Wedding Co-Pilot

Adatvédelmi tájékoztató

Hatályos: 2026. május 15-től  ·  Verzió: 1.1

A jelen Adatvédelmi tájékoztató (a továbbiakban: Tájékoztató) az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: Infotv.), valamint az egyéb vonatkozó magyar jogszabályoknak megfelelően ismerteti a Wedding Co-Pilot Szolgáltatás (a továbbiakban: Szolgáltatás) keretében végzett személyes adatkezelési tevékenységet.

1. Az adatkezelő

Kereskedelmi neve: DateWhim
Jogi formája: egyéni vállalkozó
E-mail: weddingcopilot@outlook.com
Weboldal: www.yourweddingcopilot.com

Az adatkezelő a GDPR 4. cikk 7. pontja szerinti adatkezelő, aki meghatározza a személyes adatok kezelésének céljait és eszközeit.

2. A kezelt személyes adatok köre és az adatkezelés célja

2.1. Fiók- és azonosítási adatok

Kezelt adatok: e-mail-cím, jelszó (kizárólag bcrypt hash formájában tárolva), Google-fiók azonosítója (Google OAuth esetén), regisztráció időpontja, utolsó bejelentkezés időpontja.

Cél: felhasználói fiók létrehozása és azonosítása, a Szolgáltatáshoz való biztonságos hozzáférés biztosítása.

Jogalap: GDPR 6. cikk (1) bek. b) pont – szerződés teljesítése.

2.2. Esküvőprofil adatok

Kezelt adatok: a házasulandók nevei, az esküvő tervezett dátuma és helyszíne, vendégek becsült száma, tervezett költségkeret, kulturális és vallási háttér, egyéb, a Felhasználó által önkéntesen megadott tervezési adatok.

Cél: az AI-alapú tervezési funkciók személyre szabott működtetése.

Jogalap: GDPR 6. cikk (1) bek. b) pont – szerződés teljesítése.

2.3. Vendégek és harmadik személyek adatai

Kezelt adatok: a Felhasználó által a vendéglistára rögzített személyek neve, opciósan étrendi igénye, asztalbeosztása és egyéb, a Felhasználó által megadott adatok.

Cél: az ülésrend-optimalizáló és a vendégkezelő funkció működtetése.

Jogalap: GDPR 6. cikk (1) bek. f) pont – az adatkezelő jogos érdeke (a Szolgáltatás rendeltetésszerű működtetése). A Felhasználó felelős azért, hogy a vendégek adatait az érintett személyek tudomásával és az alkalmazandó adatvédelmi szabályok betartásával rögzíti.

2.4. Vendor- és szállítói adatok

Kezelt adatok: a Felhasználó által rögzített esküvői szolgáltatók (vendorok) neve, kategóriája, árajánlata, szerződéses státusza és megjegyzések. Ezek az adatok jellemzően vállalkozások adatai, azonban természetes személyek esetén személyes adatnak minősülhetnek.

Cél: a vendorkövető és AI-elemző funkció működtetése.

Jogalap: GDPR 6. cikk (1) bek. b) pont – szerződés teljesítése.

2.5. Előfizetési és fizetési adatok

Kezelt adatok: előfizetési csomag típusa, előfizetés státusza (aktív, lejárt, lemondott), a Lemon Squeezy által generált rendelésazonosító és előfizetés-azonosító, a fizetés dátuma és összege.

Cél: a díjköteles előfizetések kezelése, az előfizetéshez kötött funkciók feloldása, jogszabályi könyvelési kötelezettség teljesítése.

Jogalap: GDPR 6. cikk (1) bek. b) pont – szerződés teljesítése; GDPR 6. cikk (1) bek. c) pont – jogi kötelezettség teljesítése (számviteli törvény).

A tényleges bankkártya-adatokat kizárólag a Lemon Squeezy kezeli; az adatkezelő ezeket nem látja és nem tárolja.

