ADATKEZELÉSI TÁJÉKOZTATÓ

Hatálybalépés időpontja: 2025. november 8. Utolsó módosítás: 2025. november 8.

1. BEVEZETÉS

Jelen Adatkezelési Tájékoztató az Impulzus Studio (https://impulzus.studio) platformon (a továbbiakban: Platform) végzett személyes adatkezelési műveletekről tájékoztatja a felhasználókat (a továbbiakban: Érintett vagy Felhasználó).

Az adatkezelés megfelel az alábbi jogszabályoknak:

• GDPR - Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (Általános Adatvédelmi Rendelet)
• Infotv. - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
• Ptk. - 2013. évi V. törvény a Polgári Törvénykönyvről

Adatkezelő:

• Név: Szota Szabolcs Egyéni Vállalkozó
• Székhely: 3152 Nemti, Kossuth út 67.
• Adószám: 66269458-1-32
• Nyilvántartási szám: 59503677
• E-mail: hello@impulzus.studio
• Weboldal: https://impulzus.studio

Adatvédelmi tisztviselő (DPO): Nem került kijelölésre (kis- és középvállalkozás, nem kötelező)

Felügyelet:

• Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
• Cím: 1055 Budapest, Falk Miksa utca 9-11.
• Postacím: 1363 Budapest, Pf. 9.
• Telefon: +36 1 391 1400
• E-mail: ugyfelszolgalat@naih.hu
• Weboldal: https://naih.hu

2. FOGALOMMEGHATÁROZÁSOK

2.1. Személyes adat

Azonosított vagy azonosítható természetes személyre (Érintett) vonatkozó bármely információ. Azonosítható az a személy, aki közvetlen vagy közvetett módon azonosítható (név, azonosító szám, helymeghatározó adat, online azonosító, fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosság).

2.2. Adatkezelés

A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége (gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás, lekérdezés, felhasználás, közlés, továbbítás, terjesztés, összehangolás, korlátozás, törlés, megsemmisítés).

2.3. Adatkezelő

Az a természetes vagy jogi személy, aki/amely a személyes adatok kezelésének céljait és eszközeit meghatározza. Jelen esetben: Szota Szabolcs Egyéni Vállalkozó.

2.4. Adatfeldolgozó

Az a természetes vagy jogi személy, aki/amely az adatkezelő nevében személyes adatokat kezel. Jelen esetben: Supabase, Anthropic, Fal.ai, Netlify (lásd részletek később).

2.5. Az Érintett hozzájárulása

Az Érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az Érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

2.6. Adatvédelmi incidens

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

3. AZ ADATKEZELÉS ALAPELVEI

A Platform az alábbi alapelvek szerint kezeli a személyes adatokat:

3.1. Jogszerűség, tisztességes eljárás és átláthatóság

• Az adatkezelés jogszerűen, tisztességesen és átláthatóan történik
• Az Érintetteket tájékoztatjuk az adatkezelés minden lényeges körülményéről
• Jelen tájékoztatót könnyen elérhető helyen tesszük közzé

3.2. Célhoz kötöttség

• A személyes adatok gyűjtése kizárólag meghatározott, egyértelmű és jogszerű célból történik
• Az adatokat nem kezeljük a céllal össze nem egyeztethető módon

3.3. Adattakarékosság

• Csak olyan személyes adatokat gyűjtünk, amelyek a cél szempontjából szükségesek
• Nem kérünk felesleges adatokat

3.4. Pontosság

• Megtesszük a szükséges intézkedéseket, hogy a pontatlan adatok haladéktalanul törlésre vagy helyesbítésre kerüljenek
• Az Érintett jogosult hibás adatait helyesbíteni

3.5. Korlátozott tárolhatóság

• A személyes adatokat csak a célhoz szükséges ideig tároljuk
• Lejárat után az adatok törlésre vagy anonimizálásra kerülnek

3.6. Integritás és bizalmas jelleg

• Megfelelő technikai és szervezési intézkedésekkel védjük az adatokat jogosulatlan kezeléstől, véletlen elvesztéstől, megsemmisüléstől vagy károsodástól

3.7. Elszámoltathatóság

• Az Adatkezelő felelős a fenti alapelvek betartásáért, és szükség esetén képes ezt bizonyítani

4. KEZELT SZEMÉLYES ADATOK KÖRE

4.1. Regisztráció során megadott adatok

Megjegyzés: A jelszót nem tároljuk olvasható formában, csak titkosított hash formájában (bcrypt algoritmus).

