Adatkezelési Tájékoztató

I.

Bevezetés és általános rendelkezések

1. A tájékoztató célja és hatálya

Jelen Adatkezelési Tájékoztató célja, hogy átfogó tájékoztatást nyújtson a [WEBOLDAL URL] weboldal üzemeltetése, valamint a [VÁLLALKOZÁSOD NEVE] által nyújtott szolgáltatásokkal összefüggésben végzett adatkezelési tevékenységekről, az alábbi jogszabályokkal összhangban:

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR)
Az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Infotv.)
A Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.)
A gazdasági reklámtevékenységről szóló 2008. évi XLVIII. törvény (Grt.)
Az elektronikus kereskedelmi szolgáltatásokról szóló 2001. évi CVIII. törvény (Eker. tv.)

A Tájékoztató hatálya kiterjed:

aa Weboldalon keresztül történő személyes adatkezelésekre (saját potenciális ügyfelek adatai);
ba Szolgáltató által ügyfelei számára biztosított időpontfoglaló és automatizált kommunikációs rendszeren keresztül történő adatkezelésekre (Partnerek vendégeinek adatai);
ca Weboldal használata során alkalmazott sütikkel összefüggő adatkezelésekre.

2. A Szolgáltató kettős szerepe

A) ADATKEZELŐKÉNT – a saját Weboldalán, saját üzleti céljaira gyűjtött személyes adatok vonatkozásában. Az adatkezelő az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza.

B) ADATFELDOLGOZÓKÉNT – a Partnerei számára biztosított időpontfoglaló rendszerben kezelt vendégadatok vonatkozásában. Az adatfeldolgozók az adatkezelők nevében kezelik a személyes adatokat, utasításokat követve.

II.

Az adatkezelő adatai

Megnevezés	Adat
Az Adatkezelő neve	[Cégnév / Egyéni vállalkozó neve]
Székhely	[Cím]
Levelezési cím	[Ha eltér a székhelytől]
Adószám	[Adószám]
Cégjegyzékszám	[Szám]
Képviselő neve	[Vezetéknév Keresztnév]
E-mail cím	[[email protected]]
Telefonszám	[+36 XX XXX XXXX]
Weboldal	[https://www.domain.hu]
Adatvédelmi kapcsolat	[[email protected]]

III.

Fogalommeghatározások

A jelen Tájékoztatóban használt fogalmak a GDPR 4. cikkében meghatározott jelentéssel bírnak:

Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.
Adatkezelés: a személyes adatokon végzett bármely művelet (gyűjtés, rögzítés, tárolás, törlés stb.).
Adatkezelő: aki a személyes adatok kezelésének céljait és eszközeit meghatározza.
Adatfeldolgozó: az adatkezelő megbízásából adatkezelést végző harmadik fél.
Érintett: bármely azonosított vagy azonosítható természetes személy.
Hozzájárulás: az érintett akaratának önkéntes, konkrét és egyértelmű kinyilvánítása.
Adatvédelmi incidens: az adatbiztonság olyan sérelme, amely személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását eredményezi.
Partner: a Szolgáltató ügyfele (pl. fodrász, szépségszalon, egyéb KKV), akinek a Szolgáltató weboldalt és időpontfoglaló rendszert biztosít.
Partner Vendége: a Partner szolgáltatását igénybe vevő természetes személy.

IV.

Adatkezelési tevékenységek

A) Mint adatkezelő – Saját üzleti célú adatkezelések

4.1. Időpontfoglalás a Weboldalon (GoHighLevel naptár)

Érintettek köre	A Weboldalon időpontot foglaló potenciális ügyfelek
Kezelt adatok	Név, e-mail cím, telefonszám, foglalás dátuma, üzenetmezőben megadott egyéb információ
Az adatkezelés célja	Időpont egyeztetés, kapcsolatfelvétel, visszaigazolás és emlékeztető küldése
Jogalap	GDPR 6. cikk (1) b) pont – szerződéskötést megelőző lépés; kiegészítő: GDPR 6. cikk (1) a) pont – hozzájárulás
Megőrzési idő	A foglalás céljának megvalósulásától 1 év; szerződéses jogviszony esetén 5 év
Adatszolgáltatás jellege	Önkéntes, de az időpontfoglalás feltétele
Automatizált döntéshozatal	Nem történik