2.6. AI-használati adatok

Kezelt adatok: az AI-funkciók igénybevételének időpontja, az érintett funkció típusa (pl. vendor, budget, seating), a felhasználói fiók azonosítója.

Cél: visszaélések megelőzése, az előfizetési csomaghoz rendelt igénybevételi korlátok (rate limit) érvényesítése, a Szolgáltatás minőségének biztosítása.

Jogalap: GDPR 6. cikk (1) bek. f) pont – az adatkezelő jogos érdeke.

2.7. Technikai és naplózási adatok

Kezelt adatok: IP-cím, böngésző típusa, operációs rendszer, a Szolgáltatás igénybevételének időpontja, a meglátogatott oldalak. Ezeket az adatokat a Supabase és a Vercel infrastruktúra automatikusan rögzíti.

Cél: rendszerbiztonság, hibaelhárítás, visszaélések megelőzése.

Jogalap: GDPR 6. cikk (1) bek. f) pont – az adatkezelő jogos érdeke.

3. Adatfeldolgozók

Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe. Az adatfeldolgozók a személyes adatokat kizárólag az adatkezelő utasításai szerint, a GDPR 28. cikke szerinti adatfeldolgozói szerződés alapján kezelhetik.

3.1. Supabase, Inc. – adatbázis és hitelesítési infrastruktúra

Székhely: 970 Toa Payoh North, Singapore 318992. Az adatok elsődleges tárolási helye: EU-s adatközpont (Frankfurt, Németország). Az adattovábbítás jogalapja: az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCCs, 2021/914/EU határozat). Adatvédelmi tájékoztató: supabase.com/privacy.

3.2. Vercel Inc. – alkalmazás-hosting és CDN

Székhely: 340 Pine Street, Suite 701, San Francisco, CA 94104, USA. Az adatok EU-s végpontokról is kiszolgálásra kerülnek. Az adattovábbítás jogalapja: SCCs. Adatvédelmi tájékoztató: vercel.com/legal/privacy-policy.

3.3. OpenAI, LLC – mesterséges intelligencia feldolgozás

Székhely: 3180 18th Street, San Francisco, CA 94110, USA. Az AI-funkciók igénybevételekor az adatkezelő az esküvőprofilhoz kapcsolódó, a Felhasználó által önkéntesen megadott szöveges adatokat az OpenAI API-jának továbbítja feldolgozás céljából. Az OpenAI az API ügyfelek adatait nem használja fel modell-tréninghez (az OpenAI API adatvédelmi szabályzata szerint). Az adattovábbítás jogalapja: SCCs. Adatvédelmi tájékoztató: openai.com/policies/privacy-policy.

3.4. Lemon Squeezy, LLC – fizetési és előfizetés-kezelési szolgáltatás

Székhely: USA. A Felhasználó fizetési adatait kizárólag a Lemon Squeezy kezeli, PCI-DSS megfelelőség szerint. Az adatkezelő csupán az előfizetés státuszát és az azonosítókat kapja meg. Az adattovábbítás jogalapja: SCCs. Adatvédelmi tájékoztató: lemonsqueezy.com/privacy.

3.5. Google LLC – OAuth-azonosítás

Székhely: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Ha a Felhasználó Google-fiókjával jelentkezik be, a Google a saját adatvédelmi szabályzata szerint kezeli az azonosításhoz szükséges adatokat. Az adatkezelő kizárólag a Google által visszaadott felhasználói azonosítót és e-mail-címet tárolja. Adatvédelmi tájékoztató: policies.google.com/privacy.