4.2. Automatikusan rögzített technikai adatok

4.3. Használat során keletkező adatok

4.4. Jövőbeli fizetési adatok (tervezett funkció)

Fizetési szolgáltató: Stripe Payments Europe Ltd.

FONTOS: A bankkártya adatokat (kártyaszám, CVC, lejárat) NEM az Impulzus Studio, hanem a Stripe kezeli közvetlenül. Ezek az adatok soha nem kerülnek az Impulzus Studio szervereire. A Stripe PCI-DSS tanúsítvánnyal rendelkezik.

5. AZ ADATKEZELÉS JOGALAPJA

Az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdése szerint:

5.1. Szerződés teljesítése - GDPR 6. cikk (1) b) pont

A regisztráció, bejelentkezés, tartalom generálás, kredit rendszer működtetése az Érintett és az Adatkezelő közötti szerződés (ÁSZF) teljesítéséhez szükséges.

Érintett adatok:

• Teljes név, e-mail cím, jelszó
• Generálási promptok és eredmények
• Kredit tranzakciók
• Munkamenet adatok

5.2. Jogi kötelezettség teljesítése - GDPR 6. cikk (1) c) pont

Számviteli, adózási kötelezettségek teljesítése (számla kiállítás, tranzakciók nyilvántartása).

Érintett adatok:

• Számlázási adatok (név, cím, adószám)
• Fizetési tranzakciók
• Számla sorszámok, összegek

Vonatkozó jogszabályok:

• 2000. évi C. törvény a számvitelről (8 év megőrzési kötelezettség)
• Általános forgalmi adóról szóló törvény

5.3. Jogos érdek - GDPR 6. cikk (1) f) pont

Az Adatkezelő vagy harmadik fél jogos érdekeinek érvényesítése, amely nem sérti az Érintett érdekeit.

Jogos érdekek:

• Biztonság: IP cím rögzítése visszaélések megelőzésére, rate limiting
• Fejlesztés: Anonymizált technikai adatok (böngésző, OS) elemzése
• Hibaelhárítás: Technikai naplók elemzése hibák javításához
• Statisztika: Aggregált használati statisztikák (névtelenített adatokkal)

Mérlegelés eredménye: Az Adatkezelő elvégezte a szükséges érdekmérlegelést, és megállapította, hogy az Érintettek jogai és szabadságai nem élveznek elsőbbséget az Adatkezelő jogos érdekeivel szemben, mivel:

• Az adatkezelés minimális terjedelmű
• Nem érzékeny személyes adatokról van szó
• Az Érintettek ésszerűen elvárhatják az adatkezelést (pl. biztonság)

5.4. Hozzájárulás - GDPR 6. cikk (1) a) pont

Jelenleg NEM alkalmazott, de a jövőben felhasználható:

• Hírlevél küldése (opt-in)
• Marketing célú megkeresés
• Cookie-k használata (nem feltétlenül szükséges cookie-k esetén)

6. ADATTOVÁBBÍTÁS, ADATFELDOLGOZÓK

A Platform működéséhez külső szolgáltatók (adatfeldolgozók) igénybevétele szükséges. Az adatok továbbítása kizárólag a szolgáltatás nyújtásához szükséges mértékben történik.

