GDPR + Infotv.

Adatkezelési tájékoztató

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) és az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Infotv.) alapján.

1. Adatkezelő

[Pótolandó: hivatalos cégnév] („Adatkezelő", „My Cellarium" vagy „mi") — székhely: [Pótolandó: cím], cégjegyzékszám: [Pótolandó], adószám: [Pótolandó], e-mail: privacy@mycellarium.hu. A teljes jogi adatok az Impresszumban találhatók.

2. Adatvédelmi tisztviselő (DPO)

A GDPR 37. cikke alapján jelenleg [Pótolandó: „nem vagyunk kötelesek DPO kijelölésére" — vagy a kijelölt DPO neve és elérhetősége]. Adatvédelmi kérdésekben az Adatkezelő a privacy@mycellarium.hu címen érhető el.

3. Adatkezelési célok és jogalapok

Cél	Jogalap (GDPR 6. cikk)	Megjegyzés
Felhasználói fiók regisztrációja és kezelése	(1)(b) szerződés teljesítése	A szolgáltatás igénybevételéhez kötelező.
Megrendelés, fizetés, számlázás	(1)(b) szerződés + (1)(c) jogi kötelezettség	Számviteli megőrzés 8 év (Sztv. 169.§).
Bortrezor-szolgáltatás (palackok azonosítása, tárolás, kivét)	(1)(b) szerződés teljesítése	Partnerpincékkel mint közös adatkezelőkkel vagy önálló adatkezelőkkel — lásd 6. pont.
Ügyfélszolgálat, panaszkezelés	(1)(b) szerződés + (1)(c) Fgytv. 17/A. §	Panasz 5 évig.
Hírlevél, marketing kommunikáció	(1)(a) hozzájárulás	Bármikor visszavonható az e-mail láblécéből vagy a fiók beállításaiból.
Csalás és visszaélés megelőzése	(1)(f) jogos érdek	Érdekmérlegelés dokumentálva — kérésre megküldhető.
Webes elemzés, szolgáltatás javítása	(1)(a) hozzájárulás (sütibanner)	Részleteket lásd a 9. pontban.

4. Kezelt adatkategóriák

Regisztráció és fiók

vezeték- és keresztnév
e-mail cím (azonosító)
jelszó (sózott és hash-elt formában, nyílt szövegben sosem)
regisztráció dátuma, utolsó belépés időbélyege
szerep (vásárló / partner / adminisztrátor)

Megrendelés és számlázás

számlázási név, cím, adószám (céges számla esetén)
szállítási cím (kiszállítás választása esetén)
fizetési azonosítók (a kártyaadatokat a Stripe tárolja; a Trezor csak a tranzakció-azonosítót látja)

Bortrezor

vásárolt palackok azonosítója (NFC- és belső sorszám)
tárolási hely (partnerpince)
tulajdonosváltozási előzmények (ajándékozás esetén)
kivét típusa és időpontja

Technikai adatok

IP-cím, böngésző típusa, eszközazonosító (csalásmegelőzés és hibanapló)
munkamenet-azonosító (refresh token a backendben)
sütik — lásd a 9. pontot

5. Megőrzési idők

Aktív fiók adatai: a fiók törléséig.
Inaktív fiók: [Pótolandó: pl. 24 hónap inaktivitás után automatikus értesítés, majd 30 nap múlva törlés, kivéve a számviteli megőrzés alá eső adatokat].
Számviteli bizonylatok (számla, megrendelés): 8 év (Sztv. 169.§ (2)).
Panaszkezelés: 5 év (Fgytv. 17/A. §).
Bortrezor-tranzakciós előzmények: a számviteli megőrzéssel azonos vagy hosszabb, mert a tulajdonjogot igazolja.
Marketing-hozzájárulás: a visszavonásig + 6 hónap (a visszavonás bizonyíthatósága miatt).
Hozzájárulás visszavonása: haladéktalanul leállítjuk az adott célú adatkezelést.

6. Adatfeldolgozók és továbbítások

Az Adatkezelő az alábbi adatfeldolgozókat veszi igénybe. A teljes lista naprakész, az itt felsorolt adatfeldolgozói körön kívülre adatot nem továbbítunk a hozzájárulás nélkül.

