← Vissza a főoldalra

Adatkezelési Tájékoztató

Verzió: 2026-05-11-placeholder · Hatályos: 2026-05-11

Ez a tájékoztató ismerteti, hogy a Felmi (a továbbiakban: Adatkezelő) hogyan kezeli a szolgáltatásait használók személyes adatait az Európai Unió Általános Adatvédelmi Rendelete (GDPR) és a hatályos magyar adatvédelmi jogszabályok szerint. A tájékoztató jelenlegi tartalma munkafázisban van, jogi felülvizsgálat alatt áll.

1. Az Adatkezelő

Cégnév: [TODO: jogi név]

Székhely: [TODO: cím]

Cégjegyzékszám: [TODO]

Adószám: [TODO]

Kapcsolat: dpo@felmi.hu (placeholder), info@felmi.hu

2. A kezelt személyes adatok köre

Email-feliratkozás: email cím, hozzájárulás időpontja, hozzájárulás verziószáma, forrás (melyik aloldal).

Regisztráció (Layer 3, Deep Survey): email cím, jelszó (csak a Supabase Auth-ban tárolva, sózva-hashelve), név, szülő-diák kapcsolat, opcionálisan iskola.

Survey kitöltés: a kérdőív válaszai, kitöltési idő.

Riport: a generált tartalom, score-ok.

Naplózott események (audit_log): kik mit módosítottak az admin felületen — érzékeny mezők (jelszó, token) automatikusan kiszűrve.

3. Az adatkezelés céljai

Email-feliratkozás: tájékoztatás a szolgáltatás indulásáról.

Felvételi-lista, Önismereti riport: anonim szolgáltatásnyújtás (regisztráció nélkül).

Deep Survey: személyre szabott pszichológiai-pályaorientációs riport készítése, a diák és a szülő közötti perspektíva-összehasonlítás.

Iskolai admin felület (B2B): aggregált, egyéni szinten nem azonosítható statisztikák.

Adminisztráció, biztonság, jogi megfelelés.

4. Az adatkezelés jogalapja

Email-feliratkozás: az érintett hozzájárulása (GDPR 6. cikk (1) a) pont).

Regisztráció és szolgáltatásnyújtás: szerződés teljesítése (GDPR 6. cikk (1) b) pont).

Naplózás, csalásmegelőzés: az Adatkezelő jogos érdeke (GDPR 6. cikk (1) f) pont).

Jogi kötelezettség teljesítése (pl. számlázás, hatósági megkeresés): GDPR 6. cikk (1) c) pont.

Kiskorúak (16. életév alattiak): a szülő/törvényes képviselő hozzájárulása (GDPR 8. cikk + 2011. évi CXC. tv.).

5. Az adatok megőrzésének ideje

Email-feliratkozás: leiratkozásig + 30 nap (jogviták esetére).

Regisztrált felhasználói fiók: a fiók törléséig, vagy 3 év aktivitás-mentes időszak után.

Survey-kitöltések és riportok: a felhasználói fiókkal együtt törlődnek (soft delete + 30 nap után hard delete).

Audit-log: 5 év (számviteli és bizonyítási célok).

DSR-megkeresések: 3 év (igazolhatóság).

6. Adatfeldolgozók

Supabase, Inc. (USA — Standard Contractual Clauses): adatbázis, autentikáció, fájltárolás. Régió: EU (Frankfurt).

Vercel, Inc. (USA — SCC): hosting, edge funkciók, log-aggregáció.

Upstash (USA/EU — SCC): rate-limiting backend.

Anthropic / OpenAI (USA — SCC, opt-out a tréningből): LLM-alapú riport-generálás (csak a Deep Survey-hez, anonimizált payload-dal).

Stripe (USA — SCC, későbbi sprint): fizetési feldolgozás.

A teljes feldolgozói lista a LEGAL.md-ben elérhető és frissül.

7. Az érintett jogai

Hozzáférés (GDPR 15. cikk): tájékoztatást kérhetsz arról, milyen adatokat kezelünk rólad.

Helyesbítés (16. cikk): kérheted a pontatlan adatok javítását.

Törlés / „elfeledtetés” (17. cikk): kérheted az adataid törlését.

Korlátozás (18. cikk): bizonyos esetekben korlátozást kérhetsz.

Hordozhatóság (20. cikk): strukturált formában megkaphatod az adataidat.

Tiltakozás (21. cikk): jogos érdek alapú adatkezelés ellen tiltakozhatsz.

Hozzájárulás visszavonása (7. cikk (3)): bármikor, ugyanolyan egyszerűen, mint ahogy adtad. Email-feliratkozáshoz: /jogi/leiratkozas.

Panasz a NAIH-nál (Nemzeti Adatvédelmi és Információszabadság Hatóság, www.naih.hu).

Bírósági jogorvoslat.

Megkeresési csatorna: /jogi/kapcsolat oldal vagy dpo@felmi.hu.

8. Adatbiztonság

Jelszótárolás: Supabase Auth, sózott bcrypt-hash, soha nem tisztaszöveges.

Szállítás: HTTPS minden végpontra (HSTS, TLS 1.2+).

Adatbázis: Supabase Row-Level Security minden táblán (defense in depth).

Hozzáférés-kezelés: szerep-alapú (CASL), service-role kulcs csak szerver-oldali endpoint-okon.

Rate-limit: Upstash sliding window kritikus végpontokon (login, regisztráció, email-feliratkozás).

PII-szivárgás megelőzése: log-okból és audit-trail diff-ekből az érzékeny mezők (jelszó, token, MFA-titok) automatikusan kiszűrve.

Biztonsági headerek: CSP, HSTS, X-Frame-Options DENY.

9. Jogorvoslati lehetőségek

Adatkezeléssel kapcsolatos panasz esetén először az Adatkezelőt keresd: dpo@felmi.hu vagy /jogi/kapcsolat.

Ha nem orvosoljuk a panaszt, a NAIH-nál tehetsz bejelentést: 1055 Budapest, Falk Miksa utca 9-11. — ugyfelszolgalat@naih.hu — www.naih.hu.

Bírósághoz fordulhatsz a lakhelyed szerinti törvényszéken (Polgári Törvénykönyv 2:51. § + GDPR 79. cikk).

10. Sütik (cookies)

Jelenleg csak a működéshez feltétlenül szükséges (technikai) sütiket használjuk: autentikációs session-cookie a Supabase-től, CSRF-védelem.

Analitikai vagy marketing-süti jelenleg nincs; ha bevezetjük, a felhasználó előzetes hozzájárulását fogjuk kérni egy süti-banner-en keresztül.

11. A tájékoztató módosítása

Az Adatkezelő fenntartja a jogot a tájékoztató módosítására. Lényeges változás esetén az érintetteket értesítjük (pl. emailben, vagy az alkalmazásban felszólítva az új verzió elfogadására).

A jelen tájékoztató verziója: 2026-05-11-placeholder — hatályos: 2026-05-11.