6.1. Supabase Inc. (Adatbázis, Auth, Storage)

Szerepkör: Adatfeldolgozó Székhely: 970 Toa Payoh North #07-04, Singapore 318992 Szolgáltatás: PostgreSQL adatbázis, felhasználói autentikáció, fájltárolás Továbbított adatok:

• Regisztrációs adatok (név, e-mail, jelszó hash)
• Generálási promptok és eredmények
• Kredit tranzakciók
• Referencia képek

Adattárolás helye: Európai Unió (Frankfurt, Németország - AWS eu-central-1 régió) GDPR megfelelőség: Igen, Data Processing Agreement (DPA) érvényes Adatbiztonsági tanúsítványok: SOC 2 Type II, ISO 27001 Privacy Policy: https://supabase.com/privacy DPA: https://supabase.com/downloads/docs/Supabase+DPA.pdf

Biztonsági intézkedések:

• SSL/TLS titkosítás adatátvitel során
• AES-256 titkosítás adattárolás során (data at rest)
• Row Level Security (RLS) - felhasználónkénti adatelkülönítés
• Automatikus biztonsági mentések (naponta)

6.2. Netlify Inc. (Hosting, CDN)

Szerepkör: Adatfeldolgozó Székhely: 44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA Szolgáltatás: Weboldal hosting, CDN (Content Delivery Network) Továbbított adatok:

• IP cím
• Böngésző adatok (User-Agent)
• Kérések naplózása (access logs)

Adattárolás helye: USA (AWS, Google Cloud) GDPR megfelelőség: Igen, Standard Contractual Clauses (SCC) Adatbiztonsági tanúsítványok: SOC 2 Type II Privacy Policy: https://www.netlify.com/privacy/ DPA: https://www.netlify.com/pdf/netlify-dpa.pdf

Adatmegőrzés:

• Access logs: 30 nap

6.3. Stripe Payments Europe Ltd. (Fizetési szolgáltató - jövőbeli funkció)

Szerepkör: Adatfeldolgozó Székhely: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Írország Szolgáltatás: Online fizetés lebonyolítása (bankkártya) Továbbított adatok:

• Számlázási név, cím
• E-mail cím
• Bankkártya adatok (közvetlenül Stripe-hoz, nem Impulzus Studio-hoz)

Adattárolás helye: Európai Unió (Stripe európai adatközpontjai) GDPR megfelelőség: Igen Adatbiztonsági tanúsítványok: PCI-DSS Level 1, ISO 27001, SOC 2 Type II Privacy Policy: https://stripe.com/privacy DPA: https://stripe.com/legal/dpa

Fontos: A bankkártya adatok kizárólag Stripe rendszerében kerülnek tárolásra, az Impulzus Studio szerverei soha nem látják a teljes kártyaszámot.

6.4. Harmadik országba történő adattovábbítás

USA-ba történő adattovábbítás: Netlify székhelye USA, ezért személyes adatok harmadik országba kerülnek továbbításra.

Jogalap és garanciák:

• Standard Contractual Clauses (SCC) - Az Európai Bizottság által jóváhagyott szerződéses záradékok
• Adequacy Decision (megfelelőségi határozat): EU-US Data Privacy Framework (ha alkalmazható)
• Kiegészítő intézkedések: Titkosítás (TLS, AES-256), hozzáférés-korlátozás, adatminimalizálás

Az Érintett kifejezetten tudomásul veszi és elfogadja, hogy a Platform használatához szükséges az adatok USA-ba történő továbbítása.

7. ADATKEZELÉS IDŐTARTAMA

A személyes adatok megőrzésének időtartama az adatkezelés céljától és jogalapjától függ.

Inaktív fiókok: Ha a Felhasználó 3 évig nem jelentkezik be, az Adatkezelő e-mailben figyelmeztetést küld, hogy a fiók 30 napon belül törlésre kerül, amennyiben nem történik bejelentkezés.

8. AZ ÉRINTETT JOGAI

A GDPR alapján az Érintett az alábbi jogokkal rendelkezik:

8.1. Hozzáférési jog (GDPR 15. cikk)

Az Érintett jogosult tájékoztatást kérni arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult hozzáférni a személyes adatokhoz.

