Adatkezelési Tájékoztató
Verzió: v2026-05-01 · Hatályos: 2026. május 19-től
A korábbi verziók (2025-08-01 a tudatosdiak.hu-n és 2025-05-01 az anyway.hu-n) jelen tájékoztatóval felülírásra kerülnek.
Jelen adatkezelési tájékoztató ismerteti azon adatkezelési tevékenységeket, amelyeket az 1. §-ban megnevezett közös adatkezelők (a továbbiakban együtt: Adatkezelő) a tudatosdiak.hu, anyway.hu, office.tudatosdiak.hu, valamint a TudatOS Karrier / Partner / Staff mobilalkalmazások használata során folytatnak. Ez egy egységes umbrella tájékoztató: a felsorolt jogi személyek a GDPR 26. cikke alapján közös adatkezelőként, közös infrastruktúrán és egységes szabályok szerint kezelik a személyes adatokat. Külön adatkezelési tájékoztató ezen szolgáltatások egyikére sem alkalmazandó.
A tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) alapján készült.
1. § Az Adatkezelő — közös adatkezelők (GDPR 26. cikk)
(1) A személyes adatokat az alábbi három magyar jogi személy közös adatkezelőként kezeli:
| Tudatos Diák Iskolaszövetkezet | Tudatos Dolgozók Szociális Szövetkezet | T-Digital Solutions Kft. | |
|---|---|---|---|
| Székhely | 1117 Budapest, Dombóvári út 9. | 2161 Csomád, Kossuth Lajos út 103. | 1117 Budapest, Dombóvári út 9. |
| Cégjegyzékszám | 01-02-054584 | 13-02-051561 | 01-09-428831 |
| Adószám | 26777748-2-43 | 32644953-2-13 | 32526620-2-43 |
| Levelezési cím | 1117 Budapest, Dombóvári út 9. | 2161 Csomád, Kossuth Lajos út 103. | 1117 Budapest, Dombóvári út 9. |
| [email protected] | [email protected] | [email protected] | |
| Képviseli | Yilmaz Attila Zoltán | Szabó Leonárd Henrik | Yilmaz Attila Zoltán |
(2) Az Adatkezelők a GDPR 26. cikk (1) bekezdése szerinti közös adatkezelői megállapodást kötöttek. A megállapodás lényege: a közös adatkezelés során a T-Digital Solutions Kft. felelős a közös adatkezeléssel kapcsolatos adminisztratív kötelezettségek teljesítéséért; az érintettek bármely közös adatkezelővel szemben gyakorolhatják jogaikat egyetlen egységes kapcsolattartási ponton keresztül.
(3) Egységes kapcsolattartási pont:
E-mail: [email protected]
Postai cím: 1117 Budapest, Dombóvári út 9.
(4) Az Adatkezelők adatvédelmi tisztviselőjének elérhetősége:
Név: Varga Gábor
Email: [email protected] / [email protected] / [email protected]
2. § A szoftver üzemeltetője — adatfeldolgozó (GDPR 28. cikk)
(1) Az érintett szoftvereket (a tudatosdiak.hu marketing- és toborzó weboldal, az anyway.hu ATS-platform, az office.tudatosdiak.hu háttérrendszer és a TudatOS Karrier / Partner / Staff mobilalkalmazások) az Adatkezelő megbízásából a következő gazdasági társaság fejleszti és üzemelteti:
| T-Cloud Solutions Kft. | |
|---|---|
| Székhely | 1117 Budapest, Dombóvári út 9. 4. emelet |
| Cégjegyzékszám | 01 09 438601 |
| Adószám | 32710148243 |
| Tevékenység | Szoftverfejlesztés, üzemeltetés, infrastruktúra-menedzsment, terméktámogatás |
(2) A T-Cloud Solutions Kft. kizárólag az Adatkezelő dokumentált utasításai szerint kezeli a személyes adatokat, írásos adatfeldolgozási megállapodás (DPA) alapján. A T-Cloud Solutions Kft. további al-adatfeldolgozókat is igénybe vesz; ezek teljes listája a 11. §-ban található.
3. § Fogalmak
- Adatkezelés: a személyes adatokon végzett bármely művelet vagy műveletek összessége.
- Adatkezelő: az a természetes vagy jogi személy, amely meghatározza a személyes adatok kezelésének céljait és eszközeit.
- Közös adatkezelő: a GDPR 26. cikke szerinti megállapodás alapján közösen meghatározó adatkezelő.
- Adatfeldolgozó: az a személy, aki az adatkezelő megbízásából személyes adatokat kezel.
- Adattovábbítás: személyes adatoknak harmadik fél (címzett) részére történő hozzáférhetővé tétele.
- Érintett: az a természetes személy, akinek személyes adatait az Adatkezelő kezeli.
- Hozzájárulás: az érintett önkéntes, konkrét, tájékozott és egyértelmű akaratnyilvánítása.
- Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó információ.
- Különleges adat: a GDPR 9. cikk szerinti kategória (pl. egészségügyi adat).
- Süti (cookie): a felhasználó eszközén elhelyezett kis adatfájl.
- Adatvédelmi incidens: a személyes adatok biztonságának sérülése.