4.2. Kapcsolatfelvétel (e-mail, telefon, közösségi média)

Érintettek köre	A Szolgáltatóval kapcsolatot felvevő természetes személyek
Kezelt adatok	Név, e-mail cím, telefonszám, önkéntesen megadott egyéb adatok
Cél	Megkeresés megválaszolása, információnyújtás, ajánlattétel
Jogalap	GDPR 6. cikk (1) b) és f) pont
Megőrzési idő	A kapcsolatfelvétel céljának megvalósulásától 1 év
Automatizált döntéshozatal	Nem történik

4.3. Szerződéses Partnerek adatkezelése

Érintettek köre	Partnerek képviselői, kapcsolattartói
Kezelt adatok	Cégnév, képviselő neve, cím, adószám, e-mail, telefon, bankszámlaszám, számlázási adatok
Cél	Szerződés megkötése/teljesítése, számlázás, ügyfélkapcsolat-kezelés
Jogalap	GDPR 6. cikk (1) b) és c) pont
Megőrzési idő	Számviteli bizonylatok: 8 év; egyéb adatok: 5 év
Automatizált döntéshozatal	Nem történik

4.4. Szerver naplófájlok

Érintettek köre	A Weboldal valamennyi látogatója
Kezelt adatok	IP-cím, böngésző típusa, operációs rendszer, hivatkozó URL, látogatás dátuma
Cél	Weboldal technikai működésének biztosítása, visszaélések megelőzése
Jogalap	GDPR 6. cikk (1) f) pont – jogos érdek
Megőrzési idő	30 nap
Automatizált döntéshozatal	Nem történik

B) Mint adatfeldolgozó – Partnerek vendégeinek adatkezelése

A Szolgáltató Partnerei (ügyfelei) számára időpontfoglaló rendszert és automatizált e-mail kommunikációs megoldásokat biztosít. Ezen szolgáltatások nyújtása során a Szolgáltató a Partnerek vendégeinek személyes adatait adatfeldolgozóként kezeli.

A Partner és a Szolgáltató között adatfeldolgozói szerződés (DPA) kerül megkötésre a GDPR 28. cikkének megfelelően, amely részletesen szabályozza az adatkezelés minden aspektusát.

5.1. Időpontfoglaló rendszer – Partner vendégei

Érintettek köre	A Partner vendégei, akik a Partner rendszerén keresztül időpontot foglalnak
Kezelt adatok	Név, e-mail cím, telefonszám, foglalás dátuma, időpontja, szolgáltatás típusa
Cél	Időpontfoglalás rögzítése, visszaigazolás, emlékeztető, értékelés kérő küldése
Jogalap (a–c célra)	GDPR 6. cikk (1) b) pont – szerződés teljesítése
Jogalap (d cél – értékelés kérés)	GDPR 6. cikk (1) f) pont – Partner jogos érdeke
Megőrzési idő	Az adatfeldolgozói szerződésben meghatározott, jellemzően az utolsó foglalástól számított 1 év
Automatizált döntéshozatal	Automatizált e-mail küldés (visszaigazolás, emlékeztető, értékelés kérés), de profilalkotás nem történik

5.2. Automatizált e-mail kommunikáció részletezése

aFoglalás visszaigazoló e-mail – a sikeres foglalást követően azonnal; tartalmazza a foglalás részleteit. Jogalap: GDPR 6. cikk (1) b) pont.
bEmlékeztető e-mail – jellemzően 24 órával a foglalás előtt; maximum 2 emlékeztető foglalásanként. Jogalap: GDPR 6. cikk (1) b) pont.
cÉrtékelés kérő e-mail (Google Review) – a szolgáltatás igénybevétele után 1–24 órán belül; maximum 1 darab foglalásanként. Tartalmaz leiratkozási (opt-out) linket. Jogalap: GDPR 6. cikk (1) f) pont – jogos érdek.

