Adatkezelési Tájékoztató

1. Bevezetés és hatály

Jelen Adatkezelési Tájékoztató ismerteti, hogy az Aranytű Varróműhely, egyéni vállalkozó (a továbbiakban: Adatkezelő vagy „mi”) miként gyűjti, használja, kezeli és védi az Ön (a továbbiakban: „Ön”, „Érintett") személyes adatait a www.varrobox.hu címen elérhető platform (a továbbiakban: „Platform") használata során.

Adatkezelésünket a vonatkozó jogszabályokkal összhangban végezzük, különösen az EU 2016/679 Rendeletével (GDPR), a 2011. évi CXII. törvénnyel (Info tv.), a 2001. évi CVIII. törvénnyel (Eker tv.), a 45/2014. (II.26.) Korm. rendelettel, továbbá a kapcsolódó magyar és uniós jogszabályokkal.

A Tájékoztató a Platform minden felhasználójára érvényes, beleértve a VarróBox vásárlókat, érdeklődőket és a kapcsolatfelvételi űrlapot használókat is.

2. Adatkezelő adatai

3. Kezelt adatok köre

3.1 Felhasználói fiók- és regisztrációs adatok

• E-mail cím (kötelező) – azonosítás, kommunikáció
• Jelszó – scrypt-tel hash-elt formában
• Keresztnév, vezetéknév (kötelező)
• Telefonszám (opcionális)
• Postai cím (opcionális, JSON szerkezetben tárolva)
• Regisztráció IP-címe
• Fiók létrehozásának időpontja
• Fiók státusza (aktív/inaktív)
• E-mail ellenőrzés státusza

3.2 VarróBox vásárlás és megrendelés

• VarróBox azonosító, cím
• Megrendelés időpontja, alapanyag box darabszám
• Fizetési státusz (függő/paid), fizetési mód (Stripe)
• Színváltozat kiválasztása
• Videó hozzáférés aktiválása és élethosszig tartó tulajdonjog
• Alapanyag box megrendelések: szállítási cím (JSON), szállítási mód (GLS/Foxpost/átvétel), státusz (függő, feldolgozás, feladva, kézbesítve)

3.3 Fizetési és pénzügyi adatok

• Stripe tranzakciós metaadatok (összeg, pénznem: HUF, fizetési intent ID, időbélyegek)
• Nem tárolunk teljes kártyaszámot, CVV-t; a kártyaadatokat a Stripe kezeli (PCI-DSS Level 1)

3.4 Hitelesítési és biztonsági tokenek

• JWT – bejelentkezés után kiadott, 2 órán belül lejár
• Jelszó-visszaállítási token – egyedi kriptográfiai token, SHA-256 hash, 1 órán belül lejár
• E-mail megerősítő token – SHA-256 hash, 24 órán belül lejár

3.5 Technikai és használati adatok

• Böngészőben tárolt adatok (csak kliensoldalon): JWT, kosár, UI-beállítások
• Kiszolgáló naplók: időbélyegek, végpontok, státuszkódok, IP-címek
• Ratelimit: e-mail újraküldés átmeneti számolása (10 perc), automatikus tisztítás

3.6 Kommunikáció (e-mail)

• Üdvözlő, megerősítő, jelszó-visszaállító és rendelési visszaigazoló e-mailek
• Kézbesítési naplók a szolgáltatónál

4. Az adatkezelés jogalapja és célja

4.1 Szerződés teljesítése (GDPR 6. cikk (1) b))

• VarróBox megrendelések kezelése, videó hozzáférés biztosítása
• Fizetések kezelése, számlázás
• Alapanyag box kézbesítése

4.2 Jogos érdek (GDPR 6. cikk (1) f))

• Biztonság és csalásmegelőzés (IP-naplózás, gyanús aktivitás monitorozása, ratelimit)
• Rendszerkarbantartás és fejlesztés (hibanapló, teljesítmény)
• Ügyfélszolgálat, kapcsolatfelvétel

4.3 Hozzájárulás (GDPR 6. cikk (1) a))

• Marketingkommunikáció, hírlevél
• Opcionális adatok megadása (pl. telefonszám, szállítási cím, ha nem kötelező)

4.4 Jogi kötelezettség (GDPR 6. cikk (1) c))

• Számviteli és adózási nyilvántartások megőrzése
• Hatósági megkeresések teljesítése

5. Adatmegőrzési idők

A megőrzési idő lejárta után az adatok törlésre, anonimizálásra vagy archiválásra kerülnek az adat-életciklus kezelési eljárásaink szerint.

6. Adatcímzettek és adatfeldolgozók

6.1 Fizetés

6.2 E-mail kézbesítés

6.3 Infrastruktúra

6.4 Nem használunk

• Google Analytics vagy hasonló analitikát
• Közösségi média pixeleket
• Hirdetési hálózati követést

7. Nemzetközi adattovábbítás

Egyes szolgáltatók (pl. Stripe, Google) az Európai Gazdasági Térségen kívül is végezhetnek adatkezelést. Ezekben az esetekben megfelelő garanciák alkalmazásával (pl. EU–USA Adatvédelmi Keretrendszer, Európai Bizottság által elfogadott Szerződéses Klauzulák) biztosítjuk az adatok védelmét.

