ADATKEZELÉSI TÁJÉKOZTATÓ
Tartalomjegyzék
SzakiFlow – Kivitelezők számára fejlesztett CRM & munkavezető rendszer
Hatálybalépés dátuma: 2026.05.01.
Bevezető
A SzakiFlow platform üzemeltetője (a továbbiakban: „Adatkezelő” vagy „Szolgáltató”) elkötelezett a személyes adatok védelmében. Jelen Adatkezelési Tájékoztató a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) rendelkezéseivel összhangban készült.
A tájékoztató célja, hogy átlátható és érthető formában ismertesse:
- milyen személyes adatokat kezel az Adatkezelő,
- milyen céllal és jogalapon,
- meddig őrzi meg azokat,
- kivel osztja meg,
- és milyen jogok illetik meg az érintetteket.
1. Az Adatkezelő adatai
| Neve: | Bakonyi-Kiss Patrik ev. |
| Székhelye: | 5811 Végegyháza, József Attila út 60. |
| Adószáma: | 56766734-1-24 |
| Nyilvántartási száma: | 55457866 |
| E-mail: | ugyfelszolgalat@szakiflow.hu |
| Telefon: | +36706138760 |
| Weboldal: | https://szakiflow.hu |
| Platform: | https://app.szakiflow.hu |
2. A kezelt adatok köre, az adatkezelés célja és jogalapja
2.1 Regisztráció és fiókkezelés
Érintettek: az előfizető vállalkozás képviseletében regisztráló természetes személyek
Kezelt adatok:
- név (kapcsolattartó neve)
- e-mail-cím
- jelszó (bcrypt hash formátumban tárolva, eredeti formában nem hozzáférhető)
- vállalkozás neve
- székhely / számlázási cím
- adószám
- telefonszám
- regisztráció időpontja
- utolsó bejelentkezés időpontja és IP-címe
Az adatkezelés célja: a felhasználói fiók létrehozása, azonosítás, a Platformhoz való hozzáférés biztosítása
Jogalap: GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
Megőrzési idő: a szerződés megszűnésétől számított 5 év (jogi igények érvényesítése céljából), ezt követően végleges törlés
2.2 Előfizetés és számlázás
Érintettek: az előfizető vállalkozás képviseletében eljáró természetes személyek
Kezelt adatok:
- számlázási név és cím
- adószám
- előfizetési csomag és előzmények
- fizetési tranzakciók adatai (összeg, dátum, státusz)
- Mollie által generált ügyfél- és mandátumazonosítók
- kiállított számlák
Megjegyzés: a bankkártya adatokat kizárólag a Mollie Payment Services B.V. kezeli; az Adatkezelő ezekhez nem fér hozzá.
Az adatkezelés célja: előfizetési díj számlázása, pénzügyi nyilvántartás, számviteli kötelezettségek teljesítése
Jogalap:
- GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése (előfizetési díj kezelése)
- GDPR 6. cikk (1) bekezdés c) pont — jogi kötelezettség teljesítése (számviteli megőrzési kötelezettség)
Megőrzési idő: a számvitelről szóló 2000. évi C. törvény alapján 8 év, ezt követően végleges törlés
2.3 A Platform használata (munkák, ügyfelek, dokumentumok)
Érintettek: az előfizető által a Platformon rögzített természetes személy ügyfelek
Fontos: ezen adatok tekintetében az Adatkezelő adatfeldolgozóként jár el. Az adatok feletti rendelkezési jog az Előfizetőt mint önálló adatkezelőt illeti meg. Az Adatkezelő az adatokat kizárólag a Szolgáltatás nyújtásához szükséges mértékben kezeli, az Előfizető utasításai szerint.
