Adatkezelési tájékoztató
Utolsó frissítés: 2026. június 1.
Jelen tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseivel összhangban tájékoztatja a Penzum webalkalmazás felhasználóit személyes adataik kezeléséről.
1. Az adatkezelő adatai
| Adatkezelő neve | Simon Richárd e.v. |
| Adószám | 91566478-1-33 |
| Székhely | 2040 Budaörs, Kökörcsin utca 17. |
| support@penzum.app | |
| Weboldal | penzum.app |
Az adatkezelő egyéni vállalkozó. Dedikált adatvédelmi tisztviselő (DPO) kijelölése nem kötelező és nem történt meg, adatvédelmi kérdésekkel közvetlenül az adatkezelőhöz fordulhat a fenti elérhetőségeken.
2. Az adatkezelés alapelvei
Az adatkezelő a személyes adatokat az alábbi elvek szerint kezeli:
- Jogszerűség, tisztességes eljárás és átláthatóság — az adatkezelés jogalapja minden esetben azonosítható.
- Célhoz kötöttség — az adatokat csak meghatározott, egyértelmű és jogszerű célból gyűjtjük.
- Adattakarékosság — csak a cél eléréséhez szükséges adatokat kezeljük.
- Pontosság — az adatokat naprakészen tartjuk; a Felhasználó saját adatait bármikor módosíthatja.
- Korlátozott tárolhatóság — az adatokat nem tároljuk tovább, mint szükséges.
- Integritás és bizalmas jelleg — megfelelő technikai és szervezési intézkedésekkel védjük az adatokat.
3. A kezelt személyes adatok és jogalapok
3.1 Regisztrációhoz és fiókkezeléshez szükséges adatok
| Adatkategória | Jogalap (GDPR) | Megőrzési idő |
|---|---|---|
| E-mail cím | Szerződés teljesítése (6. cikk (1) b) | Fiók törlésétől számított 30 nap |
| Jelszó (bcrypt hashként tárolva) | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
| Teljes név | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
| ÁSZF elfogadásának időpontja és verziója | Jogi kötelezettség teljesítése (6. cikk (1) c) | 5 év (elévülési idő) |
3.2 Pénzügyi és adóügyi adatok (a szolgáltatás alapfunkciójához)
| Adatkategória | Jogalap (GDPR) | Megőrzési idő |
|---|---|---|
| Adóazonosító jel | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
| Születési dátum (adókedvezmény-számításhoz) | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
| Vállalkozói bevételek (számlák) | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig; számviteli nyilvántartásra vonatkozó törvényi kötelezettség esetén 8 év |
| Üzleti kiadások | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig; számviteli kötelezettség esetén 8 év |
| Főállású munkabér adatok (havi bruttó, kedvezmények) | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
| Önkéntes nyugdíjpénztári befizetések | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
| Életesemény-napló bejegyzések (pl. házasságkötés, gyermekszületés dátuma) | Szerződés teljesítése (6. cikk (1) b) | Fiók törléséig |
3.3 Különleges személyes adat — egészségügyi státusz
A Penzum lehetővé teszi a tartósan beteg vagy fogyatékossággal élő státusz rögzítését, amely a személyi jövedelemadóról szóló törvény szerinti súlyos fogyatékosság miatti adóalap-kedvezmény kiszámításához szükséges. Ez az adat a GDPR 9. cikke szerinti különleges személyes adat (egészségügyi adat).
| Adatkategória | Jogalap (GDPR) | Megőrzési idő |
|---|---|---|
| Tartósan beteg / fogyatékossággal élő státusz (igen/nem) | Kifejezett hozzájárulás (9. cikk (2) a) — külön jelölőnégyzet a rögzítéskor | Visszavonásig vagy fiók törléséig |
Ezt az adatot csak akkor kezeljük, ha Ön azt kifejezetten megadja, és bármikor törölheti a Beállítások menüben. A törlés nem visszamenőleges hatályú a már kiszámított adóbecslésekre.
3.4 Fizetési adatok
Az előfizetési díjat a Stripe, Inc. fizetési szolgáltatón keresztül szedi be az adatkezelő. A bankkártya-adatokat (szám, CVV, lejárat) kizárólag a Stripe tárolja és kezeli — ezek soha nem jutnak el az adatkezelő rendszereibe. Az adatkezelő kizárólag a következő, Stripe által visszaadott adatokat tárolja:
- Stripe Customer ID (számlázási ügyfélazonosító)
- Stripe Subscription ID (előfizetés-azonosító)
- Előfizetési státusz és aktuális csomag neve
- Következő számlázási dátum
A fizetési adatok kezelésének jogalapja: szerződés teljesítése (GDPR 6. cikk (1) b), megőrzési idő: a szerződéses jogviszony megszűnésétől számított 5 év.
