Adatvédelmi Tájékoztató

A jelen tájékoztató a Hypin Kft. által üzemeltetett ReviewBooster szolgáltatás adatkezelési gyakorlatát ismerteti, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szóló 2016/679/EU rendelet (GDPR), az Info tv. (2011. évi CXII. tv.) és egyéb hatályos jogszabályok alapján.

1. Az adatkezelő adatai

Cégnév	Hypin Kft.
Székhely	1133 Budapest, Gogol utca 26.
Cégjegyzékszám	01-09-357234
Adószám	14782714-2-41
Közösségi adószám	HU14782714
Képviselő	Tanai Levente, ügyvezető
Email (adatvédelem)	hello@reviewbooster.hu
Weboldal	reviewbooster.hu

2. Adatvédelmi tisztviselő (DPO)

A GDPR 37. cikk (1) bekezdésében felsorolt feltételek nem állnak fenn (nem végzünk nagyszabású, rendszeres és szisztematikus megfigyelést, és nem kezelünk nagy mennyiségben különleges adatot), ezért a Szolgáltató adatvédelmi tisztviselő (DPO) kinevezésére nem köteles és egyelőre nem is nevez ki. Adatvédelmi kérdésekben a hello@reviewbooster.hu címen, vagy postai úton (1133 Budapest, Gogol utca 26.) elérhetők vagyunk.

3. Adatforrások és szerepkör

A Szolgáltató a személyes adatokat az alábbi forrásokból gyűjti:

Közvetlenül az Előfizetőtől: regisztráció, profil kitöltése, ügyfélszolgálati kommunikáció.
A Végfelhasználóktól (az Előfizető ügyfeleitől) a review-űrlapon keresztül: opcionális név, opcionális email, csillagértékelés, szöveges visszajelzés.
Automatikusan, technikai úton: szerverlogok, IP cím, eszköz/böngésző meta-adatok, biztonsági események.
Adatfeldolgozóktól: Stripe (fizetési események), Resend (email kézbesítési státusz, bounce/complaint események), Számlázz.hu (számlaszámok, kiállítás időbélyege).

Szerepkör: az Előfizetők (regisztrált cégek, vállalkozók) adatai vonatkozásában a Szolgáltató önálló adatkezelő. A Végfelhasználók (review-t írók) adatai vonatkozásában az Előfizető az adatkezelő, a Szolgáltató pedig az Előfizető megbízásából eljáró adatfeldolgozó (GDPR 28. cikk). A feldolgozói viszony részleteit az ÁSZF 17. pontja (DPA) szabályozza.

4. Kezelt személyes adatok

4.1. Előfizetők

Adat	Cél	Jogalap	Megőrzés
Név, email, jelszó (hash)	Regisztráció, belépés	Szerződés (6(1)b)	Fiók megszűnéséig + 30 nap
Cégnév, cím, adószám, közösségi adószám	Számlázás	Jogi kötelezettség (6(1)c)	8 év (Szt. 169. §)
Bankkártya (tokenizálva, nem nálunk)	Fizetés	Szerződés (6(1)b)	Stripe kezeli (PCI DSS L1)
Számlatörténet	Számviteli megőrzés	Jogi kötelezettség (6(1)c)	8 év
Feliratkozási preferenciák, kommunikációs log	Tranzakciós és rendszer-email	Szerződés (6(1)b) + jogos érdek (6(1)f)	2 év a legutóbbi interakciótól
Ügyfélszolgálati üzenetek	Panaszkezelés, támogatás	Szerződés (6(1)b) + jogos érdek (6(1)f)	5 év (Fgytv.)
IP cím, eszköz- és böngésző-meta	Biztonság, visszaélés-megelőzés	Jogos érdek (6(1)f)	90 nap

4.2. Végfelhasználók (review-t írók)

Adat	Cél	Jogalap
Név (opcionális)	Visszajelzés azonosítása, válaszadás	Hozzájárulás (6(1)a)
Email (opcionális)	Vállalkozói válaszüzenet, konfliktuskezelés	Hozzájárulás (6(1)a)
Csillagszám, szöveges üzenet	Visszajelzés tartalma	Jogos érdek (6(1)f) — az Előfizető vállalkozói érdeke
IP cím (review-küldéskor, rövid időre)	Rate limit, visszaélés-megelőzés	Jogos érdek (6(1)f)

Név és email megadása kizárólag opcionális; a név/email mezőket a Végfelhasználó csak az űrlapon található külön jelölőnégyzet bejelölésével töltheti ki, azaz külön GDPR-hozzájárulást ad az Előfizető felé. A hozzájárulás nélkül küldött visszajelzés teljesen anonim.