⚠️ Az értékelés kérő e-mail kizárólag a szolgáltatás értékelésére vonatkozó felkérést tartalmazhat. Semmilyen marketing tartalmat (akciót, kupont, hírlevelet) nem tartalmazhat. Ha a vendég az első e-mailre nem reagál, további kérés nem küldhető.

V.

Mikor adatkezelő és mikor adatfeldolgozó a Szolgáltató?

A) Adatkezelőként eljárva

Tevékenység	Érintettek	Szerepkör
Időpontfoglalás a saját Weboldalon	Potenciális ügyfelek	Adatkezelő
Kapcsolatfelvétel kezelése	Megkereső személyek	Adatkezelő
Szerződéses Partner kapcsolat	Partner képviselői	Adatkezelő
Weboldal üzemeltetése (sütik, naplók)	Weboldal látogatói	Adatkezelő

B) Adatfeldolgozóként eljárva

Tevékenység	Érintettek	Szerepkör
Időpontfoglaló rendszer biztosítása Partnerek számára	Partnerek vendégei	Adatfeldolgozó
Foglalás visszaigazolás küldése	Partnerek vendégei	Adatfeldolgozó
Emlékeztető e-mail küldése	Partnerek vendégei	Adatfeldolgozó
Értékelés kérő e-mail (Google Review)	Partnerek vendégei	Adatfeldolgozó

C) Al-adatfeldolgozó: HighLevel Inc. (GoHighLevel)

Reláció	Szerepkör
Szolgáltató saját adatkezelése szempontjából	GoHighLevel = a Szolgáltató adatfeldolgozója
Partner vendégeinek adatkezelése szempontjából	GoHighLevel = Szolgáltató al-adatfeldolgozója

VI.

Adatfeldolgozók és címzettek

#	Adatfeldolgozó	Tevékenység	Székhely	Harmadik ország
1	HighLevel Inc. (GoHighLevel)	CRM platform, időpontfoglaló, automatizált e-mail	Dallas, TX, USA	✅ EU-US DPF
2	[Tárhelyszolgáltató neve]	Tárhelyszolgáltatás	[Cím]	[Igen/Nem]
3	Google LLC	Webanalitika (Google Analytics)	Mountain View, CA, USA	✅ EU-US DPF
4	[Számlázóprogram]	Online számlázás	[Cím]	[Igen/Nem]
5	[Könyvelő neve]	Számviteli kötelezettségek	[Cím]	Nem
6	[E-mail szolgáltató]	E-mail kommunikáció	[Cím]	[Igen/Nem]

A Szolgáltató személyes adatokat harmadik személynek – az e Tájékoztatóban meghatározottakon kívül – nem ad át, nem értékesít és nem tesz hozzáférhetővé.

VII.

Adattovábbítás harmadik országba

A Szolgáltató a GoHighLevel (HighLevel Inc.) platformot használja, amelynek infrastruktúrája az Egyesült Államokban található. Az Európai Bizottság 2023. július 10-én megfelelőségi határozatot fogadott el az EU–USA Adatvédelmi Keret (EU-US Data Privacy Framework, DPF) vonatkozásában.

Az adattovábbítás jogalapja a GDPR 45. cikke szerinti megfelelőségi határozat az EU-US Data Privacy Framework alapján. A Szolgáltató és a HighLevel Inc. között Data Processing Agreement (DPA) áll fenn a GDPR 28. cikkének megfelelően.

Amennyiben az EU-US DPF érvényességét érintő változás következne be, a Szolgáltató haladéktalanul felülvizsgálja az adattovábbítási gyakorlatát és szükség esetén GDPR 46. cikke szerinti megfelelő garanciákat alkalmaz (pl. Standard Contractual Clauses – SCC).

VIII.

Az érintettek jogai

Az érintett jogait az alábbi elérhetőségeken gyakorolhatja. A Szolgáltató a kérelmet 1 hónapon belül teljesíti (szükség esetén 2 hónappal meghosszabbítható).