Kérhető információk:

• Milyen adatokat kezelünk
• Mi az adatkezelés célja
• Kinek továbbítottuk az adatokat
• Meddig tároljuk az adatokat
• Milyen jogok illetik meg az Érintettet

Kérelem benyújtása: E-mail: hello@impulzus.studio Tárgy: Hozzáférési jog gyakorlása

Válaszadási határidő: 30 nap (indokolt esetben további 60 nappal meghosszabbítható)

Díj: Ingyenes (kivéve, ha a kérelem egyértelműen megalapozatlan vagy túlzó)

8.2. Helyesbítéshez való jog (GDPR 16. cikk)

Az Érintett jogosult kérni a pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését.

Módszer:

• Bejelentkezés után a "Beállítások" menüpontban módosíthatók a profiladatok
• Vagy kérelem küldése: hello@impulzus.studio

Válaszadási határidő: 30 nap

8.3. Törléshez való jog / "Elfeledtetéshez való jog" (GDPR 17. cikk)

Az Érintett jogosult kérni a rá vonatkozó személyes adatok törlését az alábbi esetekben:

• Az adatokra már nincs szükség az eredeti cél szempontjából
• Az Érintett visszavonja a hozzájárulását és nincs más jogalap
• Az Érintett tiltakozik az adatkezelés ellen
• Az adatokat jogellenesen kezelték
• Jogi kötelezettség teljesítése megköveteli a törlést

Módszer:

1. Automatikus törlés: Bejelentkezés → Beállítások → "Fiók törlése" gomb
2. Kérelem: E-mail küldése hello@impulzus.studio címre

Válaszadási határidő: 30 nap

Kivételek (NEM törölhető adat):

• Jogi kötelezettség teljesítése miatt (pl. számviteli adatok 8 évig)
• Jogi igények előterjesztése, érvényesítése vagy védelme miatt

8.4. Az adatkezelés korlátozásához való jog (GDPR 18. cikk)

Az Érintett kérheti az adatkezelés korlátozását (az adatok további felhasználásának felfüggesztése) az alábbi esetekben:

• Vitatja az adatok pontosságát
• Az adatkezelés jogellenes, de nem kéri a törlést
• Jogi igények érvényesítéséhez szükséges
• Tiltakozott az adatkezelés ellen (amíg eldöntik a jogos indokokat)

Kérelem benyújtása: hello@impulzus.studio

Válaszadási határidő: 30 nap

8.5. Adathordozhatósághoz való jog (GDPR 20. cikk)

Az Érintett jogosult arra, hogy a rá vonatkozó, általa az Adatkezelő rendelkezésére bocsátott személyes adatokat strukturált, széles körben használt, géppel olvasható formátumban megkapja, és azt másik adatkezelőnek továbbítsa.

Exportálható adatok:

• Profil adatok (név, e-mail)
• Generálási előzmények (JSON formátum)
• Kredit tranzakciók (CSV formátum)

Módszer:

1. Automatikus export: Bejelentkezés → Beállítások → "Adataim letöltése" gomb (jövőbeli funkció)
2. Kérelem: hello@impulzus.studio

Formátum: JSON, CSV Válaszadási határidő: 30 nap

8.6. Tiltakozáshoz való jog (GDPR 21. cikk)

Az Érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen.

Tiltakozás jogalapja: GDPR 6. cikk (1) f) pont - jogos érdek

Tiltakozással érintett adatok:

• IP cím rögzítése
• Technikai adatok gyűjtése (böngésző, OS)

Kérelem benyújtása: hello@impulzus.studio

Hatás: Az Adatkezelő köteles az adatkezelést megszüntetni, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az Érintett érdekeivel szemben.

8.7. Automatizált döntéshozatalhoz és profilalkotáshoz való jog (GDPR 22. cikk)

Nem alkalmazott: A Platform NEM végez automatizált döntéshozatalt vagy profilalkotást, amely az Érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

8.8. Panasztételhez való jog (GDPR 77. cikk)

Az Érintett jogosult panaszt tenni az adatvédelmi hatóságnál:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

• Cím: 1055 Budapest, Falk Miksa utca 9-11.
• Postacím: 1363 Budapest, Pf. 9.
• Telefon: +36 1 391 1400
• E-mail: ugyfelszolgalat@naih.hu
• Weboldal: https://naih.hu

8.9. Bírósági jogorvoslathoz való jog (GDPR 79. cikk)

Az Érintett jogosult bírósághoz fordulni, ha úgy ítéli meg, hogy a GDPR megsértésével kezelték személyes adatait.