5. Különleges adatkategóriák, gyermekek adatai

A Szolgáltató nem gyűjt és nem kezel szándékosan különleges adatkategóriát (GDPR 9. cikk: egészségügyi, politikai, vallási, szexuális irányultsági adat stb.). Amennyiben Végfelhasználó a szabad szövegű mezőben ilyet ad meg, az Előfizető és a Szolgáltató együttesen minimalizálási és törlési intézkedéseket alkalmaz.

A Szolgáltatás nem 16 év alatti személyek számára készült. Nem gyűjtünk szándékosan adatot 16 év alatti Végfelhasználótól. Amennyiben tudomásunkra jut, hogy ilyen adatot mégis kezelünk, azt 30 napon belül töröljük.

6. Automatizált döntéshozatal és profilalkotás

A Szolgáltató nem hoz automatizált, kizárólag gépi úton az érintettre nézve joghatással bíró döntést a GDPR 22. cikke értelmében. A csillagértékelés küszöbe (pl. 4–5★ → Google, 1–3★ → privát) önmagában nem minősül ilyennek, mivel kizárólag a Végfelhasználó saját csillagértékelésén alapul, és nem jár jogi vagy hasonló joghatással. A Szolgáltató nem végez marketing célú profilalkotást és nem ad el adatot harmadik félnek.

7. Közvetlen és tranzakciós marketing

Tranzakciós email (számla, rendszeraktivitás, biztonsági figyelmeztetés): a szerződés teljesítéséhez szükséges, nem mondható le a fiók megtartása mellett.
Rendszeresdő / bevezető onboarding email (a regisztrációt követő első hetek): a Szolgáltató jogos érdeke (6(1)f) alapján, leiratkozási linkkel minden üzenetben. A leiratkozás tiszteletben tartása automatikus.
Termék és marketing email (új funkciók, ajánlatok): kizárólag külön hozzájárulás (6(1)a) alapján, amely bármikor, 1 kattintással visszavonható.

8. Adatbiztonság (TOM — technikai és szervezési intézkedések)

HTTPS (TLS 1.2+) minden kapcsolat titkosítása.
Adatbázis-szintű titkosítás nyugalomban (AES-256, Supabase Postgres).
Jelszavak modern, ipari sztenderd hash-algoritmussal (scrypt) tárolva, Supabase Auth réteg.
Szerepkör-alapú hozzáférés-szabályozás (RBAC), Supabase RLS (Row-Level Security).
Bankkártya adatok kizárólag a Stripe PCI DSS Level 1 rendszerében, nálunk csak tokenizált azonosító.
Biztonsági fejlécek (CSP, HSTS, X-Frame-Options, Referrer-Policy) az alkalmazáson, rate limiting az API-n.
Auditálható naplózás a kritikus műveletekről (bejelentkezés, fiókmódosítás, csomagváltás, törlés, lásd alább a Superadmin hozzáférés pontot).
Hozzáférő személyek titoktartási kötelezettséget vállaltak, és kizárólag a szükséges körben kapnak hozzáférést (need-to-know).
Napi automatizált adatbázis-mentés, 30 nap retenció.
Rendszeres (legalább évente egy) alkalmazásbiztonsági és függőségi felülvizsgálat.
Incidensreagálási terv és 72 órás belső eszkalációs SLA.

8.1. Superadmin hozzáférés (impersonation)

Transzparencia-tájékoztatás: ügyfélszolgálati, hibaelhárítási és onboarding-támogatási céllal a Szolgáltató korlátozott számú, név szerint megjelölt rendszergazdája („superadmin") képes ideiglenesen egy Előfizető fiókjába belépni („impersonation"), és a felületet az Előfizető nevében használni.

Védelmi kontrollok:

Csak előre engedélyezett, dedikált email-listán szereplő superadmin-ok férhetnek hozzá a funkcióhoz.
Minden impersonation-belépés egyedi 6 jegyű email-kóddal hitelesített (10 perc lejárat, SHA-256 hash-elve tárolva, legfeljebb 5 próbálkozás).
Pénzügyi műveletek, visszafordíthatatlan akciók és csapatkezelés esetén külön step-up hitelesítés szükséges (újabb email-kód).
Minden impersonation-munkamenet tartósan naplózott (session-indítás, lejárat, IP, user agent, indoklás, érintett user-azonosító).
A felületen az érintett user nem aktívan kap értesítést a belépésről, de a teljes naplózási előzményt kérésre megkapja (lásd 11. pont — érintetti jogok / hozzáférés).

Jogalap: a Szolgáltató jogos érdeke (GDPR 6(1)(f)) — minőségi ügyfélszolgálat és hibaelhárítás biztosítása —, valamint a Felhasználói szerződés teljesítése (GDPR 6(1)(b)). A funkció nem használható marketingre, profilalkotásra vagy adatértékesítésre.

