Adatkezelési tájékoztató
A BookFlow szolgáltatás keretében kezelt személyes adatokról, a kezelés céljáról, jogalapjáról és időtartamáról, valamint az érintettek jogairól.
Tartalom
1. Fogalmak
A jelen tájékoztatóban használt kifejezések a GDPR-rendelet (2016/679 EU rendelet) értelmében:
- Adatkezelő: a Webshopbirodalom Kft. (a BookFlow szolgáltatás üzemeltetője)
- Ügyfél: a BookFlow előfizető (kozmetikus, fodrász, edző stb.)
- Végfelhasználó: az Ügyfél ügyfele, aki a BookFlow-n keresztül időpontot foglal
- Adatfeldolgozó: az Adatkezelő nevében adatot kezelő szolgáltató (lista lent)
- Személyes adat: minden azonosított vagy azonosítható személyre vonatkozó adat
2. Kezelt adatok és célok
2.1 Az Ügyfelekről (előfizetők)
| Adat | Cél |
|---|---|
| Email-cím | Belépés, értesítések, számlázás |
| Név (kapcsolattartó) | Megszólítás, számlázás |
| Vállalkozói adatok (cégnév, adószám, cím) | Számlázás (NAV) |
| Telefonszám (opcionális) | Support, sürgős értesítés |
| Bejelentkezési jelszó (hashelt) | Hitelesítés |
| IP-cím, böngésző-info | Biztonság, hibakeresés |
| Fizetési adatok (Stripe-ügyfélazonosító, előfizetés státusza) | Előfizetési díj beszedése — a bankkártya-adatot a Stripe kezeli, nem tároljuk |
2.2 A Végfelhasználókról
Az Ügyfél által üzemeltetett foglalási felületen keresztül a Végfelhasználók által megadott adatok:
| Adat | Cél |
|---|---|
| Név | Foglalás azonosítása |
| Email-cím | Foglalási visszaigazolás, emlékeztető, lemondás-link |
| Telefonszám (opcionális) | Ügyféllel való kapcsolatfelvétel |
| Foglalási előzmények | Az Ügyfél kontaktja számára történő áttekintés |
| GDPR-hozzájárulás flag | A foglalás jogalapjának dokumentálása |
| Fizetési adatok (előleg/bérlet — Stripe-tranzakció azonosítója) | Online fizetés feldolgozása — a bankkártya-adatot a Stripe kezeli, nem tároljuk |
| Vendég-fiók adatai (jelszó-hash, születésnap, nyelv, marketing-hozzájárulás) | Visszatérő foglalás, személyre szabás, hírlevél (hozzájárulás alapján) |
| Visszajelzés/értékelés, várólista-jelentkezés | Szolgáltatás-minőség, szabad időpontról értesítés |
3. Jogalap és időtartam
3.1 Jogalap
- Szerződés teljesítése (GDPR 6. cikk (1) b) — az előfizetési szerződésünk teljesítéséhez szükséges adatok
- Jogi kötelezettség (GDPR 6. cikk (1) c) — számlázási kötelezettségből eredő adatok (név, adószám, cím)
- Jogos érdek (GDPR 6. cikk (1) f) — biztonság, hibakeresés (IP-cím, böngésző)
- Hozzájárulás (GDPR 6. cikk (1) a) — a Végfelhasználó GDPR-elfogadása a foglalás során, valamint a marketing-/hírlevél-feliratkozás és a Google-integráció engedélyezése
3.2 Tárolási idő
- Ügyfél-adatok: az előfizetés megszűnését követő 30 nap (kivéve számlázási adatok)
- Számlázási adatok: 8 év (a számvitelről szóló tv. szerint)
- Végfelhasználói adatok: az Ügyfél által törölhetők bármikor, vagy automatikusan az utolsó foglalás után 2 évvel
- IP-naplók: 90 nap (kivéve biztonsági incidens esetén)
4. Adatfeldolgozók
A BookFlow szolgáltatás biztosításához az alábbi adatfeldolgozókat vesszük igénybe:
| Szolgáltató | Cél | Helyszín |
|---|---|---|
| Hetzner Online GmbH | Szerver-hosting (alkalmazás és adatbázis) | Németország (EU) |
| WebSupport.hu | Domain regisztráció, DNS | Szlovákia (EU) |
| Postal (saját) | Email-küldés (MailHub szolgáltatás) | Saját Hetzner-szerver (EU) |
| Billingo Zrt. | Számlázás (NAV-kompatibilis) | Magyarország (EU) |
| Stripe Payments Europe, Ltd. | Online (kártyás) fizetés feldolgozása (előfizetés, előleg, bérlet) | Írország (EU) — adatok egy része USA (SCC / EU–US DPF) |
| Google Ireland Ltd. / Google LLC | Naptár-szinkron (Google Calendar) és Google-fiókos belépés — csak ha az Ügyfél engedélyezi | EU / USA (SCC / EU–US DPF) |
5. Adattárolás és biztonság
5.1 Tárolás
Az adatok titkosított csatornán (HTTPS/TLS 1.3) kerülnek átvitelre. Az adatbázis PostgreSQL-ben tárolódik, jelszavak bcrypt-hash-elve. A szerverekhez SSH-kulcsos hozzáférés, jelszavas belépés tiltva.