3.6. PostHog, Inc. – termékanalitika

Székhely: 2261 Market Street #4008, San Francisco, CA 94114, USA. A Szolgáltatás termékelemzési célokra a PostHog EU felhőszolgáltatását (Frankfurt, Németország) veszi igénybe a funkciók használatának megértéséhez és a Szolgáltatás fejlesztéséhez. A PostHog kizárólag azonosított módban üzemel – anonim látogatókat nem követ; csak bejelentkezett felhasználók alkalmazáson belüli eseményei kerülnek rögzítésre. Személyazonosításra alkalmas adat a felhasználói fiók azonosítóján kívül nem kerül továbbításra. Az adattovábbítás jogalapja: SCCs. Adatvédelmi tájékoztató: posthog.com/privacy.

4. Adatmegőrzési idők

  • Felhasználói fiók és esküvőprofil adatok: a fiók aktív fennállásáig, illetve a fiók törlésére vonatkozó kérelem teljesítéséig, de legkésőbb a Felhasználó utolsó bejelentkezésétől számított 3 évig, ha a fiók inaktív marad.
  • Vendégek és vendorok adatai: a felhasználói fiók fennállásáig.
  • Előfizetési és számlázási adatok: a vonatkozó számviteli jogszabályok által előírt ideig, a számla keltétől számított 8 évig (a számvitelről szóló 2000. évi C. törvény 169. §-a alapján).
  • AI-használati naplók: legfeljebb 90 nap.
  • Technikai naplók (IP-cím, hozzáférési log): legfeljebb 90 nap.

A fiók törlését követően az adatkezelő a Felhasználó adatait haladéktalanul törli, kivéve azokat, amelyek megőrzésére jogszabályi kötelezettség áll fenn.

5. Az érintett jogai

A Felhasználót a GDPR III. fejezete alapján az alábbi jogok illetik meg, amelyeket a weddingcopilot@outlook.com e-mail-címen lehet érvényesíteni. Az adatkezelő a kérelmet a beérkezéstől számított 30 napon belül teljesíti, indokolt esetben ez a határidő további 60 nappal meghosszabbítható.

5.1. Hozzáférési jog (GDPR 15. cikk)

A Felhasználó jogosult tájékoztatást kérni arról, hogy az adatkezelő kezeli-e a személyes adatait, és ha igen, másolatot kérhet azokról, valamint tájékoztatást az adatkezelés céljáról, jogalapjáról, az adatmegőrzési időről és az adatfeldolgozókról.

5.2. Helyesbítési jog (GDPR 16. cikk)

A Felhasználó kérheti a pontatlan személyes adatainak helyesbítését, illetve a hiányos adatok kiegészítését. A Felhasználó a fiókbeállításokban közvetlenül is módosíthatja az esküvőprofilhoz kapcsolódó adatait.

5.3. Törlési jog – "elfeledtetéshez való jog" (GDPR 17. cikk)

A Felhasználó kérheti személyes adatainak törlését, amennyiben az adatkezelés már nem szükséges az eredeti célhoz, a hozzájárulást visszavonta, vagy tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogos érdek. A törlés nem teljesíthető, ha az adatok megőrzésére jogszabályi kötelezettség áll fenn.

5.4. Az adatkezelés korlátozásához való jog (GDPR 18. cikk)

A Felhasználó kérheti az adatkezelés korlátozását – pl. az adatok pontosságának vitatása idejére, vagy tiltakozás esetén, amíg a jogos érdekek mérlegelése folyamatban van. Korlátozás esetén az adatokat az adatkezelő csak tárolhatja, egyéb műveletet nem végezhet.

5.5. Adathordozhatósághoz való jog (GDPR 20. cikk)

A Felhasználó jogosult a rá vonatkozó, általa megadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapni (pl. JSON vagy CSV), és ezeket egy másik adatkezelőnek továbbítani, amennyiben az adatkezelés automatizált módon, hozzájárulás vagy szerződés alapján történik.

5.6. Tiltakozáshoz való jog (GDPR 21. cikk)

A Felhasználó tiltakozhat az adatkezelő jogos érdekén alapuló adatkezelés ellen. Ebben az esetben az adatkezelő az adatkezelést megszünteti, kivéve, ha bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Felhasználó érdekeivel szemben.