3.5 Technikai és naplóadatok
A Penzum infrastruktúráját üzemeltető Vercel, Inc. és Supabase, Inc.a szolgáltatás nyújtásának részeként automatikusan naplózhatja az alábbi technikai adatokat:
- IP-cím (kérések forrása)
- HTTP kérés metaadatok (időbélyeg, végpont, válaszkód)
- Böngésző és eszköz típusa (user-agent)
Ezen adatok kezelésének jogalapja: jogos érdek (GDPR 6. cikk (1) f) — a szolgáltatás biztonságának, stabilitásának fenntartása és a visszaélések megelőzése. A naplók legfeljebb 30 napig kerülnek megőrzésre, kivéve ha biztonsági incidens vizsgálata hosszabb megőrzést indokol.
4. Adatfeldolgozók
Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe. Az adatfeldolgozók kizárólag az adatkezelő utasításai szerint, az adatkezelő nevében járnak el:
| Adatfeldolgozó | Tevékenység | Székhely | Adatvédelmi tájékoztató |
|---|---|---|---|
| Supabase, Inc. | Adatbázis-tárhely, hitelesítés | USA (EU adatközpont: Frankfurt) | supabase.com/privacy |
| Vercel, Inc. | Webalkalmazás-tárhely, CDN | USA (EU adatközpont elérhető) | vercel.com/legal/privacy-policy |
| Stripe, Inc. | Fizetésfeldolgozás | USA (EU leányvállalat: Stripe Payments Europe Ltd.) | stripe.com/privacy |
| Resend, Inc. | Tranzakciós e-mail küldés | USA | resend.com/privacy |
A fenti adatfeldolgozók mindegyike az EU–USA adattovábbítás szempontjából vagy SCCs (Standard Contractual Clauses) alkalmazásával, vagy az EU–USA adatvédelmi keretrendszer (Data Privacy Framework) tanúsításával rendelkezik.
5. Adattovábbítás harmadik félnek
Az adatkezelő személyes adatokat harmadik félnek (az adatfeldolgozókon kívül) nem ad át, kivéve:
- ha arra jogszabály kötelezi (pl. hatósági megkeresés),
- ha az érintett ehhez kifejezetten hozzájárult,
- ha az adatkezelő jogos érdekeinek védelme ezt szükségessé teszi (pl. jogi igény érvényesítése).
6. Az érintett jogai
A GDPR III. fejezete alapján Önt az alábbi jogok illetik meg személyes adatai kezelésével kapcsolatban. Jogai gyakorlásához írjon a support@penzum.app e-mail-címre — a kérelemre 30 napon belül válaszolunk.
6.1 Hozzáférési jog (GDPR 15. cikk)
Tájékoztatást kérhet arról, hogy kezeljük-e személyes adatait, és ha igen, azokról másolatot kaphat.
6.2 Helyesbítési jog (GDPR 16. cikk)
Kérheti a pontatlan vagy hiányos személyes adatok helyesbítését. A legtöbb adatát Ön maga is módosíthatja a Penzum Beállítások oldalán.
6.3 Törlési jog („az elfeledtetéshez való jog", GDPR 17. cikk)
Kérheti személyes adatainak törlését, ha azok kezelése már nem szükséges, hozzájárulását visszavonta, vagy tiltakozik a kezelés ellen és nincs jogszerű ok az adatok megtartására. Felhívjuk figyelmét, hogy jogszabályi kötelezettség alapján kezelt adatok (pl. számlázási adatok a számviteli megőrzési idő alatt) nem törölhetők a megőrzési idő lejárta előtt.
A fiókja — és ezzel minden kezelt adatának nagy része — a Penzum Beállítások oldalán törölhető.
6.4 Az adatkezelés korlátozásához való jog (GDPR 18. cikk)
Kérheti az adatkezelés korlátozását például akkor, ha vitatja az adatok pontosságát (a pontosság megállapításáig), vagy ha tiltakozik az adatkezelés ellen (a jogos érdek mérlegelésének idejére).
6.5 Adathordozhatósághoz való jog (GDPR 20. cikk)
A Penzumban rögzített adatait (bevételek, kiadások, főállás adatok) géppel olvasható formátumban (CSV/JSON) exportálhatja a Beállítások menüből. Adathordozhatósági kérelem esetén az adatokat e-mailben is megküldjük.