Az adatfeldolgozókkal írásbeli adatfeldolgozói szerződés (DPA) van hatályban.

8. Adatbiztonsági intézkedések

8.1 Technikai intézkedések

• HTTPS/TLS minden adatátvitelre
• Jelszó-hashelés: scrypt (iparági szabvány)
• Reset/verify tokenek: SHA-256 hash
• Paraméterezett lekérdezések, input szűrés (SQLi/XSS védelem)
• Könyvtárbejárás elleni védelem feltöltéseknél
• RBAC (szerepkör alapú jogosultság)
• Ratelimit kritikus műveleteknél
• Rendszeres biztonsági mentések

8.2 Szervezeti intézkedések

• Hozzáférések minimalizálása (legkisebb jogosultság elve)
• Hozzáférések és naplók rendszeres felülvizsgálata
• Adatvédelmi tudatosság és eljárások

8.3 Incidenskezelés

• Kockázatértékelés, incidensek nyilvántartása
• NAIH értesítése 72 órán belül (ha szükséges)
• Érintettek értesítése indokolt esetben késedelem nélkül

9. Az Érintettek jogai (GDPR)

• Hozzáférés a kezelt adatokhoz (másolat kérése)
• Helyesbítés és kiegészítés
• Törlés („elfeledtetés joga”)
• Korlátozás kérése
• Adathordozhatóság (géppel olvasható formátum)
• Tiltakozás jogos érdek alapján végzett kezelés ellen
• Hozzájárulás visszavonása (hozzájáruláson alapuló kezeléseknél)

10. Jogorvoslati lehetőségek

Továbbá bírósági eljárást is kezdeményezhet a lakóhelye szerint illetékes bíróságnál.

11. Cookie-k és böngészőben tárolt adatok

Jelenlegi gyakorlat: nem használunk követésre/analitikára/marketingre szolgáló cookie-kat. A működéshez szükséges adatok localStorage-ban kerülnek ideiglenesen tárolásra (JWT, kosár, UI-beállítások).

Jogalap: feltétlenül szükséges tárolás a szolgáltatás nyújtásához (ePrivacy 5. cikk (3) – kivétel).

Jövőbeni változás esetén (pl. analitika) cookie hozzájárulási felületet jelenítünk meg és frissítjük a tájékoztatót.

12. Kiskorúak védelme

A Platform 16. életévüket betöltött személyek számára érhető el. 16 év alatti személyek adatainak kezelése szülői/törvényes képviselő hozzájárulásával történhet.

13. A Tájékoztató módosítása

Fenntartjuk a jogot jelen Tájékoztató módosítására, különösen szolgáltatásaink, jogi környezet vagy technológia változásakor.

• Lényeges módosítás: előzetes értesítés (e-mail + kiemelt közlés) legalább 30 nappal
• Kisebb pontosítás: közzététel új „Utolsó frissítés” dátummal

14. Adatvédelmi tisztviselő (DPO)

Jelenleg nem kötelező DPO kijelölése (nem végzünk nagy kockázatú, nagyléptékű különleges adatkezelést és nem folytatunk rendszeres, nagymértékű megfigyelést).

Adatvédelmi megkeresések: aranytuvarromuhely@gmail.com | +36/20 333 6782

15. Jogi keret és alkalmazandó jog

• GDPR (EU) 2016/679
• 2011. évi CXII. törvény (Info tv.)
• 2001. évi CVIII. törvény (Eker tv.)
• 45/2014. (II.26.) Korm. rendelet

A jelen Tájékoztatóra és a kapcsolódó jogvitákra a magyar jog irányadó.

16. Kapcsolat

Célunk, hogy minden megkeresésre 3 munkanaponbelül reagáljunk.

17. Hozzájárulás és tudomásulvétel

A Platform használatával Ön kijelenti, hogy a jelen Tájékoztatóban foglaltakat megismerte. A hozzájáruláson alapuló adatkezelésekhez külön, egyértelmű beleegyezést kérünk, amely bármikor visszavonható.

Melléklet A: Adatkezelés összefoglaló táblázat

Melléklet B: Fogalomtár

• Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó információ.
• Adatkezelő: aki az adatkezelés céljait és eszközeit meghatározza.
• Adatfeldolgozó: aki az adatokat az Adatkezelő nevében kezeli.
• Adatkezelés: a személyes adatokon végzett bármely művelet (gyűjtés, tárolás, felhasználás, törlés stb.).
• Hozzájárulás: önkéntes, egyértelmű akaratnyilatkozat az adatkezeléshez.
• Pseudonimizálás / Hash-elés: olyan feldolgozás, amely korlátozza a közvetlen azonosítást.