Adatkezelési tájékoztató
Hatályos: 2026. június 21.
1. Az adatkezelő
Mészáros János egyéni vállalkozó, az operex.eu és az OPEREX alkalmazás üzemeltetője (a továbbiakban: Adatkezelő).
Kapcsolat: marketing@operex.eu
Az Adatkezelő adatkezelőként (controller) jár el a saját Előfizetői (az OPEREX-et megrendelő vállalkozások és felhasználóik) adatai vonatkozásában, és adatfeldolgozóként (processor) az Előfizető által a rendszerbe vitt üzemeltetési adatok — köztük az Előfizető munkavállalóinak a műszaknaplóban, eseménynaplóban és feladatokban megjelenő személyes adatai — vonatkozásában. Az adatfeldolgozói viszony részletes szabályait az Adatfeldolgozási Megállapodás (DPA) tartalmazza.
2. Kezelt személyes adatok
Előfizetői (account) adatok — az Adatkezelő mint controller
- Kapcsolattartó neve, e-mail címe, telefonszáma
- A vállalkozás neve, címe, adószáma (számlázáshoz)
- Felhasználói fiók adatai: e-mail, jelszó-hash, szerepkör, belépési naplók
Üzemeltetési adatok — az Adatkezelő mint adatfeldolgozó (az Előfizető a controller)
- Az Előfizető munkavállalóinak azonosítói: név, beosztás/szerepkör, fiók-azonosító
- Műszaknapló- és eseménynapló-bejegyzések, valamint azok szerzősége (ki, mit, mikor rögzített)
- Vezetői utasítások visszaigazolása, feladat-státuszok és indoklások
- Append-only audit-nyom (módosíthatatlan napló minden bejegyzésről és állapotváltásról)
Különleges adatok: egy incidens- vagy near-miss-bejegyzés kivételesen egészségügyi vonatkozású adatot is tartalmazhat (pl. sérülés leírása). Ezek céljáról és jogalapjáról az Előfizető mint adatkezelő dönt; az OPEREX kizárólag az Előfizető utasítása szerint, technikai szolgáltatóként tárolja azokat.
Technikai adatok
- IP-cím és munkamenet-adatok (biztonság, hibaelhárítás)
- A kapcsolati űrlapon önként megadott adatok (név, e-mail, üzenet)
Fizetési adatok: bankkártya-adatot az Adatkezelő nem tárol. A fizetési és számlázási szolgáltató kiválasztása jelenleg folyamatban van. Az OPEREX pilot / korai hozzáférés fázisban működik — éles, fizetős előfizetés még nincs. A fizetési szolgáltató, valamint a hozzá kapcsolódó számlázási és adatkezelési feltételek az éles fizetés bevezetése előtt kerülnek be ebbe a dokumentumba.
3. Az adatkezelés jogalapja
- Szerződés teljesítése (GDPR 6. cikk (1) b)) — a szolgáltatás nyújtása az Előfizető részére
- Jogos érdek (GDPR 6. cikk (1) f)) — a rendszer biztonsága, visszaélés-megelőzés, a szolgáltatás fejlesztése
- Jogi kötelezettség (GDPR 6. cikk (1) c)) — számviteli és adózási kötelezettségek
- Hozzájárulás (GDPR 6. cikk (1) a)) — a kapcsolati űrlap útján történő megkereséshez
- Az üzemeltetési (feldolgozott) adatok jogalapjáért az Előfizető mint adatkezelő felel (pl. munkaviszony, jogi kötelezettség, jogos érdek)
4. Adatfeldolgozók (al-adatfeldolgozók)
| Szolgáltató | Cél | Adattárolás helye |
|---|---|---|
| Hetzner Online GmbH | Szerver, tárhely; ezen fut a self-hosted adatbázis, hitelesítés és fájltárolás | EU (Németország) |
| Resend Inc. | Tranzakciós és értesítő e-mailek küldése | US (EU-U.S. Data Privacy Framework) |
| Fizetésfeldolgozó | A szolgáltató kiválasztása folyamatban — lásd 2. pont | — |
Az adatbázis, a hitelesítés és a fájltárolás self-hosted Supabase formájában, az Adatkezelő üzemeltetésében, a fenti Hetzner-szerveren fut — így ezekhez külön felhő-szolgáltató nem fér hozzá. Dedikált (Business) vagy on-premise (Enterprise) telepítésnél az adatfeldolgozók köre eltérhet; ezt a vonatkozó egyedi szerződés rögzíti.
5. Adatmegőrzés időtartama
- Felhasználói fiók adatai: a fiók / előfizetés megszűnését követő 30 napig (export és újraaktiválás céljából), majd törlés
- Üzemeltetési adatok (műszaknapló, esemény, audit-nyom): az Előfizető utasítása szerint, a rá vonatkozó jogszabályi (munkavédelmi, ipari, ISO 45001) megőrzési kötelezettség figyelembevételével
- Számlázási adatok: a számvitelről szóló 2000. évi C. törvény szerint 8 év
- Kapcsolati üzenetek: a megkeresés elintézéséhez szükséges ideig
6. Az érintett jogai
- Hozzáférés joga — másolat a kezelt adataidról
- Helyesbítés joga — pontatlan adat javítása
- Törlés joga („elfeledtetés")
- Adathordozhatóság joga — géppel olvasható formátumban
- A kezelés korlátozásához és a tiltakozáshoz való jog (jogos érdek alapú kezelés ellen)
Jogaid gyakorlásához írj a marketing@operex.eu címre; indokolatlan késedelem nélkül, legkésőbb 30 napon belül válaszolunk.
Ha az adataid az Előfizető (munkáltatód vagy a téged megbízó vállalkozás) által a rendszerbe vitt üzemeltetési adatok között szerepelnek, az ezekkel kapcsolatos kérelmeidet elsősorban az Előfizetőhöz (mint adatkezelőhöz) kell intézned; az OPEREX a kérelmet továbbítja, és az Előfizető utasítása szerint jár el.
7. Adatbiztonság
- Titkosított adatátvitel (TLS), HSTS
- Tenant-izoláció Row-Level Security (RLS) szabályokkal, az adatréteg-szűrésben is megerősítve
- Append-only (módosíthatatlan) audit-nyom
- Szerepkör-alapú jogosultságkezelés (RBAC)
- Adatok az EU területén (Németország); rendszeres biztonsági mentés és frissítés
8. Nemzetközi adattovábbítás
A személyes adatok elsősorban az Európai Gazdasági Térség (EGT) területén (Németország) tárolódnak. Az EGT-n kívülre kizárólag a GDPR V. fejezete szerinti garanciák mellett történik továbbítás: a Resend Inc. (US) az EU-U.S. Data Privacy Framework keretében biztosít megfelelő védelmet.
9. Panasz benyújtása
Ha úgy érzed, hogy adataid kezelése sérti a GDPR-t, panaszt tehetsz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH).
NAIH · 1055 Budapest, Falk Miksa utca 9-11. · naih.hu · ugyfelszolgalat@naih.hu