Legal // EU 2016/679

GDPR:
The Right to be
Unpaprika'd

Az EU 2016/679 Általános Adatvédelmi Rendelete a mi szótárunkban. Alapelvek, jogalapok, érintetti jogok és egy step-by-step útmutató ahhoz, hogyan törölj ki teljesen az adataink közül.

Rendelet
2016/679
Hatályos
2018-05-25
Hatóság
NAIH (HU)
Válaszidő
≤ 30 nap
info

A GDPR komoly, mi nem. A csab.ai szatirikus projekt, de a rajta érvényes adatvédelem nem az. Ez az oldal a Adatkezelési tájékoztató kiegészítése, amely részletesebben bemutatja a GDPR által biztosított jogaidat és a kérelemnyújtás folyamatát.

01

Mi az a GDPR és miért érint minket

A GDPR (General Data Protection Regulation, magyarul: Általános Adatvédelmi Rendelet) az Európai Parlament és a Tanács 2016/679 rendelete, amely 2018. május 25-én vált közvetlenül alkalmazandóvá minden EU tagállamban. Magyarországon az adatvédelmi törvény (2011. évi CXII. tv. — „Infotv.") egészíti ki.

A GDPR minden olyan szervezetre vonatkozik, amely EU-beli személyek személyes adatait kezeli — függetlenül attól, hogy az adatkezelő hol található. Mi EU-ban működünk, EU-beli látogatókat szolgálunk ki, szóval ránk is érvényes. Nincs olyan, hogy „mi csak szatíra vagyunk, minket nem érint" — a paprika szatirikus, az adatok nem.

02

A 7 alapelv

A GDPR Art. 5 a teljes rendelet gerince. Mi minden alapelvet kötelező böllér-aláírással használunk:

  • 1. Jogszerűség, tisztesség, átláthatóság. Az adatkezelés jogalapját mindig megjelöljük, a gyűjtés tényét és célját nem titkoljuk.
  • 2. Célhoz kötöttség. Csak előre meghatározott, egyértelmű célra gyűjtünk. Ha új cél merül fel, új jogalapot keresünk.
  • 3. Adattakarékosság. Minél kevesebb adat, annál jobb. Nincs „just in case" gyűjtés.
  • 4. Pontosság. Pontatlan adatot igyekszünk helyesbíteni — a vonatkozó érintett jelzése alapján.
  • 5. Korlátozott tárolhatóság. A tárolási időt megszabjuk, és letelte után aggregálunk vagy törlünk.
  • 6. Integritás és bizalmasság. Titkosítás, hozzáférés-szabályozás, minimális harmadik fél.
  • 7. Elszámoltathatóság. Ami itt le van írva, az a valóságnak megfelel. Ha bizonyítékra van szükség, tudunk mutatni jegyzőkönyvet.
03

Jogalapok — Art. 6

A GDPR hat lehetséges jogalapot enged meg, és ezek közül mi az alábbiakat használjuk:

  • (a) Hozzájárulás: pl. Google Analytics cookie-k, newsletter feliratkozás (ha lesz valós). Bármikor visszavonható.
  • (b) Szerződés teljesítése / előkészítő lépések: pl. karrier pályázat elbírálása. Ha valós MaaS előfizetést indítunk, akkor a szolgáltatás teljesítése is ide tartozik majd.
  • (c) Jogi kötelezettség: pl. adóügyi vagy könyvviteli kötelezettségek, ha és amikor üzletszerűvé válik a projekt.
  • (f) Jogos érdek: pl. a weboldal biztonságos üzemeltetése, csalás-megelőzés, visszaélések elleni védelem. Minden alkalommal érdekmérlegelést végzünk, és a Te jogaid elsőbbséget élveznek, ha eléggé nyomósak.

A Ptk. 6(d) „létfontosságú érdek" és 6(e) „közfeladat" jogalapokat nem használjuk — egyikünk sem mentőorvos.

04

Érintetti jogok részletesen

15

Hozzáférés joga

Visszajelzést kérhetsz arról, hogy kezelünk-e rád vonatkozó személyes adatot. Ha igen, másolatot kaphatsz az adatokról, valamint tájékoztatást a kezelés céljáról, jogalapjáról, tárolási időről és címzettekről.

16

Helyesbítés joga

Ha pontatlan adatot tárolunk rólad, jogod van kérni a helyesbítését. Hiányos adat esetén kiegészítheted.

17

Törléshez való jog („elfeledtetés")

Bizonyos esetekben — pl. ha az adat már nem szükséges a gyűjtés céljához, vagy ha visszavonod a hozzájárulást — kérheted adataid végleges törlését. A technikai log adatokat általában a Firebase standard retention alatt nem tudjuk pontcéllal törölni, de a megőrzési idő letelte után automatikusan megszűnnek.

18

Adatkezelés korlátozása

Kérheted, hogy az adataidat átmenetileg csak tároljuk, de ne használjuk — pl. amíg egy pontosság körüli vita tisztázódik.

20

Adathordozhatóság

A hozzájárulással vagy szerződés alapján kezelt adatokat kérheted tagolt, géppel olvasható formátumban (pl. JSON, CSV). Ha egy másik szolgáltatóhoz átviteled, a megkeresésre továbbíthatjuk közvetlenül — ha technikailag megoldható.

21

Tiltakozáshoz való jog

A jogos érdeken alapuló adatkezelés ellen bármikor tiltakozhatsz, a konkrét helyzetedre hivatkozva. Közvetlen üzletszerzés céljából történő adatkezelés ellen tiltakozás esetén azonnal megszüntetjük a kapcsolódó feldolgozást.

22

Automatizált döntéshozatal

Automatizált profilalkotást és rád nézve joghatással járó automata döntést nem végzünk. Ha mégis megkezdenénk, a Te jogod emberi felülvizsgálatot kérni — és mi tiszteletben tartjuk.

