Adatvédelmi tájékoztató

1. Bevezetés és hatály

Jelen Adatvédelmi tájékoztató („Tájékoztató”) a Smart Ring Commercial Kft. („Adatkezelő”, „mi”, „minket”) által üzemeltetett Naptáram elnevezésű online szolgáltatásra és a hozzá kapcsolódó weboldalra („Szolgáltatás”, „Webhely”) vonatkozik. A Webhely használatával Ön tudomásul veszi jelen Tájékoztató rendelkezéseit.

Személyes adatainak kezelése során az Európai Parlament és a Tanács (EU) 2016/679 rendelete („GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) és az ezek végrehajtására kiadott jogszabályok az irányadók.

2. Az adatkezelő és az elérhetőségek

• Cégnév: Smart Ring Commercial Kft.
• Székhely (cégjegyzékszerinti): 2713 Csemő, Iskola dűlő 4/C. Ez a cím kizárólag a társaság bejegyzett székhelye; nem ügyfélfogadásra vagy személyes ügyintézésre szolgáló üzlethelyiség.
• E-mail (adatvédelmi megkeresések): hello@naptaram.com

Adatvédelmi kérdéseit, valamint az érintetti jogok gyakorlására irányuló kérelmeit elsősorban a fenti e-mail címre küldheti meg. A beazonosítás érdekében kérjük, adja meg regisztrált e-mail címét, ha rendelkezik fiókkal.

3. Fogalmak

• Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.
• Adatkezelés: a személyes adatokon végzett bármely művelet vagy műveletek összessége.
• Adatfeldolgozó: az a természetes vagy jogi személy, aki az adatkezelő nevében személyes adatokat kezel.
• Szervező / Felhasználó: aki a Szolgáltatásban regisztrált fiókot hoz létre, és időpontfoglalási lehetőséget biztosít ügyfelei, ügyfelei vagy partnerei számára.
• Vendég / Foglaló: aki a Szervező által közzétett foglalási felületen időpontot foglal, és ehhez adatot ad meg.

4. Milyen személyes adatokat kezelünk?

A kezelt adatok köre attól függ, Ön a Szolgáltatást milyen minőségben használja (Szervezőként, illetve Vendégként), valamint milyen funkciókat kapcsol be (például Google Naptár összekötés, böngésző push-értesítés).

4.1. Regisztrált Felhasználó (Szervező) adatai

• Azonosító és belépési adatok: a Supabase hitelesítési rendszer által kezelt fiók-azonosító; e-mail cím; jelszó kivonata (a jelszót nem tároljuk olvasható formában); opcionálisan Google-fiókkal történő belépés esetén a Google által átadott, a bejelentkezéshez szükséges azonosító adatok.
• Profil- és kapcsolattartási adatok: keresztnév, vezetéknév, megadott esetén telefonszám, profilkép URL vagy avatar, időzóna-beállítás.
• Szervezői fiók („account”) adatai: megjelenített név vagy vállalkozás neve, nyilvános foglalási URL részét képező azonosító (slug), alapértelmezett időzóna, megjelenéshez kapcsolódó beállítások (például téma szín), értesítési beállítások, opcionálisan profilkép tárolási kulcs.
• Előfizetéshez kapcsolódó adatok: díjcsomag típusa (ingyenes, havi, éves, örökös élettartamú csomag), Stripe ügyfél- és előfizetés-azonosítók, előfizetés állapotával kapcsolatos adatok — a bankkártya adatait a Stripe kezeli, azokhoz mi közvetlenül nem férünk hozzá. A számla kiállításához a fizetéshez megadott számlázási adatok (név, cím, adóazonosítók, e-mail) a Billingo felé továbbíthatók a számla és a számla kiküldése érdekében.

4.2. Vendég (Foglaló) adatai

A foglalás során a Szervező által beállított űrlap szerint kezelhetők többek között:

• név, e-mail cím, időpont és időzóna adatok;
• a foglaláshoz kapcsolódó szabad szöveges megjegyzés, valamint a Szervező által felvett egyedi kérdésekre adott válaszok;
• technikai adatok: IP-cím és böngésző „user agent” string a visszaélések megelőzése, biztonság és minőségbiztosítás céljából;
• ha a Szervező Google Naptár integrációt használ: a foglaláshoz kapcsolódó Google Naptár esemény azonosító, illetve ha a szolgáltatás ilyen funkciót ad, Google Meet link.

