Privacybeleid
Laatst bijgewerkt: 2026.04.08.
1. Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is Magenta Team Korlátolt Felelősségű Társaság (vestigingsadres: Petőfi Sándor utca 12/1., 2085 Pilisvörösvár, Hongarije; handelsregisternummer: 13-09-226488; fiscaal nummer: 26142366-2-13; vertegenwoordigd door: Adrian Olajos, Directeur; e-mail: legal@bellora.net). De Verwerkingsverantwoordelijke heeft geen Functionaris voor Gegevensbescherming (FG) aangesteld, aangezien zijn activiteiten niet onder de verplichte aanstellingsgevallen vallen krachtens GDPR 37. Voor vragen over gegevensbescherming is de Verwerkingsverantwoordelijke bereikbaar via legal@bellora.net.
2. Omvang van verwerkte gegevens
Tijdens het gebruik van de Dienst verwerken wij de volgende gegevens:
- Persoonsgegevens: naam, e-mailadres, telefoonnummer, profielfoto
- Salongegevens: salonnaam, adres, openingstijden, foto's, beschrijving
- Boekingsgegevens: afspraken, diensten, medewerkers, annuleringsgegevens
- Betalingsgegevens: Stripe-transactie-identificatienummers, betalingsbedragen, valuta (wij slaan geen creditcardgegevens op)
- Communicatiegegevens: e-mail- en sms-meldingen, pushmeldingen, meldingsvoorkeuren
- Technische gegevens: IP-adres, browsertype, apparaatinformatie, cookie-identificatoren
- Gegevens van intakeformulieren: antwoorden op door het salon geconfigureerde vragenlijsten (die gezondheidsgerelateerde gegevens kunnen bevatten)
3. Doel en rechtsgrondslag van de gegevensverwerking
Voor elk verwerkingsdoel gelden de volgende rechtsgrondslagen:
- Accountbeheer en authenticatie: uitvoering van de overeenkomst (GDPR Art. 6(1)(b)) -- naam, e-mail, wachtwoord-hash, profielfoto
- Beheer van afspraakboekingen: uitvoering van de overeenkomst (GDPR Art. 6(1)(b)) -- boekingsgegevens, dienst, tijdstip, medewerker
- Betalingsverwerking (Stripe): uitvoering van de overeenkomst (GDPR Art. 6(1)(b)) -- transactie-ID, bedrag, valuta
- Verzenden van meldingen (e-mail, sms, push): gerechtvaardigd belang (GDPR Art. 6(1)(f)) voor transactionele meldingen; toestemming (GDPR Art. 6(1)(a)) voor marketingmeldingen
- Facturering en boekhouding: wettelijke verplichting (GDPR Art. 6(1)(c)) -- factureringsgegevens, transacties
- Foutopsporing en systeembeveiliging (Sentry): gerechtvaardigd belang (GDPR Art. 6(1)(f)) -- technische gegevens, IP-adres, foutrapporten
- Cookies (analytisch): toestemming (GDPR Art. 6(1)(a)) -- cookie-identificatoren, gebruiksstatistieken
- Gegevens van intakeformulieren: toestemming (GDPR Art. 6(1)(a)); voor gezondheidsgegevens, uitdrukkelijke toestemming (GDPR Art. 9(2)(a))
4. Bewaartermijnen van gegevens
Voor elk type gegevens gelden de volgende bewaartermijnen:
- Accountgegevens (profiel, instellingen): bewaard tot verwijdering van het account, daarna permanent verwijderd binnen 30 dagen na het verwijderingsverzoek
- Boekingsgegevens: 2 jaar vanaf de boekingsdatum (voor fiscale en boekhoudkundige doeleinden), daarna geanonimiseerd
- Betalingstransacties: 8 jaar (in overeenstemming met de Hongaarse Wet op de Boekhouding (Wet C van 2000))
- SMS-transactielogboeken: 1 jaar
- Auditlogboeken: 90 dagen
- Sentry-foutgegevens: 90 dagen
- Cookietoestemming: 1 jaar
- Wijzigingen in meldingsvoorkeuren (auditlogboek toestemming): 3 jaar
