RBReviewBooster

ReviewBooster

Adatvédelmi Tájékoztató

Hatályos: 2026. április 18-tól | Verzió: 1.2

A jelen tájékoztató a Hypin Kft. által üzemeltetett ReviewBooster szolgáltatás adatkezelési gyakorlatát ismerteti, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szóló 2016/679/EU rendelet (GDPR), az Info tv. (2011. évi CXII. tv.) és egyéb hatályos jogszabályok alapján.

1. Az adatkezelő adatai

CégnévHypin Kft.
Székhely1133 Budapest, Gogol utca 26.
Cégjegyzékszám01-09-357234
Adószám14782714-2-41
Közösségi adószámHU14782714
KépviselőTanai Levente, ügyvezető
Email (adatvédelem)hello@reviewbooster.hu
Weboldalreviewbooster.hu

2. Adatvédelmi tisztviselő (DPO)

A GDPR 37. cikk (1) bekezdésében felsorolt feltételek nem állnak fenn (nem végzünk nagyszabású, rendszeres és szisztematikus megfigyelést, és nem kezelünk nagy mennyiségben különleges adatot), ezért a Szolgáltató adatvédelmi tisztviselő (DPO) kinevezésére nem köteles és egyelőre nem is nevez ki. Adatvédelmi kérdésekben a hello@reviewbooster.hu címen, vagy postai úton (1133 Budapest, Gogol utca 26.) elérhetők vagyunk.

3. Adatforrások és szerepkör

A Szolgáltató a személyes adatokat az alábbi forrásokból gyűjti:

  • Közvetlenül az Előfizetőtől: regisztráció, profil kitöltése, ügyfélszolgálati kommunikáció.
  • A Végfelhasználóktól (az Előfizető ügyfeleitől) a review-űrlapon keresztül: opcionális név, opcionális email, csillagértékelés, szöveges visszajelzés.
  • Automatikusan, technikai úton: szerverlogok, IP cím, eszköz/böngésző meta-adatok, biztonsági események.
  • Adatfeldolgozóktól: Stripe (fizetési események), Resend (email kézbesítési státusz, bounce/complaint események), Számlázz.hu (számlaszámok, kiállítás időbélyege).
Szerepkör: az Előfizetők (regisztrált cégek, vállalkozók) adatai vonatkozásában a Szolgáltató önálló adatkezelő. A Végfelhasználók (review-t írók) adatai vonatkozásában az Előfizető az adatkezelő, a Szolgáltató pedig az Előfizető megbízásából eljáró adatfeldolgozó (GDPR 28. cikk). A feldolgozói viszony részleteit az ÁSZF 17. pontja (DPA) szabályozza.

4. Kezelt személyes adatok

4.1. Előfizetők

AdatCélJogalapMegőrzés
Név, email, jelszó (hash)Regisztráció, belépésSzerződés (6(1)b)Fiók megszűnéséig + 30 nap
Cégnév, cím, adószám, közösségi adószámSzámlázásJogi kötelezettség (6(1)c)8 év (Szt. 169. §)
Bankkártya (tokenizálva, nem nálunk)FizetésSzerződés (6(1)b)Stripe kezeli (PCI DSS L1)
SzámlatörténetSzámviteli megőrzésJogi kötelezettség (6(1)c)8 év
Feliratkozási preferenciák, kommunikációs logTranzakciós és rendszer-emailSzerződés (6(1)b) + jogos érdek (6(1)f)2 év a legutóbbi interakciótól
Ügyfélszolgálati üzenetekPanaszkezelés, támogatásSzerződés (6(1)b) + jogos érdek (6(1)f)5 év (Fgytv.)
IP cím, eszköz- és böngésző-metaBiztonság, visszaélés-megelőzésJogos érdek (6(1)f)90 nap

4.2. Végfelhasználók (review-t írók)

AdatCélJogalap
Név (opcionális)Visszajelzés azonosítása, válaszadásHozzájárulás (6(1)a)
Email (opcionális)Vállalkozói válaszüzenet, konfliktuskezelésHozzájárulás (6(1)a)
Csillagszám, szöveges üzenetVisszajelzés tartalmaJogos érdek (6(1)f) — az Előfizető vállalkozói érdeke
IP cím (review-küldéskor, rövid időre)Rate limit, visszaélés-megelőzésJogos érdek (6(1)f)

Név és email megadása kizárólag opcionális; a név/email mezőket a Végfelhasználó csak az űrlapon található külön jelölőnégyzet bejelölésével töltheti ki, azaz külön GDPR-hozzájárulást ad az Előfizető felé. A hozzájárulás nélkül küldött visszajelzés teljesen anonim.

5. Különleges adatkategóriák, gyermekek adatai

A Szolgáltató nem gyűjt és nem kezel szándékosan különleges adatkategóriát (GDPR 9. cikk: egészségügyi, politikai, vallási, szexuális irányultsági adat stb.). Amennyiben Végfelhasználó a szabad szövegű mezőben ilyet ad meg, az Előfizető és a Szolgáltató együttesen minimalizálási és törlési intézkedéseket alkalmaz.

