Adatkezelési tájékoztató
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Infotv.) alapján.
1. Az adatkezelő
| Adatkezelő | Teszt Elek (magánszemély) |
|---|---|
| Kapcsolattartási cím | Budapest, Magyarország |
| Adatvédelmi e-mail | objektivdontes@gmail.com |
| Adatvédelmi tisztviselő (DPO) | Nem kötelezett kijelölni (a GDPR 37. cikk szerinti feltételek egyike sem teljesül: nem hatóság, nem nagyszabású különleges adatkezelés, nem rendszeres és szisztematikus megfigyelés főtevékenységként). |
2. A tájékoztató hatálya
Jelen tájékoztató az https://objektivdontes.hu oldal valamennyi látogatójára és regisztrált felhasználójára vonatkozik. A felhasználó az oldal használatával, illetve a regisztrációval elismeri, hogy a jelen tájékoztatót megismerte.
3. A kezelt adatok köre, célja és jogalapja
| Cél | Adatok | Jogalap (GDPR 6. cikk) | Megőrzési idő |
|---|---|---|---|
| Regisztráció és bejelentkezés | e-mail cím, jelszó (hash-elve, bcrypt), pszeudonim handle, regisztráció időpontja, e-mail megerősítés státusza | (b) szerződés teljesítése (felhasználói szerződés) | fiók törléséig + 30 nap audit-célból |
| Felhasználói tartalom (kérdés, érv, cáfolat, forrás) | a felhasználó által megadott szöveg, opcionális helyszín, klaszter / kategória, közzététel időpontja, AI-formázott + eredeti változat (original_text) | (b) szerződés teljesítése + (a) hozzájárulás a publikus megjelenítéshez | fiók törlésekor anonimizálva, archív rekordban tartósan |
| Szavazatok és reputáció-számítás | szavazat (validity / cenzúra) iránya, súlya, időpontja, reputáció-pontszám, szavazat-darabszám | (b) szerződés + (f) jogos érdek (a platform integritása) | tabula-rasa replay miatt teljesen tartósan; fiók törlésekor a szavazatok anonimizálódnak |
| Üzemeltetési naplók (server log) | IP-cím, felhasználói agent, kérés időpontja, kérés URL-je, válasz-státusz | (f) jogos érdek (biztonsági incidensek, visszaélések kivizsgálása) | 30 nap |
| Bot-szűrés (Cloudflare Turnstile) | Turnstile token, IP, user-agent (a Cloudflare oldalán feldolgozva) | (f) jogos érdek (bot-támadás megakadályozása) | Cloudflare szabályzat szerint, max. 90 nap |
| AI-validáció (Claude / GPT API) | a beküldött tartalom, AI-prompt, válasz, költség, latency, prompt-verzió (AIDecision log) | (b) szerződés + (f) jogos érdek (átláthatóság) | fiók törlésekor anonimizálva, audit-célból tartósan |
| Tranzakciós e-mail küldés (megerősítés, jelszó-emlékeztető) | e-mail cím, küldés időpontja, sablonazonosító | (b) szerződés teljesítése | 30 nap |
| Statisztikai elemzés (Google Analytics 4) — csak hozzájárulással | eszköz-azonosító (cookie), oldalmegtekintési események, IP-cím (anonimizáltan, IP-truncation aktív), nyelv, hivatkozó URL | (a) hozzájárulás (cookie-banner) | 14 hónap (GA4 alapbeállítás) |
4. Adatok forrása
Az adatok közvetlenül az érintettől (felhasználótól) származnak. Harmadik féltől származó adatot nem szerzünk be. Nyilvános forráshivatkozás (URL) esetén a felhasználó által megadott URL-tartalom első sorát / metaadatát az oldal lekérheti — ez nem személyes adat.
5. Automatizált döntéshozatal és profilalkotás
Az oldal AI-modellekkel automatizáltan szűri / formázza a beküldött tartalmakat. Ennek célja a tartalom strukturálása és nyilvánvalóan nem-érdemi anyag elutasítása.
Az AI elutasítása ellen a felhasználó kifogással élhet (GDPR 22. cikk (3)) — a 3. AI-elutasítás után a kérdést automatikusan emberi moderátor vizsgálja meg. A reputáció-számítás algoritmikus, de nem hoz a felhasználóra nézve „joghatással járó" döntést a GDPR 22. cikk értelmében — a reputáció kizárólag az oldalon belüli szavazat-súlyozásra hat.
