Adatvédelmi tájékoztató
Az Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) szerint · Hatályos: 2025. január 1-től · Utolsó frissítés: 2026. április 23.
🔒 Az 5 legfontosabb ígéretünk
- 1. Nincs banki kapcsolat. Soha nem kérünk netbank belépést, jelszót, bankkártya-adatot, PSD2/AISP integrációt. A bankodhoz semmilyen formában nem férünk hozzá.
- 2. PDF kivonatot elemzés után törlünk. A feltöltött PDF bankkivonat az AI elemzés befejezése után automatikusan törlésre kerül a tárhelyünkről - csak a strukturált eredmény (kategóriák, szivárgások) marad meg a fiókodban, amennyiben a mentéssel járó elemzést választod.
- 3. Csak elemzésre használjuk. A pénzügyi adataidat kizárólag a számodra készülő elemzéshez használjuk. Nem adjuk el, nem osztjuk meg harmadik féllel marketing célból, és nem használjuk AI modell tanításra.
- 4. Titkosítás mindenhol. TLS 1.3 átvitel közben, infrastruktúra-szintű titkosítással védett adatbázis és tárhely, bcrypt jelszó-hash.
- 5. Egy kattintás és mindent törlünk. A Fiókodon bármikor letöltheted vagy véglegesen törölheted az összes adatodat - 30 napon belül a biztonsági mentésekből is.
Rövid, közérthető összefoglaló a védelmi intézkedéseinkről: Biztonság oldal →
1. Az adatkezelő és kapcsolattartó
- Név: Verdes János e.v.
- Székhely: 4254 Nyíradony, Ady E. u. 29.
- Adószám: 68336217-2-29
- E-mail: hello@sporoljokosan.com
Adatvédelmi tisztviselő (DPO) kijelölése a tevékenység jellege és nagyságrendje alapján a GDPR 37. cikk szerint nem kötelező. Adatvédelmi kérdésekben a hello@sporoljokosan.com cím szolgál hivatalos kapcsolattartóként.
2. A kezelt adatok köre, célja és megőrzése
Az adatminimalizálás elve alapján csak azt az adatot kezeljük, ami a szolgáltatás nyújtásához feltétlenül szükséges.
| Adat | Cél | Jogalap | Megőrzés |
|---|---|---|---|
| E-mail, jelszó (bcrypt hash) | Fiók létrehozás, belépés | GDPR 6. cikk (1) bekezdés b) pont (szerződés) | Fiók törléséig |
| Megjelenített név, postai cím (opcionális) | Profil, számlázás | GDPR 6. cikk (1) bekezdés b) pont / a) pont (hozzájárulás) | Fiók törléséig |
| Pénzügyi adatok (kategorizált bevétel/kiadás, célok, manuálisan vagy fájlból feltöltött tranzakciók) | Elemzés, fiók funkciói, AI tippek | GDPR 6. cikk (1) bekezdés b) pont (szerződés) | Fiók törléséig vagy te törlöd |
| PDF bankkivonat fájl | Egyszeri AI alapú elemzés | GDPR 6. cikk (1) bekezdés a) pont (kifejezett hozzájárulás) | Elemzés után automatikusan törölve (általában 30-90 másodperc, legfeljebb 24 óra) |
| Az elemzés strukturált eredménye (JSON) | Megjelenítés, későbbi visszanézés | GDPR 6. cikk (1) bekezdés b) pont (szerződés) | Fiók törléséig vagy te törlöd |
| Stripe ügyfél- és előfizetési azonosító | Számlázás, előfizetés-kezelés | GDPR 6. cikk (1) bekezdés b) pont (szerződés) | Számviteli tv. szerint 8 év |
| Biztonsági napló (IP cím, user-agent, művelet, időbélyeg) | Visszaélés-megelőzés, incidens-vizsgálat | GDPR 6. cikk (1) bekezdés f) pont (jogos érdek) | Max. 12 hónap |
| Inaktív fiók (24+ hónap bejelentkezés nélkül) | Adatminimalizálás, automatikus tisztítás | GDPR 6. cikk (1) bekezdés f) pont (jogos érdek) | Előzetes e-mail értesítés után automatikus törlés |
3. CSV/XLSX kivonatok - kliens oldali feldolgozás
A CSV és XLSX bankkivonatokat a böngésződben dolgozzuk fel JavaScript segítségével. Maga a fájl nem kerül feltöltésre a szerverünkre, hanem helyben, a te eszközöden történik az adatkinyerés.