5.2 Mentések
Naponta automatikus mentés készül, 30 napig tárolva. Az incidens után a mentés visszaállítható.
5.3 Hozzáférési kontroll
Az adatokhoz csak a Webshopbirodalom Kft. ügyvezetője és a kifejezetten megbízott rendszergazdák férnek hozzá. Naplózott hozzáférés.
5.4 Adatvédelmi incidens
Ha adatvédelmi incidens történik, a Szolgáltató 72 órán belül értesíti a NAIH-t és — ha lényeges kockázat áll fenn — az érintetteket.
6. Az érintettek jogai
Minden érintett (Ügyfél és Végfelhasználó) az alábbi jogokkal rendelkezik:
- Hozzáférés joga — kérheti, hogy milyen adatait kezeljük
- Helyesbítés joga — a helytelen adatait javíthatja
- Törlés joga (elfeledtetés) — kérheti az adatok törlését (kivéve, ahol jogi kötelezettség kötelez minket tárolásra)
- Korlátozás joga — kérheti az adatkezelés korlátozását
- Adathordozhatóság joga — kérheti az adatainak strukturált export-ját (JSON / CSV)
- Tiltakozás joga — tiltakozhat az adatkezelés ellen
- Panasz joga — a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH)
A jogok gyakorlásához írj nekünk: tothdaniel.ev@gmail.com. 30 napon belül érdemi választ adunk.
Nemzeti Adatvédelmi és Információszabadság Hatóság
1055 Budapest, Falk Miksa utca 9-11.
ugyfelszolgalat@naih.hu · www.naih.hu
7. Sütik (cookies)
A BookFlow weboldalain az alábbi technikai célú sütiket használjuk:
- Bejelentkezési munkamenet (HttpOnly cookie) — a belépés állapotának tárolása (technikailag kötelező)
- Téma- és nyelvválasztás (localStorage) — a felhasználói felület beállításai
- CSRF token — biztonsági cél (technikailag kötelező)
Marketing- és hirdetési sütiket NEM használunk (Facebook Pixel, hirdetési remarketing stb. nincs telepítve).
Analitika — Google Analytics 4 (hozzájárulás alapján)
A weboldal forgalmának anonim, statisztikai mérésére a Google Analytics 4 szolgáltatást használjuk (mérési azonosító: G-KJCGJ1F4RF). Az analitikai sütik és a mérés csak akkor indul el, ha ehhez a süti-sávban az „Elfogadom" gombbal kifejezetten hozzájárulsz. Hozzájárulás hiányában (illetve „Elutasítom" esetén) a Google Analytics nem helyez el analitikai sütit és nem mér (Google Consent Mode v2, alapértelmezetten tiltott állapot).
- Cél: a látogatottság és a felhasználói viselkedés anonim, összesített mérése (a szolgáltatás fejlesztéséhez).
- Jogalap: a hozzájárulásod (GDPR 6. cikk (1) a) pont).
- Adatfeldolgozó: Google Ireland Limited. A GA4 alapból nem tárol pontos IP-címet.
- Hozzájárulás visszavonása: a böngésződ
bf_consentsütijének törlésével a süti-sáv újra megjelenik, és újra dönthetsz.
8. A tájékoztató változása
A tájékoztatót szükség esetén frissítjük. Lényeges változás esetén az aktív Ügyfeleinket emailben értesítjük. A legfrissebb verzió mindig elérhető a bookflow.hu/adatkezeles címen.