6. Az adatfeldolgozók (kik kezelhetik az adatokat)
Az alábbi adatfeldolgozókkal állunk szerződéses jogviszonyban:
| Adatfeldolgozó | Tevékenység | Székhely / EU-s képviselő | Adattovábbítás jogalapja |
|---|---|---|---|
| Cloudflare, Inc. adatvédelmi tájékoztató | Frontend hosting (Cloudflare Pages), DNS, CDN, DDoS-védelem, Turnstile bot-szűrés. | 101 Townsend St, San Francisco, CA 94107, USA EU: Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München, DE | EU-US Data Privacy Framework + Általános Szerződési Feltételek (Standard Contractual Clauses). |
| Google Ireland Limited / Google LLC adatvédelmi tájékoztató | Backend hosting (Google App Engine, europe-west3 Frankfurt régió), titkos kulcsok kezelése (Google Secret Manager), ütemezett feladatok (Cloud Scheduler), opcionális analitika (Google Analytics 4). | Gordon House, Barrow Street, Dublin 4, Írország EU: Google Ireland Limited (EU-s adatkezelő) | EU-s régióban (Frankfurt) tárolt adatok; Google szolgáltatás esetén EU-US Data Privacy Framework + SCC-k. |
| Neon, Inc. adatvédelmi tájékoztató | PostgreSQL adatbázis-szolgáltatás (AWS eu-central-1, Frankfurt régió). | 440 N Barranca Ave #4133, Covina, CA 91723, USA EU: EU-s régióban (AWS Frankfurt) tárolt adatok. | EU-US Data Privacy Framework + SCC-k. |
| Anthropic, PBC adatvédelmi tájékoztató | AI-alapú validáció (Claude modellek): a felhasználó által beküldött kérdések / érvek / cáfolatok formázása és relevancia-szűrése. Anthropic API: az adatokat alapértelmezésben nem használja modell-tanításra. | 548 Market St PMB 90375, San Francisco, CA 94104, USA | EU-US Data Privacy Framework + SCC-k. Az API-Provider Agreement zero-retention módot biztosít. |
| OpenAI, L.L.C. adatvédelmi tájékoztató | AI-fallback (GPT modellek), opcionális — ugyanazon célra mint az Anthropic. | 1455 3rd Street, San Francisco, CA 94158, USA EU: OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Írország | EU-US Data Privacy Framework + SCC-k. API-keretszerződés alapján zero-retention. |
| Resend (Resend Inc.) adatvédelmi tájékoztató | Tranzakciós e-mail küldés (regisztráció megerősítés, jelszó-emlékeztető) — opcionális. | 2261 Market Street #5039, San Francisco, CA 94114, USA | EU-US Data Privacy Framework + SCC-k. |
7. Harmadik országba történő adattovábbítás
A fenti adatfeldolgozók közül a Cloudflare, Anthropic, Resend és Neon székhelye az Egyesült Államokban van. Az adattovábbítás jogalapja az EU Bizottság megfelelőségi határozatára épülő EU-US Data Privacy Framework, kiegészítve általános szerződési feltételekkel (Standard Contractual Clauses). A Google és a Neon esetében a tényleges adattárolás az EU területén (Frankfurt) történik.
Az AI-szolgáltatók (Anthropic, OpenAI) API-keretszerződésünk alapján a beküldött adatokat nem használják modell-tanításra (zero data retention API).
8. Cookie-k és hasonló technológiák
Részletes leírás a cookie-szabályzat oldalon. Röviden: szigorúan szükséges cookie-k (bejelentkezési token, biztonsági cookie) hozzájárulás nélkül használhatók; a Google Analytics 4 statisztikai cookie-k csak a felhasználó kifejezett hozzájárulása után aktívak (Consent Mode v2 — alapértelmezésben denied).
