1. Adatkezelő
Az adatkezelő megnevezése: Homezium Kft. (a továbbiakban: „Homezium” vagy „Szolgáltató”)
Székhely: [Cím — kitöltendő üzleti regisztrációkor]
Cégjegyzékszám: [Cégjegyzékszám — kitöltendő]
Adószám: [Adószám — kitöltendő]
Képviselő: [Ügyvezető neve]
E-mail: privacy@homezium.com
A Homezium nem köteles adatvédelmi tisztviselőt (DPO) kijelölni a GDPR 37. cikke értelmében, ugyanakkor adatvédelmi kérdésekben a fenti elérhetőségen vehető fel kapcsolat felelős kollégánkkal.
2. Fogalmak
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.
Adatkezelés: a személyes adatokon végzett bármely művelet, ideértve a gyűjtést, rögzítést, tárolást, felhasználást és törlést.
Felhasználó: a Homezium platformon regisztrált természetes személy, aki szállást, ingatlant, élményt foglal vagy hirdet.
NeuroPet: a platform AI-asszisztens karaktere, amely a Felhasználó preferenciái és viselkedési mintái alapján ajánlásokat fogalmaz meg. A NeuroPet interakciókat a Homezium szolgáltatásminőség javítása céljából rögzíti.
3. Kezelt adatok köre
A Homezium az alábbi adatköröket kezeli:
3.1 Regisztrációs adatok
- Vezetéknév, keresztnév
- E-mail cím
- Jelszó (minden esetben hash-elve, sózva tárolva — bcrypt)
- Telefon (opcionális, foglaláshoz)
- Profil avatár (opcionális)
- OAuth (Google) bejelentkezés esetén: Google fiók azonosító, név, e-mail
3.2 Foglalási és tranzakciós adatok
- Foglalt szállás, megtekintett ingatlan, foglalt élmény azonosítója
- Foglalás dátuma, időtartama, vendégek száma
- Számlázási adatok (név, cím, adószám)
- Kommunikáció a Hosttal/Eladóval/Élményszolgáltatóval (üzenetek, panaszok)
3.3 Fizetési adatok
- Tranzakció azonosítója (Stripe payment_intent_id)
- Fizetett összeg, pénznem, fizetés ideje, státusz
- Bankkártya adatait a Homezium nem tárolja. Minden fizetést a Stripe Inc. PCI DSS szerint tanúsított partnere dolgozza fel.
- Homezium Credit egyenleg, Credit-tranzakciók
3.4 NeuroPet és aktivitási adatok
- Pet szintje, XP, etetések száma, chat üzenetek
- NeuroPet-tel folytatott rövid szöveges beszélgetések tartalma
- Megtekintett ingatlanok, szállások, élmények listája (ajánlórendszer számára)
3.5 Technikai és cookie adatok
- IP cím
- Böngésző és operációs rendszer típusa, verziója
- Eszközazonosító, képernyőfelbontás
- Belépési naplók (login időpontja, IP)
- Hivatkozási URL (referer)
3.6 Influencer / Business adatok
Influencer és Business szintű felhasználók esetén további adatokat kezelünk: kifizetési adatok (bankszámlaszám), adóazonosító, profil biográfia, követői statisztikák, posztok és linkek teljesítménye.
4. Az adatkezelés célja és jogalapja
A személyes adatok kezelésének jogalapját és célját a GDPR 6. cikke szerint az alábbi táblázat foglalja össze:
| Cél | Jogalap (GDPR 6. cikk) |
|---|---|
| Fiók létrehozása, hitelesítés | (1) b) — szerződés teljesítése |
| Foglalás teljesítése, szolgáltatás nyújtása | (1) b) — szerződés teljesítése |
| Számla kiállítása, könyvelési kötelezettség | (1) c) — jogi kötelezettség |
| Marketing célú e-mailek (hírlevél, ajánlatok) | (1) a) — hozzájárulás (opt-in) |
| NeuroPet ajánlások, személyre szabás | (1) f) — jogos érdek (UX javítás) |
| Csalás megelőzése, biztonság | (1) f) — jogos érdek |
| Igényérvényesítés, panaszkezelés | (1) f) — jogos érdek |
| Influencer kifizetés, profit-share | (1) b) — szerződés teljesítése |
Jogos érdek esetén minden kezelt adatkörre érdekmérlegelést végzünk, és a felhasználó tiltakozási jogát biztosítjuk a 9. pont szerint.
5. Adatmegőrzési idők
- Fiók adatok: a fiók törléséig, ezt követően 30 napig (törölt fiók visszaállítható) majd anonimizálva.
- Számlázási adatok: a számvitelről szóló 2000. évi C. törvény 169. §-a alapján 8 év.
- Foglalási logok: 5 év (igényérvényesítési elévülés).
- Stripe tranzakciós azonosítók: 8 év (számviteli kötelezettséggel összhangban).