Kettős szerep tisztázása: a Vendég személyes adatait a Szolgáltatáson keresztül elsősorban a Szervező saját üzleti céljai érdekében rögzítjük és jelenítjük meg; a Szervező a saját tevékenységében önálló adatkezelőként járhat el a Vendéggel szemben (például tájékoztató, jogalap, megőrzés). Mi a Szolgáltatás nyújtása keretében adatfeldolgozóként vagy közös adatkezelési struktúrában kezelhetünk adatot — ennek részleteit a Szervezőnek saját tájékoztatójában célszerű rendeznie a Vendéggel.

4.3. Google Naptár integráció

Ha a Szervező összeköti Google-fiókját, kezelhetjük többek között: a Google-fiók e-mail címét (azonosítás), a naptárhoz való hozzáférést biztosító, titkosított refresh token formájában tárolt hitelesítő adatot, naptár-azonosítót, szinkronizálással kapcsolatos technikai metaadatokat (a vonatkozó biztonsági intézkedések részleteit lásd a §5.1. pontban). A Google OAuth engedélyköre a Szolgáltatás aktuális beállításainak megfelelően tartalmazhatja többek között a naptáresemények olvasását és létrehozását/módosítását, valamint az e-mail cím lekérését a fiók azonosítása céljából.

Google felhasználói adatok — részletes tájékoztatás és felhasználási korlátok

A Google OAuth és a Google Naptár programozói felületein (Google Calendar API stb.) keresztül elérhető Google felhasználói adatok vonatkozásában többek között az alábbiakra hívjuk fel a figyelmet:

• Gyűjtött / feldolgozott adatkörök (jellemzően): a kapcsolódó Google-fiók e-mail címe (a hozzáférés összekapcsolásához és megjelenítéséhez); a naptárakhoz, eseményekhez, szabad/foglalt információhoz kapcsolódó API-n keresztül elért adatok; a hitelesítéshez szükséges tokenek és kapcsolódó technikai azonosítók; a szinkronizálás, értesítési csatorna és naplózási célú metaadatok — mindenekelőtt annyiban, amennyiben a Szervező a funkciót bekapcsolta.
• Felhasználás célja: kizárólag a Szolgáltatás azon felhasználó által közvetlenül igénybe vehető funkcióinak biztosítása és karbantartása, illetve ezekhez kapcsolódóan — szükség szerint — a felhasználói élmény javítása (például megbízható szinkronizálás, ütközések elkerülése). Konkrétan ide tartozik többek között: Google-fiók összekapcsolása; foglalások Google Naptár-eseményként történő létrehozása, módosítása és törlése; foglalható idősávok és ütközések ellenőrzése a Google Naptárban látható foglaltság alapján; valamint — ha a funkció elérhető — Google Meet videókonferencia-hivatkozás létrehozása a Google Naptár eseményhez kapcsolódó konferencia-adatok útján (a Meet nem külön „adatforrás” a tájékoztató szempontjából, hanem a naptáresemény részeként jelenhet meg).
• Továbbítás és korlátozott felhasználás: a Google felhasználói adatokat nem értékesítjük, és nem továbbítjuk adatkereskedőknek vagy hirdetési hálózatoknak. A Google felhasználói adatokat nem használjuk célzott vagy viselkedésalapú reklámra, újracélzott hirdetésre, felhasználói profilok „építésére” értékesítési céllal, hitelbírálati vagy hasonló automatizált döntésekhez, illetve mesterséges intelligencia modellek tanításához vagy finomhangolásához. Adattovábbítás elsősorban a szolgáltatás működtetéséhez szükséges adatfeldolgozók felé (lásd §7), valamint a Google által biztosított felhőszolgáltatások keretében — az Ön által a Google felé elfogadott feltételek szerint — történhet.