Kezelt adatok (az Előfizető által rögzítve):
- ügyfelek neve, e-mail-címe, telefonszáma, címe
- munkák leírása, helyszíne, státusza, időpontja
- munkákhoz kapcsolt fényképek és dokumentumok
- belső megjegyzések
- árajánlatok és tételeik
Az adatkezelés célja: a Platform rendeltetésszerű működésének biztosítása, az Előfizető munkavezető és CRM funkcióinak kiszolgálása
Jogalap: GDPR 6. cikk (1) bekezdés b) pont — az Előfizetővel kötött szerződés teljesítése (adatfeldolgozói jogviszony)
Megőrzési idő: a szerződés megszűnésekor az Előfizető ügyféladatai haladéktalanul törlésre kerülnek a rendszerből, a technikai adattörlési folyamat (lásd 7. pont) szerint
2.4 SMS- és e-mail értesítések küldése
Érintettek: az Előfizető ügyfelei, akiknek az Előfizető értesítést küld
Kezelt adatok:
- ügyfél neve, e-mail-címe, telefonszáma
- küldött értesítések tartalma, időpontja, státusza (kézbesítve / sikertelen)
- leiratkozási státusz (opt-out)
Az adatkezelés célja: az Előfizető megbízása alapján automatikus értesítések kézbesítése az Előfizető ügyfelei részére
Jogalap: GDPR 6. cikk (1) bekezdés b) pont — az Előfizetővel kötött szerződés teljesítése (adatfeldolgozói jogviszony)
Megőrzési idő: az értesítési napló a küldéstől számított 1 évig kerül megőrzésre, ezt követően törlésre kerül; a leiratkozási státusz (opt-out) a szerződés megszűnéséig megőrzésre kerül
2.5 Technikai és biztonsági adatok
Érintettek: a Platform valamennyi felhasználója
Kezelt adatok:
- bejelentkezési napló (időpont, IP-cím, böngésző típusa)
- hozzáférési napló (mely funkciókat, mikor használták)
- hibanapló (technikai hibák rögzítése)
- audit napló (adatmódosítások: ki, mikor, mit változtatott)
Az adatkezelés célja: a Platform biztonsága, visszaélések megelőzése, hibaelhárítás, adatvédelmi kötelezettségek teljesítése
Jogalap: GDPR 6. cikk (1) bekezdés f) pont — az Adatkezelő jogos érdeke (IT-biztonság, rendszer-integritás védelme)
Megőrzési idő: 1 év, ezt követően törlés
2.6 Marketing és hírlevél
Érintettek: hírlevélre feliratkozott előfizetők és érdeklődők
Kezelt adatok:
- név
- e-mail-cím
- feliratkozás időpontja és forrása
- levelek megnyitási és kattintási statisztikái (aggregált formában)
Az adatkezelés célja: hírlevél, termékújdonságok, promóciós ajánlatok küldése
Jogalap: GDPR 6. cikk (1) bekezdés a) pont — az érintett hozzájárulása
Megőrzési idő: a hozzájárulás visszavonásáig, leiratkozásig; leiratkozás után az e-mail-cím a tiltólistán (suppresszión) 3 évig megőrzésre kerül az újbóli feliratkozás-kezelés céljából, ezt követően véglegesen törlésre kerül
Megjegyzés: a hozzájárulás bármikor visszavonható az e-mailek alján található leiratkozási linkre kattintva, vagy az ügyfélszolgálat megkeresésével. A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.
2.7 Analitikai és weboldal-látogatói adatok
Érintettek: a https://szakiflow.hu weboldal látogatói
Kezelt adatok és eszközök:
- Google Analytics: oldalmegtekintések, munkamenetek, forgalmi források, böngésző és eszköztípus, hozzávetőleges földrajzi elhelyezkedés (IP-anonimizálással)
- Meta Pixel: weboldal-látogatások és konverziós események rögzítése, célzott hirdetések megjelenítése a Meta (Facebook, Instagram) platformjain
- süti-azonosítók (részletesen lásd a Sütitájékoztatóban)
Az adatkezelés célja: a weboldal teljesítményének mérése, felhasználói élmény javítása, marketing hatékonyság elemzése
Jogalap: GDPR 6. cikk (1) bekezdés a) pont — az érintett hozzájárulása (süti-hozzájárulás)
Megőrzési idő: a Google Analytics adatmegőrzési beállítása szerint 14 hónap; a Hotjar munkamenet-adatok 365 napig kerülnek megőrzésre
Harmadik fél adatkezelők:
- Google LLC (Google Analytics) — adatkezelési tájékoztató: https://policies.google.com/privacy
- Meta Platforms Ireland Ltd. — adatkezelési tájékoztató: https://www.facebook.com/privacy/policy/
3. Adattovábbítás és adatfeldolgozók
Az Adatkezelő az alábbi adatfeldolgozókat veszi igénybe. Ezek az adatfeldolgozók kizárólag az Adatkezelő utasításai szerint, és az adott feladat elvégzéséhez szükséges mértékben kezelik a személyes adatokat.
| Adatfeldolgozó | Tevékenység | Adattovábbítás helye |
|---|---|---|
| Mollie Payment Services B.V. | Fizetési tranzakciók feldolgozása | EU (Hollandia) |
| KBOSS.hu Kft. (Számlázz.hu) | Elektronikus számlák kiállítása | Magyarország |
| SendGrid (Twilio Inc.) | E-mail értesítések kézbesítése | USA (SCCs alapján) |
| Websms.hu | SMS értesítések kézbesítése | Magyarország |
| Sybell Informatika Kft. | Szerverszolgáltatás, tárhely | Magyarország |
| Google LLC | Analitika (Google Analytics) | USA (SCCs alapján) |
| Meta Platforms Ireland Ltd. | Marketing analitika (Meta Pixel) | EU (Írország) |
Megjegyzés az EU-n kívüli adattovábbításról: A SendGrid (USA) és a Google Analytics (USA) esetében az adattovábbítás az Európai Bizottság által jóváhagyott standard szerződési feltételek (SCCs) alapján történik, amelyek biztosítják a GDPR-ral egyenértékű védelmi szintet.