7(3)

Hozzájárulás visszavonása

Bármely, korábban adott hozzájárulás ugyanolyan egyszerűen visszavonható, ahogy megadtad. A visszavonás a jövőre nézve szünteti meg az adatkezelést.

05

Hogyan nyújtsz be kérelmet

A legfontosabb rész — ezt szoktuk az „Íz-Generátor" mellé tenni a GDPR-műszerfalunkra:

01

E-mail

Küldj e-mailt a privacy@csab.ai címre. A tárgymező legyen „GDPR kérelem — [joga]".

02

Azonosítás

Kérjük a korábban használt e-mail címet, hogy beazonosíthassunk. Személyi igazolványt nem kérünk.

03

Visszaigazolás

72 órán belül visszaigazoljuk a kérelem érkezését, és jelezzük a várható válaszadási időt.

04

Feldolgozás

Legkésőbb 30 napon belül érdemi választ adunk. Összetett esetben további 60 nappal meghosszabbítható — erről előre értesítünk.

05

Végrehajtás

Ha a kérelem jogos, végrehajtjuk. Ha elutasítjuk, indokoljuk és felhívjuk a figyelmed a NAIH-hoz fordulás lehetőségére.

Díjak: a kérelem feldolgozása ingyenes. Kivételt képeznek a nyilvánvalóan megalapozatlan vagy túlzó kérelmek (pl. ugyanaz a kérés hetente háromszor), amelyek esetén ésszerű díjat kérhetünk, vagy megtagadhatjuk a teljesítést.

06

Adatvédelmi incidens-protokoll

Ha adatvédelmi incidens történik (jogosulatlan hozzáférés, adatvesztés, vagy hasonló „paprika-leak alert"), az alábbi lépéseket tesszük:

  • T + 0 óra: belső riasztás, hatáskör kijelölése, konténer-izoláció. A kvantitatív hatás felmérése.
  • T + 24 óra: írásos belső incidens-jegyzőkönyv készül, benne az érintett adatok köre, számossága és a valószínű következmények.
  • T + 72 óra: a GDPR Art. 33 szerint bejelentés a NAIH felé, ha az incidens várhatóan kockázattal jár az érintettekre nézve.
  • Magas kockázat esetén: közvetlen értesítés az érintettek felé a GDPR Art. 34 szerint — egyszerű, közérthető nyelven, nem a „hajdúsági kolbászkernel" szótárral.
  • Utólagos lépések: jegyzőkönyv 5 évig megőrzése, kiváltó ok elemzése, technikai / szervezési javítás.
07

Adattovábbítás harmadik országba

A Google LLC (Firebase / Analytics / Fonts) és a Cloudflare Inc. az Egyesült Államokban is működik. A GDPR Chapter V szabályai szerint az adattovábbítás jogalapja a következő:

  • EU-US Data Privacy Framework: a Google és a Cloudflare is bejegyzett résztvevő, amely a 2023-as EU-US adatvédelmi keretrendszer alapján garantálja a megfelelő szintű védelmet.
  • Standard Contractual Clauses (SCC): másodlagos jogalapként, a 2021/914 Bizottsági határozat alapján.
  • További garanciák: titkosított szállítás (TLS), adat-minimalizálás, rövid retenciós idők.

Ha egy ilyen adattovábbítás konkrétumairól részletes információt kérsz, írj a privacy@csab.ai címre — a konkrét feldolgozóhoz tartozó dokumentumot (SCC, DPA) az azonosítást követően átadjuk.

08

DPO és ROPA

8.1. Adatvédelmi tisztviselő (DPO). A GDPR Art. 37 nem teszi kötelezővé számunkra DPO kinevezését (nem vagyunk közhatóság, és a tevékenységünk nem igényel nagyságrendi rendszeres megfigyelést), de adatvédelmi kérdésekben a privacy@csab.ai címen elérhető kontaktszemélyt biztosítunk. Ő a Head of People (Varga Márta) és a Co-Founder / CTO (Dr. Tóth Eszter) közösen, szükség szerint.

8.2. Adatkezelési tevékenységek nyilvántartása (ROPA — Art. 30). A szükséges nyilvántartást belsőleg vezetjük, és a NAIH kérésére haladéktalanul bemutatjuk. A publikus kivonat az Adatkezelési tájékoztató 4. szakaszában olvasható.

8.3. Adatvédelmi hatásvizsgálat (DPIA — Art. 35). A jelenlegi adatkezelés alacsony kockázatú, nem igényel formális DPIA-t. Ha a projekt kereskedelmi termékké alakul, és ez magában hordoz magas kockázatú adatkezelést (pl. automatizált döntéshozatal, nagy mennyiségű különleges adat), akkor DPIA-t készítünk a szolgáltatás elindítása előtt.

09

Hatósági kapcsolat (NAIH)

Ha a válaszunk nem elégít ki, vagy úgy érzed, hogy az adatkezelés jogellenes, panaszt tehetsz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál:

account_balance
Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 1 391 1400
E-mail: ugyfelszolgalat@naih.hu

A GDPR Art. 79 alapján emellett bírósági jogorvoslati jogod van: a lakóhelyed szerinti törvényszék előtt pert indíthatsz a Szolgáltatóval szemben, és kártérítést is követelhetsz, ha az adatvédelmi incidens anyagi vagy nem anyagi kárt okozott.

Készült: Békéscsaba, 2026. március 21. — A GDPR-t a böllér is komolyan veszi.

Érintetti jogot gyakorolnál?

Írj a dedikált adatvédelmi címre, és 72 órán belül visszaigazoljuk a kérésed.

privacy@csab.ai Adatkezelési tájékoztató