6.6 Tiltakozási jog (GDPR 21. cikk)
A jogos érdeken alapuló adatkezeléssel (pl. naplóadatok, biztonsági célú feldolgozás) szemben tiltakozhat. Az adatkezelő ekkor mérlegeli, hogy az adatkezelés jogos érdeke felülírja-e az Ön érdekeit.
6.7 Hozzájárulás visszavonása
Ha az adatkezelés hozzájáruláson alapul (pl. egészségügyi különleges adat kezelése), hozzájárulását bármikor visszavonhatja — ez nem érinti a visszavonás előtt végzett adatkezelés jogszerűségét.
7. Adatbiztonság
Az adatkezelő az alábbi technikai és szervezési intézkedéseket alkalmazza a személyes adatok védelme érdekében:
- Titkosítás átvitel közben: minden kommunikáció HTTPS/TLS protokollon zajlik.
- Titkosítás tároláskor: az adatbázis-tárhely (Supabase / PostgreSQL) titkosított lemezeken tárolja az adatokat.
- Jelszóbiztonság: a jelszavak bcrypt hash formátumban kerülnek tárolásra; nyílt szöveges jelszó soha nem kerül rögzítésre.
- Hozzáférés-szabályozás: Row Level Security (RLS) szabályok biztosítják, hogy minden felhasználó kizárólag saját adataihoz férjen hozzá.
- Adminisztrátori hozzáférés: a szervizoldali műveletek service role kulccsal, kizárólag szerveren futó kódból érhetők el; a kulcs sosem kerül kliens oldalra.
- Kétfaktoros hitelesítés: az adatkezelő infrastruktúra-hozzáférésein 2FA engedélyezett.
8. Adatvédelmi incidens
Adatvédelmi incidens (pl. jogosulatlan hozzáférés, adatszivárgás) esetén az adatkezelő a GDPR 33. cikke alapján 72 órán belül értesíti a felügyeleti hatóságot (NAIH), ha az incidens kockázatot jelent az érintettekre. Ha az incidens magas kockázattal jár, a GDPR 34. cikke alapján az érintett felhasználókat is értesítjük.
9. Sütik (cookie-k)
A Penzum a következő típusú sütiket alkalmazza:
| Süti neve / típusa | Célja | Jogalap | Lejárat |
|---|---|---|---|
| Munkamenet-sütik (session cookies) | Bejelentkezett állapot fenntartása (Supabase Auth JWT) | Szerződés teljesítése | Böngésző bezárásakor törlődik / max. 7 nap |
| Biztonsági sütik (CSRF-védelem) | Cross-site request forgery elleni védelem | Jogos érdek | Munkamenet végéig |
A Penzum jelenleg nem alkalmaz nyomkövetési vagy marketing célú sütiket, és harmadik fél analitikai szkripteket nem tölt be.
10. Felügyeleti hatósághoz fordulás joga
Ha úgy ítéli meg, hogy személyes adatainak kezelése sérti a GDPR előírásait, jogosult panaszt benyújtani az illetékes felügyeleti hatósághoz:
| Hatóság neve | Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) |
| Cím | Nemzeti Adatvédelmi és Információszabadság Hatóság, 1055 Budapest, Falk Miksa utca 9–11. |
| ugyfelszolgalat@naih.hu | |
| Weboldal | https://naih.hu |
Az adatkezelőhöz benyújtott kérelem megtagadása esetén bírósághoz is fordulhat (Polgári Törvénykönyv és Infotv. alapján).
11. Automatizált döntéshozatal és profilalkotás
A Penzum nem végez automatizált egyedi döntéshozatalt a GDPR 22. cikke értelmében. Az adóbecslések és kalkulációk kizárólag tájékoztató jellegűek, azokhoz jogi vagy jelentős gazdasági hatással járó döntés nem kapcsolódik automatikusan.
12. A tájékoztató módosítása
Az adatkezelő fenntartja a jogot jelen tájékoztató módosítására. Lényeges változás esetén a felhasználókat e-mailben és/vagy a szolgáltatáson belüli értesítéssel tájékoztatjuk a módosítás hatályba lépése előtt legalább 30 nappal. A módosított tájékoztató elfogadása a Szolgáltatás további használatával történik; ha a felhasználó nem fogadja el, jogosult fiókját törölni.
A hatályos tájékoztató mindig elérhető a penzum.app/privacy címen.