó kriptográfiai hash-e | a fiók működtetése, az érintett azonosítása, bejelentkezés | GDPR 6. cikk (1) bek. b) pont – szerződés teljesítése |
| 3.2. Előfizetés és számlázás | cégnév, adószám, számlázási cím, Stripe vásárlói azonosító | a díjfizetés feldolgozása, magyar számla kiállítása és megőrzése | GDPR 6. cikk (1) bek. b) pont – szerződés + c) pont – jogi kötelezettség (a számvitelről szóló 2000. évi C. törvény 169. § (2) bek.) |
| 3.3. E-mail értesítés | értesítési e-mail cím(ek), kézbesítési státusz, leiratkozás dátuma | a megrendelt szolgáltatás teljesítése (közlöny-értesítések kiküldése) | GDPR 6. cikk (1) bek. b) pont – szerződés teljesítése |
| 3.4. Sütik és webelemzés | session és CSRF süti, GA4 ügyfél-azonosító, Meta Pixel azonosító, IP-cím, eseménynapló | a bejelentkezés fenntartása; webhasználat statisztikai mérése; hirdetési visszamérés | GDPR 6. cikk (1) bek. a) pont – hozzájárulás (statisztikai és marketing célú sütik); f) pont – jogos érdek (szigorúan szükséges sütik) |
| 3.5. Ügyfélszolgálati kommunikáció | e-mail cím, üzenet tartalma | beérkező megkeresések megválaszolása | GDPR 6. cikk (1) bek. f) pont – jogos érdek (válaszadás) |
Bankkártya-adatok: a Stripe Checkout során az érintett által megadott bankkártya-adatokat az Adatkezelő nem ismeri meg és nem tárolja; azokat kizárólag a Stripe Payments Europe Ltd. kezeli a saját szerződési feltételei és adatvédelmi tájékoztatója szerint.
4. Adatfeldolgozók (alvállalkozók)
Az Adatkezelő a Szolgáltatás működtetéséhez az alábbi adatfeldolgozókat veszi igénybe. Mindegyik adatfeldolgozóval írásbeli adatfeldolgozói szerződés van érvényben (GDPR 28. cikk). Az érintett adatfeldolgozók saját adatvédelmi tájékoztatóinak megismerésére az érintett a megjelölt hivatkozásokon keresztül jogosult.
| Adatfeldolgozó | Székhely | Kezelt adat | Adattovábbítás jogi háttere |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Írország (anyacég: Stripe, Inc., USA) | név, e-mail, számlázási cím, fizetési metaadatok (kártyaadat: csak a Stripe-nál) | EU-térségi adatkezelés; USA felé EU-USA Data Privacy Framework, illetve SCC |
| Wildbit, LLC (Postmark) | USA | e-mail cím, levél tárgya és tartalma, kézbesítési és aktivitási napló | EU-USA Data Privacy Framework, illetve SCC |
| Billingo Technologies Zrt. | Magyarország | cégnév, adószám, székhely, kiállított számlák adatai | EU belső adatkezelés (Magyarország) |
| Vercel Inc. | USA | a Szolgáltatás futtatása során a webappon átfolyó minden adat | EU-USA Data Privacy Framework, illetve SCC |
| Neon Inc. | USA (anyacég); az adatok EU-térségben tárolódnak (AWS eu-central-1, Frankfurt) | az adatbázis teljes tartalma (név, e-mail, jelszó-hash, számlázási adatok, előfizetési adatok) | EU-térségi adattárolás; az anyacég felé történő esetleges hozzáférésre EU-USA Data Privacy Framework, illetve SCC alkalmazandó |
| Google Ireland Ltd. (Google Analytics 4) | Írország (anyacég: Google LLC, USA) | süti-azonosító, csonkolt IP-cím, eseménynapló | kizárólag az érintett hozzájárulása esetén; EU-térségi + EU-USA Data Privacy Framework / SCC az anyacég felé |
| Meta Platforms Ireland Ltd. (Meta Pixel) | Írország (anyacég: Meta Platforms, Inc., USA) | süti-azonosító, IP-cím, eseménynapló | kizárólag az érintett hozzájárulása esetén; EU-térségi + EU-USA Data Privacy Framework / SCC az anyacég felé |
Az Anthropic Claude API mint mesterséges intelligencia szolgáltatás: az Adatkezelő a Magyar Közlöny és a Hivatalos Értesítő tartalmának feldolgozásához az Anthropic, PBC (USA) Claude API szolgáltatását veszi igénybe. Az API-nak kizárólag a Magyar Közlöny és a Hivatalos Értesítő nyilvánosan közzétett szövegét továbbítjuk. Felhasználói személyes adatot (e-mail cím, név, fiókadatok, számlázási adatok) az Anthropic semmilyen formában nem ismer meg. Az Anthropic ezért a GDPR 4. cikk 8. pontja értelmében nem minősül adatfeldolgozónak a jelen Tájékoztató szempontjából, mivel a továbbított adat nem személyes adat.