A Szolgáltatás nem 16 év alatti személyek számára készült. Nem gyűjtünk szándékosan adatot 16 év alatti Végfelhasználótól. Amennyiben tudomásunkra jut, hogy ilyen adatot mégis kezelünk, azt 30 napon belül töröljük.

6. Automatizált döntéshozatal és profilalkotás

A Szolgáltató nem hoz automatizált, kizárólag gépi úton az érintettre nézve joghatással bíró döntést a GDPR 22. cikke értelmében. A csillagértékelés küszöbe (pl. 4–5★ → Google, 1–3★ → privát) önmagában nem minősül ilyennek, mivel kizárólag a Végfelhasználó saját csillagértékelésén alapul, és nem jár jogi vagy hasonló joghatással. A Szolgáltató nem végez marketing célú profilalkotást és nem ad el adatot harmadik félnek.

7. Közvetlen és tranzakciós marketing

  • Tranzakciós email (számla, rendszeraktivitás, biztonsági figyelmeztetés): a szerződés teljesítéséhez szükséges, nem mondható le a fiók megtartása mellett.
  • Rendszeresdő / bevezető onboarding email (a regisztrációt követő első hetek): a Szolgáltató jogos érdeke (6(1)f) alapján, leiratkozási linkkel minden üzenetben. A leiratkozás tiszteletben tartása automatikus.
  • Termék és marketing email (új funkciók, ajánlatok): kizárólag külön hozzájárulás (6(1)a) alapján, amely bármikor, 1 kattintással visszavonható.

8. Adatbiztonság (TOM — technikai és szervezési intézkedések)

  • HTTPS (TLS 1.2+) minden kapcsolat titkosítása.
  • Adatbázis-szintű titkosítás nyugalomban (AES-256, Supabase Postgres).
  • Jelszavak hash-elve tárolva (bcrypt), Supabase Auth réteg.
  • Szerepkör-alapú hozzáférés-szabályozás (RBAC), Supabase RLS (Row-Level Security).
  • Bankkártya adatok kizárólag a Stripe PCI DSS Level 1 rendszerében, nálunk csak tokenizált azonosító.
  • Biztonsági fejlécek (CSP, HSTS, X-Frame-Options, Referrer-Policy) az alkalmazáson, rate limiting az API-n.
  • Auditálható naplózás a kritikus műveletekről (bejelentkezés, fiókmódosítás, csomagváltás, törlés).
  • Hozzáférő személyek titoktartási kötelezettséget vállaltak, és kizárólag a szükséges körben kapnak hozzáférést (need-to-know).
  • Napi automatizált adatbázis-mentés, 30 nap retenció.
  • Rendszeres (legalább évente egy) alkalmazásbiztonsági és függőségi felülvizsgálat.
  • Incidensreagálási terv és 72 órás belső eszkalációs SLA.

9. Adattárolás helye és nemzetközi adattovábbítás

A személyes adatok elsődlegesen az EU-ban, Supabase (Frankfurt, eu-central-1) infrastruktúrán tárolódnak. Egyes alszolgáltatók azonban az USA-ban is feldolgozhatják az adatokat (Stripe, Resend, Vercel edge). Ezen esetekben a GDPR 46. cikke szerinti megfelelő garanciák biztosítják a védelmet:

  • Az EU Bizottság által elfogadott Standard Szerződéses Kikötések (SCC, 2021/914/EU), amelyek minden érintett alszolgáltatóval érvényben vannak;
  • Amennyiben az adott alszolgáltató tanúsítva van, az EU-US Data Privacy Framework (DPF) szerinti tanúsítás (Stripe, Vercel, Resend).

Az érintettek a megfelelő garanciák másolatát a hello@reviewbooster.hu címen kérhetik.

10. Adatfeldolgozó partnerek

FeldolgozóTevékenységHely / garancia
Supabase Inc.Adatbázis, autentikáció, fájltárhelyEU (Frankfurt)
Vercel Inc.Alkalmazás hosting, CDN, edgeEU + globális / SCC + DPF
Stripe Payments Europe Ltd.Bankkártyás fizetésEU (Írország) + USA / SCC + DPF
Resend, Inc.Tranzakciós és rendszer-emailEU + USA / SCC + DPF
KBOSS.hu Kft. (Számlázz.hu)Elektronikus számla kiállítás, NAV-továbbításMagyarország

11. Az érintettek jogai (GDPR 15-22. cikk)

  • Hozzáférés joga (15. cikk) — tájékoztatás kérése a kezelt adatokról.
  • Helyesbítéshez való jog (16. cikk) — pontatlan vagy hiányos adat javítása.
  • Törléshez való jog (17. cikk, „elfeledtetéshez való jog") — a megkeresés napjától számított 30 napon belül.
  • Adatkezelés korlátozásához való jog (18. cikk).
  • Adathordozhatósághoz való jog (20. cikk) — gépi olvasású formátumban.
  • Tiltakozáshoz való jog (21. cikk) — jogos érdeken alapuló kezelés ellen.
  • Hozzájárulás visszavonása (7. cikk (3)) — bármikor, a korábbi kezelés jogszerűségét nem érinti.
  • Automatizált döntéshez kapcsolódó jogok (22. cikk) — lásd 6. pont.