Az Adatkezelő személyes adatot harmadik félnek az adatfeldolgozókon kívül kizárólag az alábbi esetekben továbbít:
- hatósági megkeresés esetén, jogszabályi kötelezettség alapján (NAIH, bíróság, rendőrség),
- az érintett kifejezett hozzájárulásával.
4. Az érintettek jogai
A GDPR alapján az érintetteket az alábbi jogok illetik meg. A jogok gyakorlásához az érintett az ugyfelszolgalat@szakiflow.hu e-mail-címen, vagy postai úton fordulhat az Adatkezelőhöz.
4.1 Hozzáférési jog (GDPR 15. cikk)
Az érintett jogosult tájékoztatást kérni arról, hogy az Adatkezelő kezeli-e személyes adatait, és ha igen, azokhoz hozzáférést kérni, valamint a jelen tájékoztatóban szereplő információkat megkapni.
4.2 Helyesbítési jog (GDPR 16. cikk)
Az érintett jogosult kérni pontatlan személyes adatainak helyesbítését, illetve hiányos adatainak kiegészítését. A Platformon belül a legtöbb adat az érintett által közvetlenül szerkeszthető.
4.3 Törlési jog — „elfeledtetéshez való jog” (GDPR 17. cikk)
Az érintett kérheti személyes adatainak törlését, amennyiben:
- az adatkezelés célja megszűnt,
- az érintett visszavonja hozzájárulását (és nincs más jogalap),
- az adatkezelés jogellenes,
- törlési kötelezettséget jogszabály ír elő.
A törlés nem teljesíthető, ha az adatkezelés jogszabályi kötelezettség teljesítéséhez szükséges (pl. számlázási adatok 8 éves megőrzése).
A törlési folyamat technikai megvalósítása: az Adatkezelő többrétegű adattörlési mechanizmust alkalmaz, amely biztosítja, hogy a törölt adatok biztonsági mentésekből sem állíthatók vissza (részletesen lásd a 7. pontban).
4.4 Az adatkezelés korlátozásához való jog (GDPR 18. cikk)
Az érintett kérheti az adatkezelés korlátozását, amennyiben vitatja az adatok pontosságát, az adatkezelés jogellenes, vagy az érintett tiltakozást nyújtott be.
4.5 Adathordozhatósághoz való jog (GDPR 20. cikk)
Az érintett jogosult a rá vonatkozó, általa megadott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban (CSV vagy JSON) megkapni, és azokat másik adatkezelőhöz továbbítani. Ez a jog kizárólag a hozzájáruláson vagy szerződésen alapuló, automatizált adatkezelésnél alkalmazható.
Az Előfizető adatait a Platformon belül bármikor exportálhatja (lásd ÁSZF 7.8 pont).
4.6 Tiltakozási jog (GDPR 21. cikk)
Az érintett jogosult tiltakozni a jogos érdeken (GDPR 6. cikk (1) bek. f) pont) alapuló adatkezelés ellen. Tiltakozás esetén az Adatkezelő az adatokat nem kezelheti tovább, kivéve, ha kényszerítő erejű jogos okok indokolják az adatkezelés folytatását.
A marketing célú adatkezeléssel szemben az érintett bármikor, indokolás nélkül tiltakozhat (leiratkozás).
4.7 Hozzájárulás visszavonásának joga
Amennyiben az adatkezelés hozzájáruláson alapul, az érintett hozzájárulását bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
5. Joggyakorlás menete és határidők
Az érintett jogait az alábbi módokon gyakorolhatja:
- e-mailben: ugyfelszolgalat@szakiflow.hu
- postai úton: 5811 Végegyháza, József Attila út 60.
Az Adatkezelő a kérelmet a beérkezéstől számított 30 naptári napon belül megválaszolja. Indokolt esetben ez a határidő további 60 nappal meghosszabbítható, amelyről az Adatkezelő az érintettet tájékoztatja.