9. Adatbiztonsági intézkedések
- jelszavak
bcrypthash-eléssel tárolva (sózottan, sosem plain-textben); - JWT-alapú session, HttpOnly + Secure cookie, rövid (24 h) lejárat;
- HTTPS / TLS 1.2+ az összes hálózati kommunikáción;
- Cloudflare Turnstile bot-szűrés a regisztráció és a bejelentkezés esetén;
- rate-limit az érzékeny végpontokon (login, regisztráció, tartalom-beküldés);
- DB-szintű tárolás Neon Postgres szolgáltatáson, AWS Frankfurt régióban, encryption-at-rest aktív;
- backup: Neon point-in-time recovery (7 nap, free tier);
- az API és a frontend külön-tartomány alatt, megosztott titok (X-API-Secret) reverse-proxy mintával;
- a felhasználói e-mail nem nyilvános — csak admin felületen látható.
10. Az érintett jogai
A GDPR alapján a felhasználó az alábbi jogokkal rendelkezik:
- Hozzáférés joga (15. cikk) — kérheti, hogy adjunk tájékoztatást a róla kezelt adatokról és azok másolatát.
- Helyesbítés (16. cikk) — kérheti pontatlan adatok kijavítását. A handle és e-mail a fiókban módosítható.
- Törlés („elfeledtetéshez való jog", 17. cikk) — kérheti az adatainak törlését. Részletek a 11. pontban.
- Korlátozás (18. cikk) — bizonyos esetekben kérheti az adatkezelés korlátozását.
- Hordozhatóság (20. cikk) — kérheti az adatainak géppel olvasható (JSON / CSV) formátumban történő kiadását.
- Tiltakozás (21. cikk) — tiltakozhat a jogos érdeken alapuló adatkezelés ellen.
- Hozzájárulás visszavonása (7. cikk (3)) — bármikor visszavonható, a visszavonás előtti adatkezelés jogszerűségét nem érinti.
- Az automatizált döntéshozatallal szembeni jog (22. cikk) — kérheti az emberi felülvizsgálatot.
Az érintetti jogok gyakorlására irányuló kérelmet a objektivdontes@gmail.com címre kell küldeni. A kérelmet legkésőbb 30 napon belül teljesítjük (összetettebb esetben +60 nap, de erről értesítést küldünk).
11. Fiók-törlés és anonimizálás
A felhasználó a fiókját bármikor törölheti az oldal beállítások menüpontjában, vagy a objektivdontes@gmail.com címre küldött kérelemmel.
Törléskor:
- az e-mail és a jelszó-hash azonnal és visszafordíthatatlanul törlődik;
- a publikus handle anonim azonosítóval (pl.
[törölt felhasználó #1234]) helyettesítődik; - a felhasználó által közzétett tartalmak (kérdés, érv, cáfolat) az integritás védelme érdekében (mások már szavaztak rá, vitát építettek köré) megmaradnak, de szerzőjükként az anonim azonosító látszik;
- a szavazatok és reputáció-számítási adatok anonimizáltan a tabula-rasa replay-hoz megmaradnak (a számítási integritás miatt);
- az e-mail cím alapján a felhasználó a továbbiakban nem azonosítható.
Ha a felhasználó kifejezetten a tartalom törlését is kéri, az Üzemeltető eseti mérlegelés alapján töröli (figyelembe véve a platform átláthatósági érdekét — pl. ha a tartalom köré komoly vita szerveződött, csak anonimizálni tudjuk, teljesen törölni nem).
12. Adatvédelmi incidens
Az Üzemeltető adatvédelmi incidens esetén a tudomásszerzéstől számított 72 órán belül bejelenti azt a NAIH-nak (GDPR 33. cikk), és — ha az incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve — az érintetteket is értesíti (GDPR 34. cikk).
13. Felügyeleti hatósághoz fordulás joga
Az érintett a panaszával az adatvédelmi felügyeleti hatósághoz fordulhat:
| Hatóság | Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) |
|---|---|
| Cím | 1055 Budapest, Falk Miksa utca 9-11. |
| Postai cím | 1363 Budapest, Pf. 9. |
| Telefon | +36 (1) 391-1400 |
| ugyfelszolgalat@naih.hu | |
| Honlap | https://naih.hu |
Az érintett polgári pert is indíthat a lakóhelye vagy tartózkodási helye szerinti törvényszéken (Infotv. 23. §).
14. A tájékoztató módosítása
Az Üzemeltető a jelen tájékoztatót egyoldalúan módosíthatja. A módosítás hatálybalépéséről a Szolgáltatás kezdőlapján tájékoztatja a felhasználókat. Lényeges változás esetén a regisztrált felhasználók e-mailben is értesítést kapnak.