5. Sütik és helyi tárolt adatok
A Szolgáltatás sütiket és a böngésző helyi tárolóját (localStorage) használja az alábbiak szerint. A statisztikai és marketing célú sütik kizárólag az érintett előzetes hozzájárulása esetén kerülnek beállításra; a hozzájárulás a weboldalon megjelenő hozzájárulás-kezelő banneren keresztül adható meg vagy vonható vissza.
| Tárolt elem | Típus | Cél | Élettartam | Hozzájárulás szükséges? |
|---|---|---|---|---|
next-auth.session-token és társai | süti | bejelentkezés fenntartása | session vagy max. 30 nap | nem (szigorúan szükséges) |
next-auth.csrf-token | süti | CSRF támadások elleni védelem | session | nem (szigorúan szükséges) |
kf-consent-v1 | localStorage | a süti-hozzájárulás állapotának megőrzése | a böngésző tárolójának kiürítéséig (a hozzájárulás 24 hónap után újraerősítendő) | nem (a hozzájárulás dokumentálásához szükséges) |
_ga, _ga_* | süti | Google Analytics 4 webelemzés | 24 hónap | igen (statisztika) |
_fbp, _fbc | süti | Meta Pixel hirdetési visszamérés és retargeting | 90 nap | igen (marketing) |
A statisztikai és marketing célú sütik beállítását a hozzájárulás-kezelő banneren keresztül bármikor módosíthatja, illetve a böngészője süti-beállításaiból törölheti. A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
6. Az adatok megőrzési ideje
Az Adatkezelő az alábbi időtartamokig őrzi az egyes adatkategóriákat. A megőrzési idők lejártakor az adatok törlésre vagy – statisztikai célra – visszafordíthatatlanul anonimizálásra kerülnek, kivéve, ha jogszabály hosszabb megőrzést ír elő.
| Adatkör | Megőrzési idő | Indok |
|---|---|---|
| Név, e-mail (aktív előfizető) | az előfizetés megszűnését követő 12 hónap | visszatérő ügyfelek fiókhelyreállításához és audit naplózáshoz |
| Számlázási adatok (cégnév, adószám, székhely, számla) | a számla kiállításától számított 8 év | a számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése |
| Bejelentkezési hash, session adatok | a fiók törlésétől számított 90 nap | incidens-vizsgálat (a NIS2 irányelv és a NAIH ajánlása szerint) |
| Süti-hozzájárulási napló | a hozzájárulás megadásától számított 24 hónap | a hozzájárulás bizonyíthatósága (GDPR 7. cikk (1) bek.) |
| E-mail kézbesítési és aktivitási napló (Postmark) | 45 nap (a Postmark adatfeldolgozó beállítása szerint) | kézbesíthetőségi hibák diagnosztikája és visszakövethetősége |
A 8 éves számla-megőrzési időszak letelte után, ha az érintett egyéb adatait (név, e-mail) addig még nem töröltük (pl. a fiók nem szűnt meg), azokat is töröljük; a kötelezően megőrzött számlák a Billingo Technologies Zrt. rendszerében a magyar számlamegőrzési előírásoknak megfelelően maradnak.
7. Az érintett jogai
A GDPR és az Infotv. szerint az érintett az alábbi jogokat gyakorolhatja az Adatkezelővel szemben.
| Jog | Hivatkozás | Mit jelent |
|---|---|---|
| Hozzáférés joga | GDPR 15. cikk | tájékoztatás és másolat a kezelt személyes adatokról |
| Helyesbítéshez való jog | GDPR 16. cikk | pontatlan adat javítása, hiányos adat kiegészítése |
| Törléshez („elfeledtetéshez”) való jog | GDPR 17. cikk | az adatok törlése (a kötelező megőrzési idők keretein belül) |
| Korlátozáshoz való jog | GDPR 18. cikk | az adatkezelés felfüggesztése vita vagy ellenőrzés idejére |
| Adathordozhatósághoz való jog | GDPR 20. cikk | géppel olvasható formátumú adatkivonás és átvitel másik adatkezelőhöz |
| Tiltakozáshoz való jog | GDPR 21. cikk | jogos érdek alapú adatkezeléssel szembeni tiltakozás |
| Hozzájárulás visszavonásához való jog | GDPR 7. cikk (3) bek. | sütik vagy más hozzájáruláson alapuló adatkezelés visszavonása |
| Automatizált döntéshozatallal kapcsolatos jog | GDPR 22. cikk | az Adatkezelő nem alkalmaz ilyet (lásd 9. fejezet) |
Jogok érvényesítése: a jogokat az érintett a hello@kozlonyfigyelo.hu címen jelentheti be. Az Adatkezelő a kérelmet annak beérkezésétől számított 30 napon belülérdemi válasszal teljesíti vagy – a kérelem összetettsége esetén – a határidőt további 60 nappal meghosszabbítja, erről az érintettet 30 napon belül tájékoztatja (GDPR 12. cikk (3) bek.).