Illetékes bíróság: Az Érintett lakóhelye vagy tartózkodási helye szerinti bíróság

9. ADATBIZTONSÁG

Az Adatkezelő megfelelő technikai és szervezési intézkedésekkel védi a személyes adatokat a jogosulatlan hozzáféréstől, megváltoztatástól, továbbítástól, nyilvánosságra hozataltól, törléstől vagy megsemmisítéstől, valamint a véletlen megsemmisüléstől és sérüléstől.

9.1. Technikai intézkedések

9.1.1. Titkosítás

• HTTPS (SSL/TLS): A Platform teljes egészében HTTPS protokollon keresztül érhető el (Let's Encrypt tanúsítvány)
• Adatbázis titkosítás: AES-256 titkosítás a Supabase adatbázisban (data at rest encryption)
• Jelszó titkosítás: Bcrypt algoritmus (10 salt rounds), jelszavak soha nem kerülnek tárolásra olvasható formában

9.1.2. Hozzáférés-korlátozás

• Row Level Security (RLS): Felhasználók kizárólag saját adataikhoz férhetnek hozzá
• API kulcsok: Titkosítva tárolva környezeti változókban, nem kerülnek verziókövető rendszerbe
• Session kezelés: JWT tokenek használata, automatikus lejárat 7 nap után

9.1.3. Biztonsági naplózás

• Bejelentkezési kísérletek: IP cím, időbélyeg, siker/kudarc rögzítése
• Rate limiting: Automatikus rate limit 5 sikertelen bejelentkezés után (15 perc blokkolás)
• Anomália detektálás: Szokatlan aktivitás (pl. 100 generálás 1 perc alatt) automatikus riasztást küld

9.1.4. Biztonsági mentések

• Automatikus backup: Supabase napi automatikus biztonsági mentést készít
• Point-in-time recovery: Utolsó 7 nap bármely időpontjára visszaállítható
• Geo-redundancia: Backup tárolás több földrajzi helyen (AWS multi-AZ)

9.2. Szervezési intézkedések

9.2.1. Hozzáférési jogosultságok

• Principle of Least Privilege: Az Adatkezelő munkatársai csak a munkakörükhöz szükséges adatokhoz férnek hozzá
• Adminisztrátori hozzáférés: Korlátozott számú személy (Szota Szabolcs)
• Kétfaktoros autentikáció (2FA): Kötelező minden adminisztratív fiókhoz

9.2.2. Adatvédelmi képzés

• Az Adatkezelő rendszeres továbbképzéseken vesz részt a GDPR előírások betartása érdekében

9.2.3. Incidenskezelés

Adatvédelmi incidens (pl. adatszivárgás) esetén az Adatkezelő:

1. 72 órán belül értesíti a NAIH-t (ha az incidens valószínűsíthetően kockázatot jelent az Érintettek jogaira)
2. Haladéktalanul értesíti az Érintetteket (ha az incidens magas kockázatot jelent)
3. Dokumentálja az incidenst (ok, hatás, javító intézkedések)

9.3. Külső biztonsági ellenőrzések

• Supabase: SOC 2 Type II auditált (éves felülvizsgálat)
• Stripe: PCI-DSS Level 1 tanúsítvánnyal rendelkezik (évente auditált)

10. COOKIE-K (SÜTIK) HASZNÁLATA

A Platform cookie-kat (sütiket) használ a felhasználói élmény javítása és a működés biztosítása érdekében.

10.1. Mi az a cookie?

A cookie egy kis szöveges fájl, amelyet a weboldal a látogató számítógépén vagy mobileszközén tárol. A cookie-k lehetővé teszik a weboldal számára, hogy "emlékezzen" a felhasználó műveleteiré és preferenciáira.

10.2. Használt cookie-k típusai

10.2.1. Feltétlenül szükséges (funkcionális) cookie-k

Ezek a cookie-k a Platform alapvető működéséhez elengedhetetlenek, ezért hozzájárulás nélkül is használhatók (GDPR 6. cikk (1) f) pont - jogos érdek).