9. Adattárolás helye és nemzetközi adattovábbítás

A személyes adatok elsődlegesen az EU-ban, Supabase (Frankfurt, eu-central-1) infrastruktúrán tárolódnak. Egyes alszolgáltatók azonban az USA-ban is feldolgozhatják az adatokat (Stripe, Resend, Vercel edge). Ezen esetekben a GDPR 46. cikke szerinti megfelelő garanciák biztosítják a védelmet:

Az EU Bizottság által elfogadott Standard Szerződéses Kikötések (SCC, 2021/914/EU), amelyek minden érintett alszolgáltatóval érvényben vannak;
Amennyiben az adott alszolgáltató tanúsítva van, az EU-US Data Privacy Framework (DPF) szerinti tanúsítás (Stripe, Vercel, Resend).

Az érintettek a megfelelő garanciák másolatát a hello@reviewbooster.hu címen kérhetik.

10. Adatfeldolgozó partnerek

Feldolgozó	Tevékenység	Hely / garancia
Supabase Inc.	Adatbázis, autentikáció, fájltárhely	EU (Frankfurt)
Vercel Inc.	Alkalmazás hosting, CDN, edge	EU + globális / SCC + DPF
Stripe Payments Europe Ltd.	Bankkártyás fizetés	EU (Írország) + USA / SCC + DPF
Resend, Inc.	Tranzakciós és rendszer-email	EU + USA / SCC + DPF
KBOSS.hu Kft. (Számlázz.hu)	Elektronikus számla kiállítás, NAV-továbbítás	Magyarország
Functional Software, Inc. (Sentry)	Hibakövetés és teljesítmény-monitorozás (anonimizált stack trace + SHA-256 hash-elt email-azonosítók + URL-szűrés)	USA / SCC + DPF
Cloudflare, Inc. (Turnstile)	Bot-szűrés / CAPTCHA a panaszbejelentő űrlapon (IP cím + minimális böngészőmetadata)	EU + USA / SCC + DPF
Google LLC (Google Analytics 4)	Anonimizált webhasználati statisztika és konverziós események mérése (page_view, sign_up, begin_checkout, purchase)	EU + USA / SCC + DPF

11. Az érintettek jogai (GDPR 15-22. cikk)

Hozzáférés joga (15. cikk) — tájékoztatás kérése a kezelt adatokról.
Helyesbítéshez való jog (16. cikk) — pontatlan vagy hiányos adat javítása.
Törléshez való jog (17. cikk, „elfeledtetéshez való jog") — a megkeresés napjától számított 30 napon belül.
Adatkezelés korlátozásához való jog (18. cikk).
Adathordozhatósághoz való jog (20. cikk) — gépi olvasású formátumban.
Tiltakozáshoz való jog (21. cikk) — jogos érdeken alapuló kezelés ellen.
Hozzájárulás visszavonása (7. cikk (3)) — bármikor, a korábbi kezelés jogszerűségét nem érinti.
Automatizált döntéshez kapcsolódó jogok (22. cikk) — lásd 6. pont.

Jogérvényesítés módja: írásban a hello@reviewbooster.hu címen. Válasz legkésőbb 30 napon belül, bonyolult vagy tömeges kérés esetén legfeljebb további 60 nappal meghosszabbítható (GDPR 12(3)).

A Szolgáltató az érintett személyazonosságát ellenőrzi, mielőtt érzékeny adatot ad ki.

12. Jogorvoslat, panasz

Amennyiben úgy ítéli meg, hogy adatait jogsértő módon kezeljük:

NAIH (Magyarország): Nemzeti Adatvédelmi és Információszabadság Hatóság, 1055 Budapest, Falk Miksa u. 9-11. | naih.hu | ugyfelszolgalat@naih.hu | +36 (1) 391-1400.
Saját tagállam szerinti felügyeleti hatóság (EU): az EU más tagállamában lakó érintettek a saját adatvédelmi hatóságukhoz is fordulhatnak (pl. Németországban: BfDI és Landesbeauftragter; Ausztriában: Datenschutzbehörde).
Bíróság: az érintett a lakóhelye vagy a Szolgáltató székhelye szerinti illetékes bírósághoz is fordulhat (GDPR 79. cikk).

13. Adatvédelmi incidensek

Incidens észlelése esetén a Szolgáltató 72 órán belül bejelenti azt a NAIH-nak (GDPR 33. cikk), és magas kockázat esetén indokolatlan késedelem nélkül tájékoztatja az érintetteket (GDPR 34. cikk). Az Előfizetőket minden érintő incidensről a fiókhoz tartozó email címen értesítjük. Az incidensnaplót 5 évig őrizzük.

