VIIIJogi dokumentum

Adatvédelmi
tájékoztató.

Tájékoztató a Milan Barbershop által kezelt személyes adatokról, az érintetti jogokról és az adatbiztonságról.

Hatályos: 2026. május 6. · Utoljára frissítve: 2026. május 6.

1. Bevezető és az adatkezelő adatai

A Milan Barbershop (a továbbiakban: Adatkezelő) elkötelezett ügyfelei és látogatói személyes adatainak védelme iránt. Jelen tájékoztató célja, hogy átlátható és közérthető formában ismertesse, milyen személyes adatokat gyűjtünk, azokat milyen célból és jogalapon kezeljük, meddig őrizzük meg, valamint milyen jogok illetik meg az érintetteket.

Adatkezelő neve: Antal Milán Márk e.v. Adatkezelő székhelye: 6060 Tiszakécske, Dózsa telep 59. Adatkezelő e-mail-címe: milanbarbershop5@gmail.com Adatkezelő telefonszáma: +36 30 328 0521 Weboldal: milanbarbershop.hu

Az adatkezelés az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) előírásaival összhangban történik.

2. Kezelt személyes adatok köre

Az Adatkezelő az alábbi személyes adatokat kezeli a nyújtott szolgáltatásoktól függően:

Regisztráció és fiókkezelés esetén: teljes név, e-mail-cím, telefonszám, titkosított jelszó (bcrypt, 12 kör), születési dátum (opcionális — hűségprogram és születésnapi kupon céljaira), a regisztráció dátuma és időpontja, egyedi ajánlókód.

Időpontfoglalás esetén: foglalt szolgáltatás típusa és díja, választott borbély neve, a foglalás kezdési és befejezési időpontja, foglalás állapota (visszaigazolt / lemondva / teljesítve / nem jelent meg), elvégzett foglalások darabszáma és legutóbbi foglalás időpontja (hűségprogram és visszatérési kupon céljára), átütemezési kísérletek számlálója. Vendégfoglalás esetén: a vendég neve, e-mail-címe és telefonszáma.

Ismétlődő (rendszeres) foglalások esetén: a rendszeres foglalás heti napja, időpontja, gyakorisága (heti / kétheti), a kapcsolódó borbély és szolgáltatás azonosítója, opcionális megjegyzés.

Értékelések esetén: teljes név, e-mail-cím, telefonszám, csillagos értékelés (1–5), szöveges vélemény (opcionális).

Ajánlóprogram esetén: az ajánló regisztrált felhasználó azonosítója és ajánlókódja, az újonnan regisztráló felhasználó adatai, az ajánlásból keletkező kedvezménykupon adatai, az ajánlás státusza és a kvalifikáló foglalás időpontja.

Kuponok és hűségadatok esetén: a kupon kódja, kedvezmény mértéke, lejárati dátuma, kiadásának és beváltásának időpontja, a kiváltó esemény típusa (hűségmérföldkő / születésnap / visszatérési ösztönző / ajánlás).

Push-értesítések esetén: a böngésző által generált WebPush-végpont URL, p256dh nyilvános kulcs, auth titkosítási kulcs (kizárólag az értesítések kézbesítéséhez szükséges technikai azonosítók).

Technikai adatok: IP-cím, böngésző típusa, operációs rendszer, munkamenet-azonosító, látogatás időpontja.

3. Az adatkezelés célja és jogalapja

Szerződés teljesítése (GDPR 6. cikk (1) b)): Időpontfoglalás lebonyolítása; visszaigazoló, emlékeztető és lemondási értesítő e-mailek küldése; ügyfélfiók kezelése; foglalási előzmények nyilvántartása; ismétlődő foglalások automatikus materializálása; egyszeri, időkorlátozott vendéglemondási token létrehozása és ellenőrzése.

Jogos érdek (GDPR 6. cikk (1) f)): Visszaélések megelőzése (tiltólista, rátakorlát, bot-szűrés); az informatikai rendszerek biztonsága; ismételt meg nem jelenések kezelése; a szalon üzleti érdekeinek védelme; aggregált statisztikák készítése.

Hozzájárulás (GDPR 6. cikk (1) a)): Hírek, akciók, nyereményjátékok e-mailben való megküldése, ha az érintett ehhez kifejezetten hozzájárult; push-értesítések küldése kifejezett böngészőengedély alapján. A hozzájárulás bármikor visszavonható.

Jogos érdek (GDPR 6. cikk (1) f)) — hűség- és ajánlóprogram: Elvégzett foglalások számlálása; mérföldkőalapú, születésnapi és visszatérési ösztönző kuponok automatikus kiállítása; ajánlóprogram keretén belüli jutalmazás; értékelés kérése az elvégzett foglalás után.

Jogi kötelezettség teljesítése (GDPR 6. cikk (1) c)): Számviteli és adójogi jogszabályokból eredő megőrzési kötelezettségek teljesítése.