Jogérvényesítés módja: írásban a hello@reviewbooster.hu címen. Válasz legkésőbb 30 napon belül, bonyolult vagy tömeges kérés esetén legfeljebb további 60 nappal meghosszabbítható (GDPR 12(3)).

A Szolgáltató az érintett személyazonosságát ellenőrzi, mielőtt érzékeny adatot ad ki.

12. Jogorvoslat, panasz

Amennyiben úgy ítéli meg, hogy adatait jogsértő módon kezeljük:

  • NAIH (Magyarország): Nemzeti Adatvédelmi és Információszabadság Hatóság, 1055 Budapest, Falk Miksa u. 9-11. | naih.hu | ugyfelszolgalat@naih.hu | +36 (1) 391-1400.
  • Saját tagállam szerinti felügyeleti hatóság (EU): az EU más tagállamában lakó érintettek a saját adatvédelmi hatóságukhoz is fordulhatnak (pl. Németországban: BfDI és Landesbeauftragter; Ausztriában: Datenschutzbehörde).
  • Bíróság: az érintett a lakóhelye vagy a Szolgáltató székhelye szerinti illetékes bírósághoz is fordulhat (GDPR 79. cikk).

13. Adatvédelmi incidensek

Incidens észlelése esetén a Szolgáltató 72 órán belül bejelenti azt a NAIH-nak (GDPR 33. cikk), és magas kockázat esetén indokolatlan késedelem nélkül tájékoztatja az érintetteket (GDPR 34. cikk). Az Előfizetőket minden érintő incidensről a fiókhoz tartozó email címen értesítjük. Az incidensnaplót 5 évig őrizzük.

14. Sütik (cookie) és helyi tárolás

A ReviewBooster kizárólag feltétlenül szükséges (strictly necessary) technikai tárolást használ. Marketing-, analitikai- vagy reklámcélú cookie-t, valamint nyomkövető pixelt nem helyezünk el.

A „feltétlenül szükséges" tárolás az elektronikus hírközlési adatvédelmi irányelv (2002/58/EK, 5. cikk (3)) és a GDPR szerint hozzájárulás nélkül is alkalmazható, ezért cookie-banner nincs.

TechnológiaCélLejárat
sb-<projekt>-auth-token (böngésző localStorage)Belépési token tárolása (Supabase Auth)Access token: 1 óra; refresh token: a kijelentkezésig vagy explicit törlésig
A Stripe által elhelyezett sütik (csak a fizetési oldalon)Csalásmegelőzés, fizetési munkamenetStripe szabályzata szerint

A böngésző helyi tárolóját (localStorage) a Felhasználó bármikor törölheti a böngésző beállításaiban; ez a kijelentkezéssel egyenértékű hatással jár.

15. Irányadó jogszabályok

  • EU 2016/679 általános adatvédelmi rendelet (GDPR)
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info tv.)
  • 2013. évi V. törvény (Ptk.)
  • 2000. évi C. törvény a számvitelről (8 éves számlatárolási kötelezettség)
  • 2001. évi CVIII. törvény (Ekertv.)
  • 2003. évi C. törvény (Eht., elektronikus hírközlés)
  • 2002/58/EK irányelv (ePrivacy), 5. cikk (3)

16. A tájékoztató módosítása

A jelen tájékoztatót a Szolgáltató indokolt esetben egyoldalúan módosíthatja. Lényeges módosítás (pl. új cél, új adatfeldolgozó, új adatforrás) esetén legalább 15 nappal a hatálybalépés előtt e-mailben értesítjük az Előfizetőket és a weboldal banner-jét is frissítjük. A mindenkor aktuális verzió elérhető a reviewbooster.hu/privacy oldalon.

17. Verziótörténet

  • v1.2 (2026-04-18): DPO-státusz egyértelműsítve; adatforrások és szerepkör szakasz; különleges adat / 16 év alatti gyermekek; automatizált döntés / profilalkotás; nemzetközi transzfer és SCC + DPF részletezve; Számlázz.hu felvéve; közvetlen és tranzakciós marketing szekció; TOM (biztonsági intézkedések) kibővítve; cookie / localStorage szakasz valós technológiához igazítva; helyi EU-s DPA jogorvoslat; verziótörténet; egységes hatályba lépés az ÁSZF-fel.
  • v1.0 (2026-03-25): kezdeti verzió.

Hypin Kft.

1133 Budapest, Gogol utca 26. | Cégjegyzékszám: 01-09-357234 | Adószám: 14782714-2-41

hello@reviewbooster.hu

Hatályos: 2026. április 18. | Verzió: 1.2