Adatvédelmi nyilatkozat
Utolsó frissítés: 2026.04.08.
1. Adatkezelő
Az adatkezelő a Magenta Team Korlátolt Felelősségű Társaság (székhely: Petőfi Sándor utca 12/1., 2085 Pilisvörösvár, Magyarország; cégjegyzékszám: 13-09-226488; adószám: 26142366-2-13; képviselő: Olajos Adrián ügyvezető; email: legal@bellora.net). Az Adatkezelő nem alkalmaz adatvédelmi tisztviselőt (DPO), mivel a tevékenysége nem tartozik a GDPR 37. cikkében foglalt kötelező kijelölési esetkörbe. Adatvédelmi kérdésekkel az Adatkezelő a legal@bellora.net email címen kereshető.
2. Kezelt adatok köre
A Szolgáltatás használata során az alábbi adatokat kezeljük:
- Személyes adatok: név, email cím, telefonszám, profilkép
- Szalon adatok: szalon neve, címe, nyitvatartása, fotók, leírás
- Foglalási adatok: időpontok, szolgáltatások, szakemberek, lemondási adatok
- Fizetési adatok: Stripe tranzakció azonosítók, fizetési összeg, pénznem (bankkártya adatokat nem tárolunk)
- Kommunikációs adatok: email- és SMS-értesítések, push értesítések, értesítési preferenciák
- Technikai adatok: IP cím, böngésző típusa, eszköz információk, cookie azonosítók
- Intake form adatok: szalon által konfigurált kérdőív válaszok (amelyek egészségügyi adatokat is tartalmazhatnak)
3. Adatkezelés célja és jogalapja
Az egyes adatkezelési célokhoz a következő jogalapok tartoznak:
- Fiókkezelés és hitelesítés: szerződés teljesítése (GDPR 6. cikk (1)(b)) — név, email, jelszó hash, profilkép
- Időpontfoglalás kezelése: szerződés teljesítése (GDPR 6. cikk (1)(b)) — foglalási adatok, szolgáltatás, időpont, szakember
- Fizetéskezelés (Stripe): szerződés teljesítése (GDPR 6. cikk (1)(b)) — tranzakció azonosító, összeg, pénznem
- Értesítések küldése (email, SMS, push): jogos érdek (GDPR 6. cikk (1)(f)) tranzakciós értesítéseknél; hozzájárulás (GDPR 6. cikk (1)(a)) marketing értesítéseknél
- Számlázás és könyvelés: jogi kötelezettség (GDPR 6. cikk (1)(c)) — számlázási adatok, tranzakciók
- Hibakövetés és rendszerbiztonság (Sentry): jogos érdek (GDPR 6. cikk (1)(f)) — technikai adatok, IP cím, hibajelentések
- Cookie-k (analitika): hozzájárulás (GDPR 6. cikk (1)(a)) — cookie azonosítók, használati statisztikák
- Intake form adatok: hozzájárulás (GDPR 6. cikk (1)(a)); egészségügyi adatok esetén kifejezett hozzájárulás (GDPR 9. cikk (2)(a))
4. Adatmegőrzés időtartama
Az egyes adattípusokra az alábbi megőrzési időszakok vonatkoznak:
- Fiókadatok (profil, beállítások): a fiók törléséig, majd a törlési kérelmet követő 30 napon belül véglegesen törlésre kerülnek
- Foglalási adatok: 2 évig a foglalás időpontjától számítva (adó- és könyvelési célokból), ezt követően anonimizálásra kerülnek
- Fizetési tranzakciók: 8 évig (a magyar számviteli törvény (2000. évi C. törvény) előírásainak megfelelően)
- SMS tranzakciós logok: 1 évig
- Audit logok: 90 napig
- Sentry hibaadatok: 90 napig
- Cookie hozzájárulás: 1 évig
- Értesítési preferencia változások (consent audit log): 3 évig
5. Adatfeldolgozók (sub-processorok)
A Szolgáltatás működéséhez az alábbi adatfeldolgozókat vesszük igénybe:
- Stripe (Stripe, Inc., San Francisco, USA) — fizetések feldolgozása, tranzakciós adatok kezelése
- Twilio (Twilio Inc., San Francisco, USA) — SMS értesítések küldése, telefonszámok kezelése
- Resend (Resend, Inc., San Francisco, USA) — email értesítések küldése, email címek kezelése
- Hetzner (Hetzner Online GmbH, Gunzenhausen, Németország) — szerver infrastruktúra, az összes platform adat tárolása (Helsinki, EU)
- Cloudflare (Cloudflare, Inc., San Francisco, USA) — DNS kezelés, CDN, IP címek kezelése
- Sentry (Functional Software, Inc., San Francisco, USA) — hibakövetés, technikai adatok feldolgozása
- Szamlazz.hu (KBOSS.hu Kft., Budapest, Magyarország) — számlázás, számlázási adatok kezelése
6. Nemzetközi adattovábbítás
Egyes adatfeldolgozóink (Stripe, Twilio, Resend, Sentry, Cloudflare) az Amerikai Egyesült Államokban dolgoznak fel adatokat. Ezen szolgáltatók az EU-US Data Privacy Framework (DPF) tanúsítvánnyal rendelkeznek, amely az Európai Bizottság megfelelőségi határozata alapján biztosítja a személyes adatok megfelelő védelmét. Amennyiben az EU-US DPF nem alkalmazható, a Standard Contractual Clauses (SCCs) szolgál a transzfer jogalapjául. A Hetzner és Szamlazz.hu kizárólag az Európai Unión belül dolgoz fel adatokat.
7. Az érintett jogai
A GDPR alapján Ön a következő jogokkal rendelkezik: hozzáférés joga (adatairól másolatot kérhet); helyesbítés joga (pontatlan adatok javítása); törlés joga (adatai törlését kérheti); adatkezelés korlátozásának joga; adathordozhatóság joga (adatait géppel olvasható formátumban kérheti); tiltakozás joga (jogos érdeken alapuló adatkezelés ellen). A hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármikor visszavonható, ami nem érinti a visszavonás előtti adatkezelés jogszerűségét. Jogai gyakorlásához forduljon hozzánk a legal@bellora.net email címen. A Szolgáltatás nem alkalmaz automatizált döntéshozatalt vagy profilalkotást.
8. Adatbiztonság
Az adatok biztonságát technikai és szervezési intézkedésekkel biztosítjuk. Az adatok titkosított csatornán keresztül kerülnek továbbításra, és biztonságos szervereken tároljuk őket. A fizetések feldolgozását a Stripe végzi, amely PCI DSS Level 1 tanúsítvánnyal rendelkező fizetési szolgáltató — ez a fizetési ipar legmagasabb biztonsági szintje. A Bellora nem tárol, nem dolgoz fel és nem továbbít bankkártya adatokat. A kártyaadatokat közvetlenül a Stripe titkosított rendszere kezeli.
9. Felügyeleti hatóság
Amennyiben úgy ítéli meg, hogy személyes adatainak kezelése sérti a GDPR rendelkezéseit, jogában áll panaszt tenni a felügyeleti hatóságnál. Magyarországon az illetékes felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), cím: 1055 Budapest, Falk Miksa utca 9-11., email: ugyfelszolgalat@naih.hu, telefon: +36 1 391 1400, weboldal: www.naih.hu.