A böngészőben előállított, az elemzéshez szükséges strukturált adatok (kategorizált tranzakciók, összegek, összefoglalók) azonban - a választott funkciótól függően - a fiókodhoz kapcsolva tárolásra kerülhetnek, hogy később is visszanézhesd az elemzést, és a fiók funkciói (célok, összehasonlítás, AI tippek) működhessenek. Ezek az adatok így személyes adatnak minősülnek, és a 2. pontban leírt szabályok szerint kezeljük őket.
Ha kifejezetten csak ad-hoc, mentés nélküli elemzést szeretnél, ezt a feltöltési oldalon a megfelelő opcióval választhatod ki - ebben az esetben a strukturált adat sem kerül a szerverünkre.
4. PDF kivonatok - szerver oldali AI elemzés
A PDF kivonatok strukturálatlan formátuma miatt szerver oldali AI feldolgozás szükséges. Ennél a folyamatnál:
- Titkosított feltöltés - TLS 1.3 csatornán keresztül jut el a fájl az EU régiós tárhelyünkre.
- Titkosított tárolás (encrypted at rest) - a tárhely szolgáltató infrastruktúra-szintű titkosítást alkalmaz, így a fájl nem nyersen pihen a lemezen.
- Hozzáférés-kontroll - a fájlokat sor szintű jogosultságkezelés (Row-Level Security) és technikai korlátozások védik. Az adatokhoz csak a szükséges mértékben, szigorúan korlátozott körben (üzemeltetési vagy hibaelhárítási célból) lehet hozzáférni; rutinszerűen sem fejlesztők, sem ügyfélszolgálat nem olvassa a felhasználói tartalmakat.
- Egyszeri AI elemzés - a fájl szövegét egyetlen alkalommal átadjuk a kiválasztott AI szolgáltatónak (Google Gemini / OpenAI) elemzésre.
- Automatikus törlés - az elemzés befejezése után a fájl automatikusan, visszafordíthatatlanul törlésre kerül a tárhelyünkről. Csak a strukturált eredmény (kategóriák, szivárgások) marad meg, az eredeti dokumentum nem.
- Hibás elemzés esetén - ha valamilyen hiba miatt a fájl nem törlődik azonnal, egy ütemezett takarító feladat 24 órán belül mindenképp eltávolítja.
- AI szolgáltatók felé - kizárólag az elemzéshez szükséges adatot továbbítjuk. Olyan API-beállításokat és szerződéses feltételeket alkalmazunk, amelyek alapján a beküldött tartalom nem kerül modelltréning célú felhasználásra a szolgáltatóknál.
5. Banki kapcsolat - kategorikusan kizárva
Soha nem kérünk netbank belépést, banki jelszót, kétfaktoros kódot, bankkártya számot, CVC-t vagy PIN kódot. Nem használunk PSD2/AISP/Open Banking integrációt, nem csatlakozunk a bankod API-jához. A bankoddal semmilyen technikai vagy jogi kapcsolatban nem állunk. Az egyetlen pénzügyi adat, amit látunk, az amit te magad adsz meg vagy töltesz fel.
6. Adatfeldolgozók
Az alábbi adatfeldolgozókat vesszük igénybe a szolgáltatás nyújtásához. Mindegyikkel írásbeli adatfeldolgozói szerződésünk (DPA) van.
| Adatfeldolgozó | Feladat | Hely / régió |
|---|---|---|
| Supabase Inc. (Lovable Cloud beépített háttér-szolgáltatása, Supabase technológiára építve) | Adatbázis (Postgres), autentikáció, fájltárolás | EU régió (Frankfurt) - adattárolás EU-n belül |
| Stripe Payments Europe Ltd. | Fizetés-feldolgozás (PCI-DSS Level 1) | EU (Írország) |
| Google LLC | AI elemzés (Google Gemini API) | USA - lásd 7. pont |
| OpenAI, L.L.C. | AI elemzés (GPT API) | USA - lásd 7. pont |
| Cloudflare, Inc. | Tárhely, CDN, DDoS-védelem, WAF | Globális, EU edge node-okkal |
7. Nemzetközi adattovábbítás
Egyes adatfeldolgozóink (Google LLC, OpenAI L.L.C., illetve egyes Cloudflare szolgáltatások) az Európai Gazdasági Térségen (EGT) kívül, elsősorban az Egyesült Államokban végzik tevékenységük egy részét. A PDF kivonatok AI elemzésekor az ehhez szükséges szövegtartalom így EU-n kívülre is továbbításra kerülhet.