4. Automatizált adatfeldolgozás

A rendszer az alábbi automatizált (emberi beavatkozás nélküli) folyamatokat futtatja naponta:

Emlékeztető e-mailek: a visszaigazolt, következő 23–25 órákon belül kezdődő foglalásokhoz automatikusan emlékeztető e-mail kerül kiküldésre, amennyiben az még nem történt meg.

Értékelés-kérő e-mailek: az elvégzett foglalás után 2–3 órával a rendszer automatikusan értékelési kérelmet küld az ügyfél e-mail-címére, amennyiben az még nem történt meg.

Visszatérési ösztönző kupon (RETENTION): amennyiben egy ügyfél utolsó elvégzett foglalása 44–46 napja volt, a rendszer automatikusan 20%-os kedvezménykupont állít ki és küld e-mailben.

Születésnapi kupon (BIRTHDAY): amennyiben a Felhasználó megadta születési dátumát, a születésnapján a rendszer automatikusan 20%-os kedvezménykupont állít ki és küld e-mailben.

Ismétlődő foglalások anyagosítása: a beállított rendszeres foglalási sablonok alapján a rendszer naponta legfeljebb 7 napra előre automatikusan létrehozza a foglalásokat és elküldi a visszaigazoló e-mailt.

Az automatizált folyamatok során emberi döntés nem születik, profilalkotásra (GDPR 22. cikk) nem kerül sor — a kiváltók kizárólag előre meghatározott időbeli és számbeli feltételeken alapulnak.

5. Adatmegőrzési idők

Az Adatkezelő a személyes adatokat kizárólag az adatkezelési cél eléréséhez szükséges ideig tárolja.

Ügyfélfiók adatai: a fiók aktív fennállása alatt; törlési kérelem esetén a kérelem beérkezésétől számított 30 napon belül. Foglalási adatok: a foglalás teljesítésétől számított 5 évig (számviteli megőrzési kötelezettség). Ismétlődő foglalási sablonok: a sablon deaktiválásáig, majd 90 napon belül törlésre kerülnek. Értékelések: az értékelés leadásától számított 3 évig, vagy amíg az érintett törlést nem kér. Push-feliratkozások: a hozzájárulás visszavonásáig, de legfeljebb 12 hónapig inaktivitás esetén; lejárt végpontok automatikusan törlődnek. Ajánlóprogram- és kuponadatok: az esemény lezárulásától számított 3 évig. Marketing hozzájárulás alapján kezelt adatok: a hozzájárulás visszavonásáig. Technikai naplók: legfeljebb 90 napig. Jelszó-visszaállítási tokenek: 1 óra lejárat; 7 napon belül automatikusan törlődnek. Vendéglemondási tokenek: 60 perces lejárat; felhasználás vagy lejárat után automatikusan törlődnek.

6. Adattovábbítás és adatfeldolgozók

Az Adatkezelő harmadik fél részére személyes adatot kizárólag az érintett hozzájárulásával vagy jogszabályi kötelezettség alapján továbbít. Az Adatkezelő az alábbi adatfeldolgozókat veszi igénybe:

Contabo GmbH (VPS tárhelyszolgáltató, EU — Németország, München): a weboldal, az adatbázis és az e-mail-szerver futtatásához. A szerver és az adatok kizárólag az EU-n belül, a Contabo európai adatközpontjában kerülnek tárolásra és feldolgozásra. Átadott adatok: minden, az alkalmazás által kezelt személyes adat.

Coolify (nyílt forráskódú, önállóan üzemeltetett alkalmazás-orkestrációs platform): a Contabo VPS-en fut; kizárólag az alkalmazás telepítésének és frissítésének kezelésére szolgál. Személyes adatokhoz nem fér hozzá.

Poste.io (önállóan üzemeltetett SMTP-levelező szerver): szintén a Contabo VPS-en fut; visszaigazoló, emlékeztető, lemondási értesítő, értékelés-kérő, üdvözlő, kedvezménykupon és jelszó-visszaállítási levelek kézbesítéséhez. Az e-mailek kizárólag az Adatkezelő saját szerverén átmennek. Átadott adatok: a levél címzettjének neve és e-mail-címe, az e-mail tartalma.

Cloudflare, Inc. (Turnstile CAPTCHA, USA — Standard Contractual Clauses alapján): a nyilvános foglalási és értékelési formokon bot-szűrés céljából. A Turnstile widget végrehajtásakor az IP-cím és böngészőjellemzők kerülnek a Cloudflare-hez, de a token ellenőrzési kérelmen kívül személyes adatot az Adatkezelő nem küld a Cloudflare-nek.

Böngészőgyártók WebPush-szolgáltatása (Google LLC / Mozilla Foundation — a böngészőtől függően): push-értesítések kézbesítéséhez. Az értesítési tartalom végpontok közötti titkosítással kerül átadásra.

7. Sütik (cookie-k) kezelése

A weboldal az alábbi sütiket alkalmazza:

Munkamenet-süti (session cookie): a bejelentkezési állapot fenntartásához szükséges HttpOnly és Secure jelzővel ellátott sütik. A böngésző bezárásakor vagy a munkamenet lejártakor automatikusan törlődnek. Jogalap: szerződés teljesítése.