8. Adatbiztonság
Az Adatkezelő a GDPR 32. cikkével összhangban a tudomány és technika állásának, a megvalósítás költségeinek, valamint az érintettek jogaira és szabadságaira jelentett kockázatnak megfelelő technikai és szervezési intézkedéseket alkalmaz.
- Az adatátvitel TLS (HTTPS) titkosítással történik.
- A jelszavak bcryptjs kriptográfiai hash-eléssel kerülnek tárolásra; nyílt szövegben sem az Adatkezelő, sem alvállalkozója nem ismeri meg azokat.
- Az adatbázis (Neon) at-rest titkosítást alkalmaz; a Vercel hosting-szolgáltató SOC 2 Type II tanúsítással rendelkezik.
- A személyes adatokhoz csak az Adatkezelő képviselője és a 4. fejezetben felsorolt adatfeldolgozók szerződésben rögzített, szükséges mértékű hozzáféréssel rendelkező munkatársai férnek hozzá.
- Az AI-alapú feldolgozás során személyes adatot harmadik félnek nem továbbítunk; az Anthropic Claude API kizárólag a Magyar Közlöny nyilvánosan közzétett szövegét dolgozza fel (lásd 4. fejezet).
9. Automatizált döntéshozatal és profilalkotás
Az Adatkezelő a felhasználókkal kapcsolatban nem alkalmaza GDPR 22. cikke szerinti, kizárólag automatizált adatkezelésen alapuló – az érintettre nézve joghatással járó vagy az érintettet hasonlóan jelentős mértékben érintő – döntéshozatalt vagy profilalkotást. A Szolgáltatás AI-alapú elemzése a Magyar Közlöny szövegére irányul, nem a felhasználói viselkedés alapján történik felhasználói minősítés vagy döntés.
10. Adatvédelmi incidens kezelése
Adatvédelmi incidens (személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés) bekövetkezése esetén az Adatkezelő:
- 72 órán belül bejelenti az incidenst a NAIH felé, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve (GDPR 33. cikk).
- Magas kockázattal járó incidens esetén az érintetteket is közvetlenül tájékoztatja (GDPR 34. cikk), elsősorban e-mail útján.
- Az incidensekről belső nyilvántartást vezet (incidens-napló), amely a NAIH ellenőrzése során bemutatható.
11. Panaszjog, jogorvoslat
Az érintett az adatkezeléssel kapcsolatos panaszát első körben közvetlenül az Adatkezelőhöz nyújthatja be a hello@kozlonyfigyelo.hu címen. A panaszra az Adatkezelő 30 napon belül érdemi választ ad.
Az érintett panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) is fordulhat:
Cím: 1055 Budapest, Falk Miksa utca 9–11.
Levélcím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391-1400
Telefax: +36 (1) 391-1410
E-mail: ugyfelszolgalat@naih.hu
Web: naih.hu
Az érintett a jogainak megsértése esetén a lakóhelye vagy tartózkodási helye szerint illetékes bírósághoz is fordulhat, illetve közvetlenül az Európai Unió Bíróságához az alkalmazandó eljárásjogi szabályok szerint.
12. A Tájékoztató módosítása, hatály
A jelen Tájékoztató 1.0 verziója 2026. május 1-jétől hatályos. Az Adatkezelő fenntartja a jogot a Tájékoztató egyoldalú módosítására. Lényeges, az érintett jogait befolyásoló változás esetén az Adatkezelő az aktív előfizetőket e-mailben, illetve a Szolgáltatás bejelentkezett felületén keresztül tájékoztatja a változás hatálybalépését megelőzően.
A Tájékoztató korábbi verziói – archív formában – az érintett kérésére a hello@kozlonyfigyelo.hu címen igényelhetők.