A válasz főszabály szerint ingyenes. Amennyiben a kérelem egyértelműen megalapozatlan vagy ismétlődő, az Adatkezelő észszerű díjat számíthat fel, vagy megtagadhatja az intézkedést.
Az Adatkezelő a kérelem teljesítése előtt jogosult az érintett személyazonosságát ellenőrizni.
6. Panasz és jogorvoslat
Amennyiben az érintett úgy ítéli meg, hogy adatainak kezelése megsérti a GDPR rendelkezéseit, panaszt nyújthat be a felügyeleti hatósághoz:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
- Székhely: 1055 Budapest, Falk Miksa utca 9-11.
- Postacím: 1363 Budapest, Pf. 9.
- E-mail: ugyfelszolgalat@naih.hu
- Weboldal: www.naih.hu
- Telefon: +36 (1) 391-1400
Az érintett a felügyeleti hatósági panasz benyújtása mellett bírósági jogorvoslattal is élhet a lakóhelye vagy tartózkodási helye szerint illetékes törvényszéknél.
7. Adatbiztonsági intézkedések és törlési mechanizmus
7.1 Technikai és szervezési intézkedések
Az Adatkezelő az adatok védelme érdekében az alábbi intézkedéseket alkalmazza:
- minden adatátvitel HTTPS protokollon keresztül, titkosítva történik,
- érzékeny adatok (e-mail, telefonszám, cím) titkosítva kerülnek tárolásra,
- jelszavak kizárólag bcrypt hash formátumban tárolódnak,
- szerepkör alapú hozzáférés-szabályozás (csak az adott feladathoz szükséges adatokhoz van hozzáférés),
- multi-tenancy izoláció: minden előfizető adatai adatbázis-szinten elkülönítve kerülnek tárolásra (Row Level Security),
- rendszeres biztonsági mentés (napi, 30 napos megőrzés, titkosított tárolással),
- audit napló minden adatmódosítási eseményről,
- rendszeres integritás-ellenőrzés (heti checksum-verifikáció).
7.2 Adattörlési mechanizmus
Az Adatkezelő többrétegű, visszaállíthatatlan törlési mechanizmust alkalmaz:
Adatkategóriák és törlési szabályok:
| Adatkategória | Törlési mód | Türelmi idő |
|---|---|---|
| Ügyféladatok (munkák, fotók, ügyfelek) | Azonnali végleges törlés (hard delete) | — |
| Fiókadat (felhasználók, tenant rekord) | 60 napos türelmi idő, majd végleges törlés | 60 nap |
| Számlázási adat | Csak logikai törlés (soft delete), fizikailag megőrzött | 8 év (jogszabály) |
A törlési folyamat lépései:
- Törlési kérelem rögzítése — az érintett vagy a Super Admin kezdeményezi
- Türelmi idő (fiókadat esetén 60 nap) — visszavonható
- Automatizált törlési pipeline futása (naponta 01:00) — adatok véglegesen eltávolításra kerülnek az elsődleges adatbázisból
- S3 fájlok (fotók, dokumentumok) törlése — aszinkron, 3 próbálkozással
- Törlési napló rögzítése — külön, append-only adatbázisban, személyes adatot nem tartalmazó kriptográfiai ujjlenyomattal
- Biztonsági mentésekből való törlés érvényesítése — visszaállítás esetén a törlési napló alapján automatikusan újra alkalmazzák a törléseket
Ez biztosítja, hogy a törölt adatok biztonsági mentésekből sem állíthatók vissza.
Törlési napló megőrzése: 120 nap (személyes adatot nem tartalmaz) Audit trail megőrzése: 3 év (GDPR elévülési időhöz igazítva), tamper-védett checksum-mal
8. Adatkezelői és adatfeldolgozói szerepkörök elhatárolása
A SzakiFlow platform sajátossága, hogy az Adatkezelő kettős szerepkörben jár el:
Önálló adatkezelőként kezeli:
- az Előfizetők regisztrációs, számlázási és technikai adatait (lásd 2.1, 2.2, 2.5 pontok)
- a marketing hírlevélre feliratkozók adatait (lásd 2.6 pont)
- a weboldal látogatóinak analitikai adatait (lásd 2.7 pont)
Adatfeldolgozóként kezeli (az Előfizető mint adatkezelő utasításai szerint):
- az Előfizető által a Platformon rögzített ügyféladatokat (lásd 2.3 pont)
- az Előfizető által küldött SMS- és e-mail értesítések adatait (lásd 2.4 pont)
Az adatfeldolgozói jogviszonyt az Adatkezelő és az Előfizető között az Adatfeldolgozói Megállapodás (DPA) szabályozza, amely az ÁSZF elválaszthatatlan melléklete, és a regisztráció elfogadásával automatikusan hatályba lép.