CSRF-védő sütik: a cross-site request forgery típusú biztonsági támadások megelőzésére. Jogalap: jogos érdek.

Portálnézet-preferencia süti (portal-view-mode): az adminisztrációs felületen a kiválasztott nézetmódot tárolja. Jogalap: jogos érdek.

A weboldal NEM használ nyomkövető, hirdetési vagy harmadik feles analitikai sütiket. Az érintett a böngésző beállításaiban letilthatja a sütiket, ez azonban a bejelentkezési funkciót megakadályozhatja.

8. Push-értesítések

A Milan Barbershop adminisztrációs felülete böngészőalapú push-értesítéseket biztosít a regisztrált borbélyok és adminisztrátorok számára (pl. új foglalás érkezett, foglalás lemondásra került). A push-értesítések kizárólag a felhasználó kifejezett böngészőengedélye alapján kerülnek küldésre.

Jogalap: hozzájárulás (GDPR 6. cikk (1) a)). A hozzájárulás a böngésző értesítési beállításaiban bármikor visszavonható.

A push-feliratkozási adatokat (WebPush-végpont, p256dh és auth kulcsok) az Adatkezelő kizárólag a kézbesítéshez szükséges ideig tárolja, legfeljebb 12 hónapig inaktivitás esetén. Lejárt vagy érvénytelen végpontok automatikusan törlődnek.

9. Az érintett jogai

A GDPR és az Info tv. alapján az érintett az alábbi jogokkal rendelkezik. Kérelmét a milanbarbershop5@gmail.com e-mail-címre vagy a +36 30 328 0521 telefonszámra küldheti; az Adatkezelő 30 napon belül válaszol.

Hozzáférés joga (GDPR 15. cikk): tájékoztatást és másolatot kérhet a kezelt adatairól.

Helyesbítés joga (GDPR 16. cikk): kérheti a pontatlan vagy hiányos adatok helyesbítését. Regisztrált felhasználók adataik egy részét a Profil oldalon közvetlenül is módosíthatják.

Törlés joga (GDPR 17. cikk): kérheti adatai törlését, ha az adatkezelés már nem szükséges, a hozzájárulást visszavonta, vagy az adatkezelés jogellenes. A törlés nem érinti a jogszabályi megőrzési kötelezettség alá eső adatokat (pl. foglalási számviteli adatok).

Adatkezelés korlátozásának joga (GDPR 18. cikk): kérheti az adatkezelés korlátozását (pl. az adatok pontosságát vitatja).

Adathordozhatóság joga (GDPR 20. cikk): a rá vonatkozó, általa megadott adatokat géppel olvasható formátumban (JSON) megkaphatja.

Tiltakozás joga (GDPR 21. cikk): tiltakozhat a jogos érdeken alapuló adatkezelés ellen.

Hozzájárulás visszavonása: push-értesítések esetén a böngésző beállításaiban bármikor visszavonható; marketing e-mailek esetén az e-mailben lévő leiratkozási linkre kattintva.

10. Jogorvoslat

Az érintett jogsértés esetén panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH):

Nemzeti Adatvédelmi és Információszabadság Hatóság Székhely: 1055 Budapest, Falk Miksa utca 9–11. Postacím: 1363 Budapest, Pf. 9. Weboldal: naih.hu E-mail: ugyfelszolgalat@naih.hu Telefon: +36 1 391 1400

Az érintett bírósági jogorvoslattal is élhet a lakóhelye vagy tartózkodási helye, illetve az Adatkezelő székhelye szerint illetékes törvényszéken.

11. Adatbiztonság

Az Adatkezelő az alábbi technikai és szervezési intézkedéseket alkalmazza a személyes adatok védelme érdekében:

Titkosított HTTPS-kapcsolat (TLS 1.2+) a weboldalon és valamennyi API-végponton. Bcrypt (12 kör) jelszókivonat — nyers szöveges jelszó soha nem kerül adatbázisba. Rátakorlát (rate limiting) a foglalási és bejelentkezési végpontokon brute-force és DoS-támadások ellen. Cloudflare Turnstile CAPTCHA a nyilvános foglalási és értékelési formokon bot-szűrés céljából. Szerepköralapú hozzáférés-szabályozás (RBAC): borbélyok kizárólag a saját adataikhoz és naptárukhoz férhetnek hozzá. Az adatbázis és az e-mail-szerver kizárólag az EU-n belüli, Contabo által üzemeltetett szerveren tárolódik; a szerverre kívülről csak VPN/SSH kulcsalapú hitelesítéssel lehet hozzáférni. HTTP biztonsági fejlécek: Content-Security-Policy (nonce-alapú), X-Frame-Options: DENY, X-Content-Type-Options, Permissions-Policy, Strict-Transport-Security.

12. A tájékoztató módosítása

Az Adatkezelő fenntartja a jogot jelen tájékoztató módosítására. A lényeges módosításokról az érintetteket legkésőbb a változás hatályba lépése előtt 15 nappal e-mailben vagy a weboldalon közzétett értesítővel tájékoztatja.

Jelen tájékoztató hatályba lépése: 2026. május 6.