Jogalap: GDPR 6. cikk (1) b) pont - szerződés teljesítéséhez szükséges

Ezek a cookie-k NEM tilthatók le, mivel nélkülük a Platform nem működne.

10.2.2. Statisztikai (analitikai) cookie-k

Jelenleg NEM használt, de a jövőben tervezett (pl. Google Analytics).

Amennyiben bevezetésre kerül, előzetes hozzájárulást kérünk cookie banner formájában.

10.2.3. Marketing cookie-k

Nem használt - A Platform nem használ marketing vagy remarketing cookie-kat.

10.3. Cookie-k kezelése

Cookie-k letiltása: A legtöbb böngészőben beállítható a cookie-k automatikus elutasítása vagy törlése:

• Chrome: Beállítások → Adatvédelem és biztonság → Cookie-k
• Firefox: Beállítások → Adatvédelem és biztonság → Cookie-k és webhelyadatok
• Safari: Beállítások → Adatvédelem → Cookie-k kezelése
• Edge: Beállítások → Cookie-k és webhelyek engedélyei

Fontos: A feltétlenül szükséges cookie-k letiltása esetén a Platform nem fog megfelelően működni (bejelentkezés lehetetlenné válik).

10.4. Harmadik féltől származó cookie-k

Supabase Auth cookie-k: A bejelentkezési funkció működéséhez Supabase cookie-kat helyez el (sb-access-token, sb-refresh-token). Ezek a cookie-k a Supabase Privacy Policy hatálya alá tartoznak: https://supabase.com/privacy

11. KISKORÚAK ADATAINAK VÉDELME

A Platform NEM célozza meg a 16 éven aluli kiskorúakat.

16 éven aluli személyek CSAK szülői felügyelet mellett használhatják a Platformot. Regisztráció során a Felhasználó kijelenti, hogy elmúlt 16 éves, vagy szülői/gondviselői hozzájárulással rendelkezik.

Ha tudomásunkra jut, hogy 16 éven aluli személy regisztrált szülői hozzájárulás nélkül, haladéktalanul töröljük a fiókját és minden kapcsolódó adatát.

Bejelentés: Amennyiben kiskorú jogosulatlan regisztrációjáról értesül, kérjük, jelezze: hello@impulzus.studio

12. ADATVÉDELMI INCIDENSEK KEZELÉSE

12.1. Adatvédelmi incidens definíciója

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Példák:

• Adatbázis feltörése, jogosulatlan hozzáférés
• Laptop/backup média ellopása titkosítatlan adatokkal
• Ransomware támadás (adatok titkosítása)
• Téves címzettnek küldött e-mail személyes adatokkal
• Alkalmazott által jogosulatlanul hozzáférhető adatok

12.2. Incidenskezelési folyamat

1. Észlelés és bejelentés

• Az incidensről az Adatkezelő haladéktalanul tudomást szerez (monitoring rendszerek, felhasználói bejelentés)

2. Értékelés és dokumentálás

• Az incidens súlyosságának felmérése
• Érintett személyek száma
• Érintett adatok típusa és mennyisége
• Potenciális kockázatok azonosítása

3. Hatóság értesítése (72 óra) Ha az incidens valószínűsíthetően kockázatot jelent az Érintettek jogaira, a NAIH-t 72 órán belül értesítjük:

• Az incidens jellege
• Az érintett Érintettek becsült száma
• Az Adatkezelő elérhetősége
• Az incidens valószínűsíthető következményei
• Megtett intézkedések

4. Érintettek értesítése (indokolatlan késedelem nélkül) Ha az incidens magas kockázatot jelent az Érintettek jogaira, őket is értesítjük:

• E-mail értesítés a regisztrált e-mail címre
• Értesítés a Platform felületén
• Az incidens természete és következményei
• Javasolt óvintézkedések

5. Javító intézkedések

• Biztonsági rés bezárása
• Jelszavak cseréje
• Kétfaktoros autentikáció bevezetése
• Rendszerek biztonsági frissítése