- NeuroPet chat előzmények: 12 hónap, ezt követően anonimizálva.
- Cookie adatok: 30 nap (session) — 13 hónap (analitika).
- Marketing hozzájárulás: visszavonásig.
- Belépési naplók: 6 hónap.
6. Adatfeldolgozók és harmadik felek
A Homezium az alábbi adatfeldolgozókat és harmadik feleket veszi igénybe a szolgáltatás nyújtása érdekében. Mindegyikkel adatfeldolgozási szerződést (DPA) kötöttünk a GDPR 28. cikke szerint.
Stripe Payments Europe, Ltd.
Fizetésfeldolgozás (bankkártya, SEPA)
Adatkezelés helye: Írország · Adatvédelmi tájékoztató
Resend Inc.
Tranzakcionális e-mail kézbesítés
Adatkezelés helye: USA (DPF tanúsítvány) · Adatvédelmi tájékoztató
Google LLC
OAuth bejelentkezés (csak hozzájárulás esetén)
Adatkezelés helye: USA (DPF tanúsítvány) · Adatvédelmi tájékoztató
Vercel Inc. / [tárhelyszolgáltató]
Tárhely- és CDN-szolgáltatás
Adatkezelés helye: EU régió · Adatvédelmi tájékoztató
7. Adattovábbítás külföldre
Az EU/EGT területén kívülre történő adattovábbítás kizárólag a GDPR V. fejezetében foglalt garanciák mellett történik. A Homezium az EU-USA Adatvédelmi Keretmegállapodás (DPF) tanúsítvánnyal rendelkező szolgáltatókkal szerződik (Resend, Google), illetve szerződéses adatvédelmi mintaklauzulákat (SCC) köt.
8. Adatbiztonsági intézkedések
A Homezium a GDPR 32. cikke alapján a kockázattal arányos technikai és szervezési intézkedéseket alkalmaz, így különösen:
- jelszavak bcrypt hash-eléssel (12+ kör), soha nem nyers szövegként
- HTTPS / TLS 1.2+ minden hálózati kommunikációra
- NextAuth session token, csere-támadás védelem (CSRF), rate limiting
- adatbázis hozzáférés legkisebb jogosultság elve alapján
- napi automatizált biztonsági mentés, titkosított tárolással
- fejlesztői hozzáférés naplózása, kétfaktoros hitelesítés (2FA)
- incidenskezelési eljárás 72 órán belüli NAIH-bejelentéssel
9. Az érintett jogai
A GDPR alapján az érintettet az alábbi jogok illetik meg:
- Hozzáféréshez való jog (15. cikk): tájékoztatást kérhet arról, hogy adatait kezeljük-e, és ezekről másolatot kérhet.
- Helyesbítéshez való jog (16. cikk): pontatlan adat helyesbítését kérheti.
- Törléshez való jog (17. cikk — „elfeledtetéshez való jog”): a fiók adatainak törlését kérheti, kivéve ha jogi kötelezettség (pl. számvitel) tárolásra kötelez.
- Korlátozáshoz való jog (18. cikk): vitatott pontosságú adat kezelését korlátozhatjuk.
- Adathordozhatósághoz való jog (20. cikk): tagolt, géppel olvasható (JSON, CSV) formátumban exportáljuk az adatokat.
- Tiltakozáshoz való jog (21. cikk): a jogos érdeken alapuló adatkezelés ellen tiltakozhat.
- Hozzájárulás visszavonása: a hozzájárulás bármikor visszavonható, ez azonban a visszavonás előtti kezelés jogszerűségét nem érinti.
Kérelmét a privacy@homezium.com címre küldheti. A kérelmet legfeljebb 30 napon belül teljesítjük, indokolt esetben ezt további 60 nappal meghosszabbíthatjuk, erről értesítjük.
Felügyeleti hatósághoz fordulás joga: panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH).
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Honlap: naih.hu
E-mail: ugyfelszolgalat@naih.hu
11. Gyermekek adatai
A Homezium szolgáltatása 18. életévét betöltött személyek számára érhető el. A 16. életévét be nem töltött személyek adatait nem kezeljük. Amennyiben kiderül, hogy egy 16 év alatti gyermek a hozzájárulásunk nélkül adta meg adatait, az adatokat haladéktalanul töröljük.
12. A tájékoztató módosítása
A Homezium fenntartja a jogot, hogy a jelen tájékoztatót egyoldalúan módosítsa. A módosításról a felhasználókat e-mailben és a platformon megjelenő értesítésben tájékoztatjuk legalább 15 nappal a hatálybalépés előtt.
13. Kapcsolat
Az adatvédelemmel összefüggő bármilyen kérdésében az alábbi módon vehet fel velünk kapcsolatot:
E-mail: privacy@homezium.com
Általános kapcsolat: hello@homezium.com