Az ilyen továbbítások jogalapjául az Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötések (Standard Contractual Clauses - SCC, 2021/914/EU határozat), valamint - ha a szolgáltató ennek tagja - az EU-USA Data Privacy Framework szolgál garanciaként. Ezek mellett technikai intézkedéseket is alkalmazunk: titkosított továbbítás (TLS), és szerződéses tilalom a beküldött tartalom modelltréningre történő felhasználására.
8. Bankkártya adatok
Bankkártya-adatokat nem tárolunk és nem is látunk. A teljes fizetési folyamatot a PCI-DSS Level 1 tanúsítvánnyal rendelkező Stripe kezeli a saját biztonságos környezetében.
9. Műszaki és szervezési intézkedések
- Titkosított tárolás (encrypted at rest): a tárhelyszolgáltató infrastruktúra-szintű titkosítást (jellemzően AES-256) alkalmaz az adatbázisra és a feltöltött fájlokra.
- Titkosított átvitel: TLS 1.3 minden hálózati forgalomra (HSTS előírva).
- Hozzáférés-kontroll: sor szintű biztonsági házirendek (Row-Level Security) minden adatbázis-táblán; minden lekérdezés a bejelentkezett felhasználó azonosítója alapján szűr; szerepkörök szétválasztva (admin / felhasználó). A háttér-rendszerhez a hozzáférést jogosultsági szintek és technikai korlátozások védik; az adatokhoz csak a szükséges mértékben, szigorúan korlátozott körben lehet hozzáférni.
- Naplózás: a biztonsági szempontból érzékeny műveleteket (login, fájlfeltöltés, törlés, jogosultságváltás) időbélyeggel és IP címmel naplózzuk.
- Adatminimalizálás: csak a feltétlenül szükséges adatot kezeljük; bankszámlaszámot, számlatulajdonos nevet a feldolgozás után nem tárolunk.
- Automatikus törlés: a feltöltött PDF fájlok elemzés után, a biztonsági mentések pedig 30 nap után automatikusan törlésre kerülnek.
- Jelszókezelés: bcrypt hash, nyers jelszót sehol nem tárolunk.
- Rendszeres biztonsági ellenőrzések és függőségvizsgálat (CVE-figyelés, automatizált sérülékenység-szkennelés).
10. Az érintett jogai (GDPR)
- Hozzáférés - egy kattintással letöltheted az összes rólad tárolt adatot JSON formátumban (Fiókom → Adatkezelés).
- Helyesbítés - bármikor módosíthatod az adataid.
- Törlés („elfeledtetéshez való jog") - egy kattintással véglegesen törölheted a fiókodat és minden adatodat. 30 napon belül a biztonsági mentésekből is eltávolítjuk.
- Adathordozhatóság - gépi olvasható (JSON/CSV) export.
- Tiltakozás és korlátozás az adatkezelés ellen.
- Hozzájárulás visszavonása bármikor, indoklás nélkül.
Kéréseidet a hello@sporoljokosan.com címre küldheted. Válaszidő: max. 30 nap (sürgős esetben 72 óra).
11. Felügyeleti hatóság
Jogod van panaszt tenni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):
- 1055 Budapest, Falk Miksa utca 9-11.
- +36-1-391-1400
- ugyfelszolgalat@naih.hu
12. Adatvédelmi incidens
Adatvédelmi incidens esetén 72 órán belül értesítjük a NAIH-ot, és - ha rád magas kockázattal jár - közvetlenül téged is e-mailben.
13. Sütik és helyi tárolók
Az oldal kizárólag a működéshez feltétlenül szükséges sütiket és böngésző-oldali helyi tárolókat (localStorage) használ - bejelentkezés fenntartása, téma választása és a sütikre vonatkozó hozzájárulás tárolása. Részletes lista a Süti tájékoztatóban.
14. Előfizetés és fizetés
A fizetést a Stripe Payments Europe Ltd. dolgozza fel a saját PCI-DSS Level 1 környezetében. A Stripe a sikeres fizetésről egy biztonságos, aláírt webhook üzenetben értesíti rendszerünket, amely alapján aktiváljuk a Pro hozzáférésedet. Bankkártya-adatokat semmilyen formában nem látunk és nem tárolunk - csak a Stripe ügyfél- és előfizetési azonosítót, valamint a számlázáshoz szükséges metaadatokat (számlázási név, cím, irányítószám, ha megadod).
15. A tájékoztató módosítása
Az adatvédelmi tájékoztatót a Szolgáltató bármikor egyoldalúan módosíthatja. Lényeges változás esetén a hatályba lépés előtt a Szolgáltatás felületén értesítjük a Felhasználókat.