6. Utólagos értékelés

• Incidensnapló vezetése
• Tanulságok levonása
• Biztonsági szabályzat frissítése

12.3. Érintetti bejelentés

Ha a Felhasználó úgy véli, hogy adatvédelmi incidens történt (pl. illetéktelen hozzáférés a fiókjához), kérjük, haladéktalanul jelezze:

E-mail: hello@impulzus.studio Tárgy: SÜRGŐS - Adatvédelmi incidens bejelentése

Bejelentésben adja meg:

• Neve és e-mail címe
• Az incidens időpontja (ha tudja)
• Az incidens leírása
• Milyen adatokat érinthet

Válaszadási idő: 24 órán belül visszajelzünk

13. ADATKEZELÉSI TÁJÉKOZTATÓ MÓDOSÍTÁSA

Az Adatkezelő fenntartja a jogot, hogy jelen Adatkezelési Tájékoztatót egyoldalúan módosítsa az alábbi esetekben:

• Jogszabályi változások (pl. GDPR módosítások)
• Új szolgáltatások bevezetése (pl. fizetési funkció)
• Adatfeldolgozók változása (pl. új AI szolgáltató)
• Biztonsági fejlesztések
• Hatósági ajánlások

13.1. Értesítés a módosításról

A módosításról az Adatkezelő legalább 15 nappal korábban értesíti az Érintetteket:

1. E-mail értesítés: A regisztrált e-mail címre
2. Platform értesítés: Bejelentkezés után jól látható figyelmeztető üzenet
3. Weboldal: A módosított tájékoztató közzététele https://impulzus.studio/privacy

13.2. Érintett reakciója

Az Érintett a módosítás hatálybalépése előtt jogosult:

• Elfogadni a módosítást (nem kell semmit tenni, a Platform további használata jelenti az elfogadást)
• Elutasítani a módosítást és fiókját törölni

Ha az Érintett a módosítás hatálybalépése után is használja a Platformot, az a módosítás elfogadását jelenti.

14. KAPCSOLATFELVÉTEL, KÉRELMEK BENYÚJTÁSA

14.1. Elérhetőségek

Adatkezelő:

• Név: Szota Szabolcs Egyéni Vállalkozó
• E-mail: hello@impulzus.studio
• Postacím: 3152 Nemti, Kossuth út 67.

Válaszadási idő:

• E-mail kérelmek: 30 napon belül (GDPR előírás szerint)
• Általános kérdések: 48 órán belül (munkanapokon)

14.2. Kérelem benyújtásának módja

E-mailben:

• Cím: hello@impulzus.studio
• Tárgy: [Joggyakorlás típusa] - pl. "Hozzáférési jog gyakorlása", "Törlési kérelem"

Kérelem tartalma:

• Teljes név
• Regisztrált e-mail cím
• A gyakorolni kívánt jog megnevezése (pl. hozzáférés, törlés, helyesbítés)
• Részletes leírás (mit szeretne kérni)
• Dátum és aláírás (szkennelt vagy digitális aláírás)

Postai úton: 3152 Nemti, Kossuth út 67.

14.3. Személyazonosság ellenőrzése

A kérelmek teljesítése előtt az Adatkezelő ellenőrzi a kérelmező személyazonosságát, hogy megelőzze az adatokhoz való jogosulatlan hozzáférést.

Módszerek:

• E-mail cím egyeztetés: A kérelmet a regisztrált e-mail címről kell elküldeni
• Kétlépcsős azonosítás: Időkorlátozott kód küldése a regisztrált e-mail címre
• Személyes adatok megadása: Regisztrációkor megadott adatok megerősítése

14.4. Válaszadás határideje

GDPR előírás: 1 hónap (30 nap)

Meghosszabbítás: Összetett vagy nagyszámú kérelem esetén további 2 hónappal meghosszabbítható (összesen 3 hónap), amelyről az Érintettet a 30 napon belül értesítjük.

14.5. Költségek

Ingyenes: A GDPR szerinti joggyakorlás (hozzáférés, törlés, helyesbítés, korlátozás) ingyenes.