A Szolgáltatás a Google felhasználói adatok kezelése során megfelel a Google API Services User Data Policy előírásainak, beleértve a korlátozott felhasználási követelményeket (Limited Use requirements).

4.4. Értesítések (e-mail, web push)

• E-mail: tranzakciós és szolgáltatáshoz kapcsolódó üzenetek (például foglalás visszaigazolás, emlékeztetők) küldése érdekében az érintett e-mail címe és az üzenet tartalma kezelhető.
• Web push: ha a Szervező bekapcsolja, a böngésző push feliratkozáshoz kapcsolódó technikai adatok (végpont URL, kulcsok) tárolhatók a push értesítés kézbesítéséhez.

4.5. Naplók, biztonság, fizetési események

• Szerveroldali naplókban technikai információk (például hibakeresés, visszaélések kivizsgálása) korlátozott ideig kezelhetők.
• A Stripe felé továbbított fizetési események feldolgozásához kapcsolódó metaadatok (például eseményazonosító, feldolgozási állapot) nyilvántartásba vehetők a helyes számlázás és előfizetés kezelése érdekében. A Billingo felé történő számlagenerálás nyomonkövetéséhez technikai metaadatok (például Stripe esemény- vagy számlaazonosító, Billingo dokumentumazonosító, feldolgozási állapot) tárolhatók.

5. Az adatkezelés céljai és jogalapjai

Az adatkezelés jogalapját minden adatkörre nézve a GDPR 6. cikke szerint határozzuk meg. Az alábbiak tájékoztató jellegű összefoglalás; az egyes műveletek során a jogalap a kontextustól függően változhat.

• Szerződés teljesítése (GDPR 6. cikk (1) b) pont): fiók létrehozása és fenntartása, foglalások rögzítése, értesítések, előfizetéshez kapcsolódó szolgáltatások, a Szervező által beállított foglalási szabályok végrehajtása.
• Jogos érdek (GDPR 6. cikk (1) f) pont): információbiztonság, visszaélések és automatizált támadások megelőzése és kivizsgálása, minőségbiztosítás, a Szolgáltatás fejlesztése (aggregált vagy pseudonimizált formában, ahol lehetséges), jogviták előkészítése. Az érintett jogos érdekünkhöz fűződő adatkezeléssel szemben tiltakozhat; ilyenkor megvizsgáljuk, hogy jogos indokunk előbbre való-e.
• Jogi kötelezettség (GDPR 6. cikk (1) c) pont): törvényben előírt megőrzési vagy jelentési kötelezettségek teljesítése (ha alkalmazandó).
• Hozzájárulás (GDPR 6. cikk (1) a) pont): amennyiben egy adatkezelési művelethez külön hozzájárulást kérünk (például opcionális marketing, nem nélkülözhető süti), a hozzájárulás önkéntes visszavonhatóságának feltételei szerint.

Automatizált döntéshozatal: a Szolgáltatás nem alkalmaz az érintettre nézve joghatással járó, vagy őt hasonlóképpen jelentős mértékben érintő kizárólag automatizált döntéshozatalt a GDPR 22. cikk értelmében.

5.1. Adatbiztonsági és védelmi intézkedések

Megfelelő technikai és szervezési intézkedéseket alkalmazunk annak érdekében, hogy a kezelt személyes adatokat megvédjük az illetéktelen hozzáféréstől, elvesztéstől, megsemmisítéstől vagy megváltoztatástól. Az alkalmazott intézkedések különösen az alábbiakra terjednek ki:

• Titkosítás az átvitel során: A böngésző/eszköz és szervereink közötti kommunikáció kizárólag TLS-titkosítással (HTTPS) történik. A harmadik fél adatfeldolgozókkal (Supabase, Stripe, Google API-k, ZeptoMail) folytatott adatforgalom szintén kizárólag titkosított csatornákon bonyolódik.
• Titkosítás tárolás során: Az érzékeny hitelesítő adatokat — beleértve a Google OAuth refresh tokeneket és a jelszókivonatokat — titkosított vagy kriptográfiailag kivonatolva tároljuk az adatbázisban. Jelszavakat olvasható formában nem tárolunk. A Google OAuth tokenek az adatbázisba írás előtt alkalmazásszintű titkosításon esnek át.
• Hozzáférés-szabályozás: A személyes adatokat kezelő rendszerekhez kizárólag arra jogosult személyzet fér hozzá, szükségességi alapon (a legkisebb jogosultság elve). Infrastruktúra-szolgáltatónknál (Supabase) szerepkör-alapú hozzáférés-szabályozást alkalmazunk az adathozzáférés korlátozása érdekében.
• Harmadik fél infrastruktúrájának biztonsága: Elsődleges adattárolási és hitelesítési infrastruktúránkat a Supabase biztosítja, amely iparági szintű biztonsági gyakorlatokat alkalmaz, beleértve a tárolásközi titkosítást és a rendszeres biztonsági auditokat. A fizetési adatokat kizárólag a PCI DSS tanúsítvánnyal rendelkező Stripe kezeli.
• Google felhasználói adatok — különleges védelem: A Google OAuth-on keresztül megszerzett adatokat (beleértve a Google Naptár adatait és a kapcsolódó refresh tokent) kizárólag a §4.3-ban leírt célokra használjuk. Ezek az adatok titkosítva tárolódnak, jogosulatlan harmadik feleknek nem kerülnek átadásra, reklámcélra vagy mesterséges intelligencia modellek tanítására nem használjuk őket, és az integráció megszüntetésekor, illetve a fiókot törléskor törlésre kerülnek. A Google felhasználói adatokhoz való belső hozzáférés a szolgáltatás működtetéséhez szükséges minimumra korlátozódik.
• Biztonsági monitoring és incidenskezelés: Rendszereinket illetéktelen hozzáférés és visszaélések jelei szempontjából folyamatosan monitorozzuk. Személyes adatokat érintő biztonsági incidens esetén — amennyiben azt a GDPR 33. cikke megköveteli — az illetékes felügyeleti hatóságot (NAIH) 72 órán belül értesítjük, az érintetteket pedig indokolatlan késedelem nélkül tájékoztatjuk, ha az incidens valószínűsíthetően magas kockázattal jár jogaikra és szabadságaikra nézve (GDPR 34. cikk).
• Megőrzés és törlés: A személyes adatokat — beleértve a Google felhasználói adatokat is — a §8-ban foglaltak szerint töröljük vagy visszafordíthatatlanul anonimizáljuk. A fiók törlésekor vagy a Google-integráció leválasztásakor a kapcsolódó tokenek és adatok az aktív rendszerekből törlésre kerülnek.

6. Kötelező és opcionális adatszolgáltatás

A Szolgáltatás alapfunkcióihoz bizonyos adatok megadása szükséges (például regisztrációhoz e-mail, foglaláshoz a Szervező által megkövetelt mezők). Ezek hiányában a Szolgáltatás nem, vagy csak korlátozottan használható. Az opcionális funkciók (Google Naptár, push) kikapcsolása nem akadályozza a Szolgáltatás egyéb részeinek használatát, kivéve, ha az adott funkció nélkül a Szervező saját üzleti folyamata nem kivitelezhető.

7. Címzettek, adatfeldolgozók, adattovábbítás

A személyes adatokat bizalmasan kezeljük. Az alábbi szolgáltatók adatfeldolgozóként vagy önálló adatkezelőként jelenhetnek meg a Szolgáltatás működtetése során:

• Supabase Inc. — tárhely, adatbázis, hitelesítés (Supabase platform). A szerződéses feltételek és adatvédelmi dokumentumok a Supabase webhelyén érhetők el.
• Stripe, Inc. és kapcsolt vállalkozások — online fizetés, előfizetés-kezelés, számlázással kapcsolatos funkciók (adatkezelői minőségük a Stripe feltételei szerint). A fizetési kártyaadatokat a Stripe kezeli.
• Billingo Technologies Zrt. (Billingo) — elektronikus számla kiállítása és kiküldése a Stripe-on keresztül teljesített fizetésekhez; a Billingo adatkezelése a Billingo feltételei és tájékoztatója szerint történik.
• Google Ireland Limited / Google LLC — Google bejelentkezés és opcionális Google Naptár integráció.
• Zoho (ZeptoMail) — tranzakciós e-mailek kézbesítése a ZeptoMail szolgáltatáson keresztül.