5.7. Az automatizált döntéshozatal és profilalkotás elleni jog (GDPR 22. cikk)

A Szolgáltatás kizárólag az előfizetési csomag alapján alkalmaz automatizált döntést (az AI-hozzáférés engedélyezése vagy korlátozása). Ez a döntéshozatal a szerződés teljesítéséhez szükséges, és a Felhasználó bármikor kérheti a döntés emberi felülvizsgálatát, véleményének kifejtését és a döntés megkérdőjelezését.

6. Cookie-k (sütik)

A Szolgáltatás kizárólag a működéséhez elengedhetetlen (essential) sütiket alkalmaz:

  • Munkamenet-cookie (session): a bejelentkezett állapot fenntartásához szükséges. Érvényességi ideje: a böngésző bezárásáig, illetve a Supabase Auth token lejáratáig.
  • CSRF-védelmi cookie: a keresztsite-request-forgery támadások megelőzésére. Munkamenetenként törlődik.

Marketing-, tracking- vagy harmadik fél által beágyazott analitikai cookie-kat a Szolgáltatás a Felhasználó kifejezett hozzájárulása nélkül nem alkalmaz. Amennyiben a jövőben ilyen sütik bevezetésre kerülnek, arról a Felhasználókat előzetesen tájékoztatjuk és hozzájárulásukat kérjük.

7. Az adatok biztonsága

Az adatkezelő és adatfeldolgozói a GDPR 32. cikke alapján az adatkezelés jellegének, hatókörének és kockázatainak figyelembevételével megfelelő technikai és szervezési intézkedéseket alkalmaznak a személyes adatok védelme érdekében. Ezek különösen:

  • Titkosítás: az adatátvitel HTTPS/TLS protokollon keresztül történik; a jelszavak bcrypt algoritmussal hash-elve kerülnek tárolásra.
  • Hozzáférés-kontroll: sorszintű adatbiztonsági szabályok (Row Level Security – RLS) biztosítják, hogy a Felhasználó kizárólag a saját adataihoz férhessen hozzá.
  • Infrastrukturális biztonság: az adatbázis és az alkalmazás felügyelt, ISO 27001 és SOC 2 Type II tanúsítvánnyal rendelkező adatközpontokban üzemel.
  • SSRF-védelem: a Moodboard funkció scraper-komponense DNS-feloldáson alapuló magánhálózati IP-blokkolással véd a szerver oldali kérés-hamisítással szemben.

Adatvédelmi incidens észlelése esetén az adatkezelő a tudomásszerzéstől számított 72 órán belül értesíti a felügyeleti hatóságot (NAIH), és amennyiben az incidens magas kockázattal jár az érintettekre nézve, haladéktalanul tájékoztatja az érintett Felhasználókat is.

8. Panasztétel a felügyeleti hatóságnál

Ha a Felhasználó úgy ítéli meg, hogy az adatkezelő a személyes adatait jogellenesen kezeli, panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH):

  • Cím: 1055 Budapest, Falk Miksa utca 9–11.
  • Levelezési cím: 1363 Budapest, Pf. 9.
  • Telefon: +36 1 391 1400
  • E-mail: ugyfelszolgalat@naih.hu
  • Weboldal: naih.hu

A Felhasználó a panasz benyújtásával párhuzamosan bírósághoz is fordulhat. A pert a Felhasználó lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.

9. A Tájékoztató módosítása

Az adatkezelő fenntartja a jogot a jelen Tájékoztató módosítására. Lényeges változás esetén a Felhasználókat e-mailben értesíti a hatályba lépés előtt legalább 15 nappal. A módosított Tájékoztató hatályba lépése után a Szolgáltatás igénybevétele a módosítás tudomásul vételét jelenti.

A Tájékoztató mindenkor hatályos verziója a /hu/privacy oldalon érhető el.