Google LLC / Google Ireland Limited (Google Cloud Platform, Firebase Hosting) — tárhely, infrastruktúra. EU/US, EU-amerikai adatvédelmi keret (DPF) alapján.
Stripe Payments Europe Ltd. — fizetési szolgáltatás. EU/EGT-n belüli adatkezelés, kártyaadatokat önálló adatkezelőként a Stripe tárol.
[Pótolandó: e-mail szolgáltató — pl. Postmark / Resend / SendGrid] — tranzakciós e-mailek.
Partnerpincék — a tárolt palackok fizikai őrzése. A partnerek [Pótolandó: önálló adatkezelőként / közös adatkezelőként] járnak el; külön megállapodás szabályozza.
[Pótolandó: könyvelő iroda] — könyvelési és számviteli adatok feldolgozása.

7. EGT-n kívüli adattovábbítás

A Google szolgáltatások egyes esetekben az Egyesült Államokban tárolnak adatokat. Az adattovábbítás jogalapja a Bizottság (EU) 2023/1795 határozatával jóváhagyott EU-USA Adatvédelmi Keret (DPF), illetve a Google standard adatvédelmi szerződéses záradékai (SCC). Egyéb EGT-n kívüli adattovábbítás jelenleg nem történik. Ha a jövőben mégis, erről az érintettet tájékoztatjuk.

8. Az érintett jogai

A GDPR 12–22. cikke alapján Ön az alábbi jogokat gyakorolhatja:

Tájékoztatás és hozzáférés (15. cikk) — kérheti, mely adatait, milyen célból kezeljük.
Helyesbítés (16. cikk) — pontatlan adat javítása.
Törlés / „elfeledtetés" (17. cikk) — ha a kezelés célja megszűnt, vagy visszavonja a hozzájárulást. (A számviteli kötelezettség alá eső adatokat a megőrzési idő végéig nem törölhetjük.)
Adatkezelés korlátozása (18. cikk).
Adathordozhatóság (20. cikk) — strukturált, gépileg olvasható formátumban (JSON / CSV) megkapja a saját adatait.
Tiltakozás (21. cikk) — jogos érdeken alapuló adatkezelés vagy közvetlen üzletszerzés ellen.
Hozzájárulás visszavonása (7. cikk (3)) — a visszavonás a korábbi kezelés jogszerűségét nem érinti.

A kérelmeket a privacy@mycellarium.hu címen vagy az alkalmazás Profil → Adatkezelés menüpontjában lehet benyújtani. A választ legfeljebb 1 hónapon belül küldjük (GDPR 12. cikk (3)), bonyolult esetben legfeljebb 2 hónappal meghosszabbítható.

9. Sütik

A weboldal három kategóriájú sütit használ. A nem feltétlenül szükségeseket csak az Ön kifejezett hozzájárulása után helyezzük el.

Feltétlenül szükséges — bejelentkezés, kosártartalom, biztonság. (Nincs hozzájárulás-köteles.)
Beállítások — nyelv- és témaválasztás (sötét/világos), nem azonosítja Önt.
Mérés / analitika — [Pótolandó: GA4 / Plausible / egyéb]; csak hozzájárulás után, anonimizált IP-vel.

A süti-beállítások bármikor módosíthatók a Süti-beállítások hivatkozással a lábléc alatt, vagy a böngésző saját beállításaiból.

10. Adatbiztonság

HTTPS / TLS minden kommunikációhoz.
Jelszavak sózott és hash-elt formában (Argon2 / BCrypt).
JWT-alapú rövid élettartamú hozzáférési token, refresh token rotációval és visszajátszás-detektálással.
Háttérinfrastruktúra: szerepkör-alapú hozzáférés, audit log, automatikus mentés.
Esetleges incidens esetén 72 órán belüli értesítés a felügyeleti hatóság és az érintettek felé (GDPR 33–34. cikk).

11. Jogorvoslat

Ha úgy érzi, az adatkezelés nem felel meg az elvárt szintnek, először kérjük, jelezze felénk a privacy@mycellarium.hu címen — minden bejelentésre válaszolunk.

Felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), 1055 Budapest, Falk Miksa utca 9–11., naih.hu, ugyfelszolgalat@naih.hu. Bírósághoz is fordulhat a lakhelye vagy az Adatkezelő székhelye szerinti törvényszéken (GDPR 79. cikk).

Utolsó módosítás: [Pótolandó: 2026-MM-DD] · Verzió: 0.1 (tervezet)