5. Subverwerkers
Wij maken gebruik van de volgende subverwerkers voor de werking van de Dienst:
- Stripe (Stripe, Inc., San Francisco, USA) -- betalingsverwerking, beheer van transactiegegevens
- Twilio (Twilio Inc., San Francisco, USA) -- bezorging van sms-meldingen, verwerking van telefoonnummers
- Resend (Resend, Inc., San Francisco, USA) -- bezorging van e-mailmeldingen, verwerking van e-mailadressen
- Hetzner (Hetzner Online GmbH, Gunzenhausen, Duitsland) -- serverinfrastructuur, opslag van alle platformgegevens (Helsinki, EU)
- Cloudflare (Cloudflare, Inc., San Francisco, USA) -- DNS-beheer, CDN, verwerking van IP-adressen
- Sentry (Functional Software, Inc., San Francisco, USA) -- foutopsporing, verwerking van technische gegevens
- Szamlazz.hu (KBOSS.hu Kft., Budapest, Hongarije) -- facturering, verwerking van factureringsgegevens
6. Internationale gegevensoverdrachten
Sommige van onze subverwerkers (Stripe, Twilio, Resend, Sentry, Cloudflare) verwerken gegevens in de Verenigde Staten. Deze aanbieders zijn gecertificeerd onder het EU-US Data Privacy Framework (DPF), dat een adequaat beschermingsniveau van persoonsgegevens waarborgt op basis van het adequaatheidsbesluit van de Europese Commissie. Wanneer het EU-US DPF niet van toepassing is, dienen Standard Contractual Clauses (SCCs) als rechtsgrondslag voor de overdracht. Hetzner en Szamlazz.hu verwerken gegevens uitsluitend binnen de Europese Unie.
7. Rechten van betrokkenen
Op grond van de GDPR heeft u de volgende rechten: recht van inzage (u kunt een kopie van uw gegevens opvragen); recht op rectificatie (correctie van onjuiste gegevens); recht op wissing (u kunt verwijdering van uw gegevens verzoeken); recht op beperking van de verwerking; recht op gegevensoverdraagbaarheid (u kunt uw gegevens in een machineleesbaar formaat opvragen); recht van bezwaar (tegen verwerking op basis van gerechtvaardigd belang). Bij verwerking op basis van toestemming kan de toestemming te allen tijde worden ingetrokken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking voor de intrekking. Om uw rechten uit te oefenen kunt u contact met ons opnemen via legal@bellora.net. De Dienst maakt geen gebruik van geautomatiseerde besluitvorming of profilering.
8. Gegevensbeveiliging
Wij waarborgen de gegevensbeveiliging door middel van technische en organisatorische maatregelen. Gegevens worden via versleutelde kanalen verzonden en op beveiligde servers opgeslagen. De betalingsverwerking wordt uitgevoerd door Stripe, een PCI DSS Level 1 gecertificeerde betalingsdienstverlener -- de hoogste beveiligingsstandaard in de betalingsindustrie. Bellora slaat geen creditcardgegevens op, verwerkt deze niet en verzendt deze niet. Kaartgegevens worden rechtstreeks verwerkt door de versleutelde systemen van Stripe.
9. Toezichthoudende autoriteit
Als u van mening bent dat de verwerking van uw persoonsgegevens in strijd is met de bepalingen van de GDPR, heeft u het recht om een klacht in te dienen bij de toezichthoudende autoriteit. In Hongarije is de bevoegde toezichthoudende autoriteit: Nemzeti Adatvedelmi es Informacioszabadsag Hatosag (NAIH), adres: 1055 Budapest, Falk Miksa utca 9-11., e-mail: ugyfelszolgalat@naih.hu, telefoon: +36 1 391 1400, website: www.naih.hu.