14. Sütik (cookie), helyi tárolás és tracking

A ReviewBooster háromféle tárolási / tracking kategóriát használ: (a) feltétlenül szükséges technikai tárolás (hozzájárulás nélkül is alkalmazható az ePrivacy 5(3) szerint), (b) analitikai cookie-k a Google Analytics 4 (GA4) anonimizált használati méréshez, és (c) a Stripe és Cloudflare Turnstile harmadik fél sütijei csak az érintett oldalakon (fizetés, panaszbejelentő űrlap).

Megjegyzés a GA4-ről: a Google Analytics 4 cookie-k jelenleg az oldal első megnyitásakor betöltődnek. A teljes ePrivacy-megfelelőséghez (előzetes hozzájárulás banner) a Szolgáltató cookie-consent banner integrációján dolgozik. A megfelelőség eléréséig a Felhasználó a böngészője privát módjával (incognito), a böngésző „Do Not Track" beállításával, vagy a Google hivatalos opt-out kiegészítőjével (tools.google.com/dlpage/gaoptout) megakadályozhatja a mérést.

Technológia	Cél	Kategória	Lejárat
`sb-<projekt>-auth-token` (böngésző localStorage)	Belépési token tárolása (Supabase Auth)	Feltétlenül szükséges	Access token: 1 óra; refresh token: kijelentkezésig
`imp_session` (HMAC-aláírt cookie)	Aktív superadmin impersonation munkamenet (lásd 8.1.)	Feltétlenül szükséges	Kijelentkezésig / kilépésig
`_ga`, `_ga_<id>` (Google Analytics 4)	Anonimizált webhasználati statisztika és konverziós események	Analitikai	2 év
Stripe sütik (csak a /checkout oldalon)	Csalásmegelőzés, fizetési munkamenet	Feltétlenül szükséges (fizetéshez)	Stripe szabályzata szerint
Cloudflare Turnstile sütik (csak a /panasz űrlapon)	Bot-szűrés (CAPTCHA), nem-perzisztens munkamenet	Feltétlenül szükséges (visszaélés-megelőzés)	30 perc

A böngésző helyi tárolóját (localStorage) és sütijeit a Felhasználó bármikor törölheti a böngésző beállításaiban; ez a kijelentkezéssel egyenértékű hatással jár.

15. Irányadó jogszabályok

EU 2016/679 általános adatvédelmi rendelet (GDPR)
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info tv.)
2013. évi V. törvény (Ptk.)
2000. évi C. törvény a számvitelről (8 éves számlatárolási kötelezettség)
2001. évi CVIII. törvény (Ekertv.)
2003. évi C. törvény (Eht., elektronikus hírközlés)
2002/58/EK irányelv (ePrivacy), 5. cikk (3)

16. A tájékoztató módosítása

A jelen tájékoztatót a Szolgáltató indokolt esetben egyoldalúan módosíthatja. Lényeges módosítás (pl. új cél, új adatfeldolgozó, új adatforrás) esetén legalább 15 nappal a hatálybalépés előtt e-mailben értesítjük az Előfizetőket és a weboldal banner-jét is frissítjük. A mindenkor aktuális verzió elérhető a reviewbooster.hu/privacy oldalon.

17. Verziótörténet

v1.3 (2026-05-29): transzparencia-frissítés — új Superadmin hozzáférés (impersonation) szakasz a 8.1. pont alatt (kontrollok, hitelesítés, naplózás, jogalap); 3 új adatfeldolgozó felvéve a 10. szakaszba: Sentry (hibakövetés), Cloudflare Turnstile (CAPTCHA), Google Analytics 4 (konverziós mérés); 14. szakasz (cookie / tracking) őszinte újraírása a tényleges használatnak megfelelően: GA4 + Stripe + Turnstile sütik tételesen felsorolva, imp_session impersonation-cookie hozzáadva, opt-out lehetőség (Google opt-out kiegészítő) megjelölve; jelszó-hash-algoritmus pontosítása (bcrypt → scrypt, Supabase 2021+).
v1.2 (2026-04-18): DPO-státusz egyértelműsítve; adatforrások és szerepkör szakasz; különleges adat / 16 év alatti gyermekek; automatizált döntés / profilalkotás; nemzetközi transzfer és SCC + DPF részletezve; Számlázz.hu felvéve; közvetlen és tranzakciós marketing szekció; TOM (biztonsági intézkedések) kibővítve; cookie / localStorage szakasz valós technológiához igazítva; helyi EU-s DPA jogorvoslat; verziótörténet; egységes hatályba lépés az ÁSZF-fel.
v1.0 (2026-03-25): kezdeti verzió.