9. Sütitájékoztató
9.1 Mi az a süti?
A süti (cookie) egy kis méretű szövegfájl, amelyet a weboldal helyez el az érintett eszközén (számítógép, telefon, tablet) a böngészőn keresztül. A sütik célja a weboldal működésének biztosítása, a felhasználói élmény javítása, valamint statisztikai és marketing célú adatgyűjtés.
9.2 Milyen sütiket alkalmazunk?
A) Feltétlenül szükséges sütik
Ezek a sütik a weboldal és a Platform alapvető működéséhez elengedhetetlenek. Hozzájárulás nélkül is alkalmazhatók (GDPR (87) preambulumbekezdés és az ePrivacy irányelv alapján).
| Süti neve | Cél | Megőrzési idő |
|---|---|---|
session_id | Bejelentkezési munkamenet azonosítása | Munkamenet végéig |
csrf_token | CSRF-támadások elleni védelem | Munkamenet végéig |
remember_token | „Emlékezz rám” funkció | 30 nap |
cookie_consent | Süti-hozzájárulás státuszának tárolása | 12 hónap |
Jogalap: GDPR 6. cikk (1) bekezdés f) pont — jogos érdek (a szolgáltatás biztonságos működése)
B) Analitikai sütik
Ezek a sütik a weboldal látogatottságának és használatának mérésére szolgálnak. Alkalmazásukhoz az érintett előzetes hozzájárulása szükséges.
Google Analytics (Google LLC)
| Süti neve | Cél | Megőrzési idő |
|---|---|---|
_ga | Egyedi látogató azonosítása | 14 hónap |
_ga_* | Munkamenet azonosítása | 14 hónap |
_gid | Napi látogató megkülönböztetése | 24 óra |
Az IP-cím anonimizálva kerül továbbításra a Google szervereire. A Google adatkezelési szabályzata: https://policies.google.com/privacy
Meta Pixel (Meta Platforms Ireland Ltd.)
| Süti neve | Cél | Megőrzési idő |
|---|---|---|
_fbp | Egyedi látogató azonosítása, remarketing | 90 nap |
_fbc | Kattintási azonosító (Facebook hirdetésekből) | 90 nap |
fr | Hirdetés-megjelenítés és mérés | 90 nap |
A Meta Pixel rögzíti a weboldal-látogatásokat és az elvégzett műveleteket (pl. regisztráció), és ezeket az adatokat a Meta (Facebook) hirdetési rendszeréhez továbbítja célzott hirdetések megjelenítése céljából. A Meta adatkezelési szabályzata: https://www.facebook.com/privacy/policy/
Jogalap: GDPR 6. cikk (1) bekezdés a) pont — hozzájárulás
9.3 Hozzájárulás és visszavonás
Az Adatkezelő a weboldal első látogatásakor süti-hozzájárulási panelt jelenít meg, amelyen az érintett kategóriánként elfogadhatja vagy elutasíthatja a nem szükséges sütiket.
A hozzájárulás bármikor visszavonható:
- a weboldalon elérhető sütibeállítások menüponton keresztül,
- a böngésző beállításaiban a sütik törlésével vagy letiltásával.
A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét. A feltétlenül szükséges sütik letiltása a weboldal és a Platform egyes funkcióinak megszűnéséhez vagy romlásához vezethet.
9.4 Harmadik féltől származó sütik
Az analitikai és marketing sütik esetén az adatokat harmadik felek (Google, Hotjar) is kezelhetik saját adatkezelési szabályzataik szerint. Az Adatkezelő ezek felett közvetlen befolyással nem rendelkezik; az érintett közvetlenül a harmadik félnél is tiltakozhat az adatkezelés ellen:
- Google adatkezelési beállítások: https://myaccount.google.com/data-and-privacy
- Google Analytics letiltó bővítmény: https://tools.google.com/dlpage/gaoptout
- Meta Pixel letiltás: https://www.facebook.com/adpreferences/ad_settings
10. A tájékoztató módosítása
Az Adatkezelő fenntartja a jogot, hogy jelen tájékoztatót módosítsa. A módosításról az érintetteket e-mailben értesíti, a hatálybalépést megelőzően legalább 15 naptári nappal. A mindenkori hatályos tájékoztató a https://szakiflow.hu/adatkezeles oldalon érhető el. A korábbi verziók ugyfelszolgalat@szakiflow.hu e-mail-címen igényelhetők.