E-mail

[[email protected]]

Adatvédelmi kérdések

Postai cím

[Levelezési cím]

Írásos megkeresés

8.1. Hozzáféréshez való jog (GDPR 15. cikk)

Az érintett jogosult visszajelzést kapni arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, hozzáférést kapni a kezelt adatokhoz és az adatkezelési információkhoz.

8.2. Helyesbítéshez való jog (GDPR 16. cikk)

Az érintett kérheti a pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését.

8.3. Törléshez való jog – „Elfeledtetés" (GDPR 17. cikk)

Az érintett kérheti adatai törlését, ha az adatokra már nincs szükség, visszavonja hozzájárulását, tiltakozik az adatkezelés ellen, vagy az adatokat jogellenesen kezelték.

⚠️ A törlés nem teljesíthető, ha az adatkezelés jogszabályi kötelezettség teljesítéséhez szükséges (pl. számviteli bizonylatok 8 éves megőrzése) vagy jogi igény érvényesítéséhez szükséges.

8.4. Adatkezelés korlátozásához való jog (GDPR 18. cikk)

Az érintett kérheti az adatkezelés korlátozását, ha vitatja az adatok pontosságát, az adatkezelés jogellenes, vagy tiltakozik az adatkezelés ellen.

8.5. Adathordozhatósághoz való jog (GDPR 20. cikk)

Az érintett jogosult a rá vonatkozó adatokat tagolt, géppel olvasható formátumban (pl. CSV, JSON) megkapni és egy másik adatkezelőhöz továbbítani – hozzájáruláson vagy szerződésen alapuló, automatizált adatkezelés esetén.

8.6. Tiltakozáshoz való jog (GDPR 21. cikk)

Az érintett bármikor tiltakozhat a jogos érdeken (GDPR 6. cikk (1) f) pont) alapuló adatkezelés ellen. Ez különösen releváns az értékelés kérő e-mailek és a szerver naplófájlok vonatkozásában.

8.7. Hozzájárulás visszavonásának joga (GDPR 7. cikk (3) bek.)

Az érintett hozzájárulását bármikor visszavonhatja – ez nem érinti a visszavonás előtti adatkezelés jogszerűségét.

8.8. Joggyakorlás Partner vendégek esetén

Ha az érintett a Szolgáltató valamely Partnerének vendége, elsődlegesen a Partnerhez (mint adatkezelőhöz) kell fordulnia. Ha közvetlenül a Szolgáltatóhoz fordul, a Szolgáltató a megkeresést 5 munkanapon belül továbbítja a Partnernek.

IX.

Adatbiztonság

Technikai intézkedések

SSL/TLS titkosítás (256-bites) alkalmazása a Weboldalon és adatátvitel során
Jelszóvédelem és hozzáférés-vezérlés (minimális szükséges hozzáférés elve)
Kétfaktoros hitelesítés (2FA) az adminisztrációs felületekhez
Tűzfal és behatolás-megelőző rendszerek (IPS/IDS)
Rendszeres biztonsági mentések
GoHighLevel platform saját biztonsági intézkedései (SOC 2 Type II tanúsítás)

Szervezési intézkedések

Személyes adatokhoz hozzáférő személyek körének minimalizálása
Titoktartási kötelezettségvállalás az adatokhoz hozzáférő személyektől
Adatkezelési folyamatok rendszeres felülvizsgálata (legalább évente)
Adatvédelmi incidenskezelési eljárásrend működtetése

X.

Adatvédelmi incidensek kezelése

Az adatvédelmi incidens a biztonság olyan sérülése, amely személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását vagy jogosulatlan közlését eredményezi.

⚠️ Az adatkezelő köteles az incidenst 72 órán belül bejelenteni a NAIH-nak, ha az valószínűsíthetően kockázattal jár. A 72 órás határidő elmulasztása kötelező bejelentés esetén bírságot eredményezhet.