Díjköteles lehet:

• Ha a kérelem egyértelműen megalapozatlan vagy túlzó (különösen ismétlődő jellege miatt)
• Díj összege: Ésszerű költségeken alapuló díj (max. 5000 Ft adminisztrációs költség)

Megtagadás: Ha a kérelem egyértelműen megalapozatlan, az Adatkezelő megtagadhatja a kérelem teljesítését, és erről 30 napon belül írásban tájékoztatja az Érintettet.

15. VEGYES RENDELKEZÉSEK

15.1. Alkalmazandó jog

Jelen Adatkezelési Tájékoztató értelmezésére és alkalmazására magyar jog az irányadó, különös tekintettel:

• GDPR - (EU) 2016/679 rendelet
• Infotv. - 2011. évi CXII. törvény
• Ptk. - 2013. évi V. törvény
• Számviteli törvény - 2000. évi C. törvény

15.2. Elválaszthatóság

Ha jelen Tájékoztató bármely rendelkezése érvénytelenné vagy végrehajthatatlanná válik, az nem érinti a többi rendelkezés érvényességét.

15.3. Nyelvi verziók

A Tájékoztató magyar és angol nyelven készült. Eltérés esetén a magyar nyelvű verzió az irányadó.

15.4. Kapcsolat az ÁSZF-fel

Jelen Adatkezelési Tájékoztató kiegészíti az Általános Szerződési Feltételeket (ÁSZF). Együttesen alkotják a Felek közötti teljes megállapodást.

16. ZÁRÓ RENDELKEZÉSEK

16.1. Hatálybalépés

Jelen Adatkezelési Tájékoztató 2025. november 8. napján lép hatályba és visszavonásig érvényes.

16.2. Korábbi verziók

Ez a Tájékoztató első, nyilvános verziója. Korábbi verzió nem létezik.

16.3. Elérhetőség

Jelen Tájékoztató teljes szövege elérhető:

• Weboldal: https://impulzus.studio/privacy
• PDF letöltés: https://impulzus.studio/documents/adatkezeles.pdf (tervezett)
• Nyomtatható verzió: Böngészőből bármikor kinyomtatható

16.4. További kérdések

Ha bármilyen kérdése van az adatkezeléssel kapcsolatban, kérjük, írjon nekünk: E-mail: hello@impulzus.studio

17. GYIK - GYAKRAN ISMÉTELT KÉRDÉSEK

Milyen adataimat tároljátok?

Név, e-mail cím, jelszó (titkosítva), generálási előzmények, kredit tranzakciók.

Hol tároljátok az adataimat?

EU-ban (Frankfurt, Németország - Supabase infrastruktúra).

Adhatok meg hamis nevet regisztrációkor?

Igen, de csak akkor, ha nem használsz fizetős szolgáltatásokat (számla kiállításhoz valós adatok szükségesek).

Törlitek-e az adataimat, ha kérem?

Igen, 30 napon belül (kivéve számviteli kötelezettséggel érintett adatok - 8 év).

Használjátok marketing célra az adataimat?

Nem. Kizárólag a szolgáltatás nyújtásához használjuk.

Adtok-e tovább harmadik félnek?

Csak adatfeldolgozóknak (Supabase, Anthropic, Fal.ai) - ők is GDPR compliant.

Mi történik, ha feltörik az adatbázisukat?

72 órán belül értesítjük a hatóságot, és haladéktalanul értesítjük a felhasználókat.

Kaphatok másolatot az adataimról?

Igen, kérheted JSON formátumban (adathordozhatóság joga).

Mennyi ideig tároljátok a jelszavamat?

Fiók törléséig, de csak titkosított formában (bcrypt hash).

Használtok cookie-kat?

Igen, de csak feltétlenül szükséges cookie-kat (bejelentkezés, nyelvbeállítás).

Utoljára frissítve: 2025. november 8. Verzió: 1.0 Adatkezelő: Szota Szabolcs Egyéni Vállalkozó

Az Impulzus Studio Platform használatával Ön elfogadja jelen Adatkezelési Tájékoztatót.

Kérdése van? Írjon nekünk: hello@impulzus.studio