Egyes szolgáltatók harmadik országban (például az Egyesült Államokban) is folytathatnak adatkezelési tevékenységet. Ilyen esetben az adattovábbítás jogalapját a GDPR V. fejezete szerinti megfelelőségi döntés, standard szerződéses kikötések („SCC”) vagy más, jogszabályban előírt garancia biztosítja. A konkrét mechanizmus a mindenkori szerződéses megállapodásoktól függ.

8. Az adatok megőrzésének időtartama

• Felhasználói fiók adatai: a fiók meglétéig, illetve a törlési kérelem feldolgozásáig; törlés után a törvényi vagy bizonyíthatósági okból szükséges adatok korlátozott ideig (maximum 3 évig) visszaállíthatatlanul pseudonimizált naplókban szerepelhetnek.
• Foglalások és kapcsolódó válaszok: a Szervező üzleti szükségletei és jogszabályi megőrzési kötelezettségek szerint, a fiók fennállásáig.
• Google integráció tokenjei: a kapcsolat megszüntetéséig vagy a Szervező kérelméig; hibás vagy visszavont tokenek törlése.
• Technikai naplók: 90 nap, amely a biztonsági célnak megfelelő időtartam, hacsak jogvita nem indokol hosszabb megőrzést.

9. Az érintetti jogok

Amennyiben Ön az adatkezelés alanya, a GDPR és az Infotv. alapján többek között az alábbi jogok illetik meg:

• hozzáférés személyes adataihoz;
• helyesbítés kérése;
• törlés („elfeledtetéshez való jog”) kérése, ha nem áll fenn jogos ok a további kezelésre;
• adatkezelés korlátozása;
• adathordozhatóság;
• tiltakozás jogos érdeken alapuló adatkezelés ellen;
• ha a kezelés hozzájáruláson alapul, a hozzájárulás bármikori visszavonása (a visszavonás nem érinti a visszavonás előtti, hozzájáruláson alapuló kezelés jogszerűségét).

Kérelmét a fenti e-mail címre küldheti. Törlés vagy export esetén előfordulhat, hogy a szerződés teljesítéséhez vagy jogi kötelezettséghez szükséges adatot korlátozott körben meg kell őriznünk.

10. Panasz és jogérvényesítés

Ha úgy véli, személyes adatainak kezelése jogsértő, panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH; www.naih.hu), illetőleg élhet bírósági jogorvoslattal.

11. A Tájékoztató módosítása

Fenntartjuk a jogot, hogy jelen Tájékoztatót a Szolgáltatás vagy a jogszabályi környezet váltoásával összhangban frissítsük. A módosítás a Webhelyen történő közzététellel lép hatályba; lényeges változás esetén, ha a jogszabály előírja, külön értesítést is küldhetünk.

12. Cookie-k és helyi tárolók

A Webhely a működés, a biztonság és a felhasználói élmény biztosítása érdekében sütiket („cookie”) és a böngészőben tárolt, sütihez hasonló technológiákat használhat.

12.1. Jelenleg használt sütik és céljuk

A Webhelyen opcionálisan alkalmazhatunk harmadik féltől származó közönségmérési és marketing célú technológiákat egy Google Tag Manager (GTM) konténeren keresztül (a konténerben például Google Analytics, Meta Pixel és egyéb tagek is futhatnak, ahogy az üzemeltető beállítja). Csak akkor, ha Ön a süti tájékoztatóban az „Engedélyezem” lehetőséget választja, és a GTM azonosító be van állítva. Elutasítás vagy a hozzájárulás hiánya esetén a GTM nem töltődik be. A technikai / szükséges sütikről a táblázatban olvashat.

12.2. Süti-beállítások a böngészőben

A böngésző beállításaiban letilthatja vagy törölheti a sütiket. Fontos tudni, hogy egyes szükséges sütik hiányában a bejelentkezés vagy a foglalási folyamat nem működik megfelelően.

12.3. Kapcsolat

Süti-kezeléssel kapcsolatos kérdéseit az hello@naptaram.com címre küldheti.