A Szolgáltató adatfeldolgozóként adatvédelmi incidens esetén haladéktalanul, de legkésőbb 24 órán belül értesíti az érintett Partnert (adatkezelőt), és rendelkezésére bocsátja az incidens körülményeire vonatkozó valamennyi elérhető információt. A NAIH felé történő bejelentés ebben az esetben a Partner kötelezettsége.

XI.

Sütik (cookie-k) kezelése

A süti (cookie) egy kis méretű szöveges adatfájl, amelyet a Weboldal a látogató eszközén helyez el. A sütik segítenek a Weboldal működtetésében, a felhasználói élmény javításában és a forgalom elemzésében.

a) Elengedhetetlen sütik

A Weboldal alapvető működéséhez szükségesek, nem kapcsolhatók ki. Jogalap: GDPR 6. cikk (1) f) pont – jogos érdek. Előzetes hozzájárulás nélkül elhelyezhetők.

Süti neve	Szolgáltató	Cél	Élettartam
[cookie_consent]	[DOMAIN]	Sütibeállítások tárolása	1 év
[session_id]	[DOMAIN]	Munkamenet azonosítás	Munkamenet végéig
[__hs_opt_out]	GoHighLevel	Süti-hozzájárulás nyomon követése	13 hónap

b) Analitikai sütik

Kizárólag az érintett előzetes, aktív hozzájárulásával kerülnek elhelyezésre. Jogalap: GDPR 6. cikk (1) a) pont – hozzájárulás.

Süti neve	Szolgáltató	Cél	Élettartam
[_ga]	Google Analytics	Felhasználók megkülönböztetése (anonim statisztika)	2 év
[_gid]	Google Analytics	Felhasználók megkülönböztetése	24 óra
[_gat]	Google Analytics	Kérésszám-korlátozás	1 perc

c) Sütik kezelése

Cookie banner segítségével a Weboldal első látogatásakor
A láblécben elhelyezett „Cookie beállítások" gombbal bármikor módosítható
Böngésző beállításokban (Chrome, Firefox, Safari, Edge)

XII.

Jogorvoslati lehetőségek

12.1. Panasz az Adatkezelőnél

E-mail

[[email protected]]

30 napon belül válaszolunk

Postai cím

[Levelezési cím]

Írásos megkereséshez

12.2. Panasz a NAIH-nál

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

Székhely	1055 Budapest, Falk Miksa utca 9-11.
Postacím	1363 Budapest, Pf. 9.
Telefon	+36 (1) 391-1400
E-mail	[email protected]
Weboldal	https://www.naih.hu

12.3. Bírósági jogérvényesítés

Az érintett bírósághoz is fordulhat, ha megítélése szerint adatait jogellenesen kezelik. A per a törvényszék hatáskörébe tartozik, és az érintett lakóhelye szerint illetékes törvényszéken is megindítható.

XIII–XV.

Módosítás, nyilvántartás és záró rendelkezések

XIII. A tájékoztató módosítása

A Szolgáltató fenntartja a jogot a Tájékoztató egyoldalú módosítására. A módosított Tájékoztató a Weboldalon történő közzététellel lép hatályba. Lényeges változásokról a Szolgáltató legalább 15 nappal előre tájékoztatja az érintetteket.

XIV. Adatkezelési nyilvántartás

A GDPR 30. cikke alapján a Szolgáltató nyilvántartást vezet mind adatkezelői, mind adatfeldolgozói minőségében végzett tevékenységekről. A nyilvántartás belső dokumentum, amelyet a NAIH kérésére rendelkezésre bocsát.

XV. Záró rendelkezések

A Tájékoztató [DÁTUM]-án/-én lép hatályba.
A nem szabályozott kérdésekben a GDPR, az Infotv., a Ptk., az Eker. tv., a Grt. rendelkezései az irányadók.
A Tájékoztató mindenkor hatályos szövege a Weboldalon ingyenesen hozzáférhető.
A Tájékoztató magyar nyelven készült – értelmezési eltérés esetén a magyar szöveg az irányadó.

Kelt: [Város], [DÁTUM]
[VÁLLALKOZÁSOD NEVE]
Képviseletében: [NÉV] – [Beosztás]