- GDPR: az Európai Parlament és Tanács (EU) 2016/679 rendelete.
- Adatkezelési Tájékoztató: jelen dokumentum.
4. § A tájékoztató hatálya
(1) A jelen umbrella tájékoztató valamennyi alábbi szolgáltatás adatkezelésére kiterjed; külön adatkezelési tájékoztató ezek egyikére sem alkalmazandó:
| Szolgáltatás | Felület |
|---|---|
| Marketing- és toborzói weboldal | tudatosdiak.hu |
| Diák-/álláskereső felület | tudatosdiak.hu/karrier, anyway.hu |
| ATS (jelölt- és toborzáskezelő platform) | anyway.hu |
| Iskolaszövetkezeti és bér-háttérrendszer | office.tudatosdiak.hu |
| TudatOS Karrier mobilalkalmazás | iOS App Store, Google Play |
| TudatOS Partner mobilalkalmazás | iOS App Store, Google Play |
| TudatOS Staff mobilalkalmazás (belső) | iOS App Store, Google Play |
| Üzenetküldési csatornák | e-mail (Mailjet), SMS (SeeMe), push (FCM / APNs) |
| Külső toborzási csatornák | Profession.hu, Facebook, LinkedIn |
| AI-feldolgozási réteg | Anthropic Claude, Google Gemini |
5. § Az adatkezelés célja, jogalapja, kezelt adatok és időtartam
5.1. Weboldal-regisztráció
Kötelező adatok: vezetéknév, keresztnév, e-mail, jelszó (hash).
Opcionális adatok: telefon, nyelv, hírlevél-feliratkozás, gender, állampolgárság, signup-forrás (UTM, referrer, landing URL).
Cél: regisztrált felhasználó azonosítása, fiókkezelés, kapcsolattartás.
Jogalap: GDPR 6. cikk (1) b) — szerződéskötés-előkészítés (fiókszerződés).
Megőrzés: a regisztráció megszüntetéséig; e-mail-megerősítés hiányában 90 nap után automatikus törlés; 2 év inaktivitás után automatikus törlés.
5.2. Részletes álláskeresői és tagsági profil
Adatok: lakcím, születési hely és idő, anyja születési neve, állampolgárság, diákigazolvány-szám, adóazonosító jel, TAJ-szám, bankszámlaszám, szülő e-mail-címe, nyelvtudás, munkatapasztalat, érdeklődési kör, jogosítvány.
Cél: állásra való jelentkezés, szövetkezeti tagsági jogviszony előkészítése.
Jogalap: GDPR 6. cikk (1) b) szerződés; pénzügyi-adózási mezőkre 6. cikk (1) c) — jogi kötelezettség (Szja tv., Tbj.).
Megőrzés: tagság létrejöttéig vagy profil-törlésig; tagság fennállása + 5 év elévülés.
5.3. Diákigazolvány- és jogviszony-igazolás fotók
Adatok: diákigazolvány elő- és hátlap fotója, hallgatói jogviszony-igazolás.
Cél: szövetkezeti tagsági feltételek igazolása, hallgatói státusz ellenőrzése.
Jogalap: GDPR 6. cikk (1) c) — jogi kötelezettség (2006. évi X. tv.).
Megőrzés: a bejelentés napjától számított 7 napon belül automatikusan törlésre kerül a fájltárolóból és az adatbázisból; elutasítás esetén azonnal.
Címzettek: közös adatkezelők; KEF-IF (NEAK / OEP) hatósági lekérdezés.
5.4. Foglalkozás-egészségügyi (üzemorvosi) adatok — GDPR 9. cikk különleges kategória
Adatok: vizsgálat időpontja, vizsgáló orvos, vizsgálat helye, alkalmassági nyilatkozat (PDF), érvényesség, FEOR-kód, munkakör.
Cél: foglalkozás-egészségügyi alkalmasság jogszabályon alapuló igazolása.
Jogalap: GDPR 9. cikk (2) b) — foglalkoztatás-jogi kötelezettség; 1993. évi XCIII. tv. (Mvt.) 49–55. §; 33/1998. (VI. 24.) NM rendelet.
Megőrzés: a foglalkoztatási jogviszony megszűnését követően 30 év (Mvt. 64. § (1)).
Címzettek: foglalkozás-egészségügyi szolgáltató, közös adatkezelők, T-Cloud.
5.5. Szövetkezeti tagsági szerződés és bérelszámolás
Adatok: természetes személyazonosító adatok, lakcím, adóazonosító, TAJ-szám, bankszámlaszám; családi és személyi adókedvezményhez szükséges adatok (gyermekek száma, 16 év alattiak száma, fogyatékkal élő gyermek, egyedülálló szülő, első házasság dátuma, friss diplomás státusz).
Cél: tagsági szerződés létrehozása és teljesítése, bérszámfejtés, adó- és járulékbevallás.
Jogalap: GDPR 6. cikk (1) b) (szerződés) és 6. cikk (1) c) (Szja tv., Tbj., Szvt., 2006. évi X. tv.).
Megőrzés: számviteli bizonylatok: 8 év (Szvt. 169. §); bérszámfejtési alapadatok: a foglalkoztatás megszűnését követő naptári év utolsó napjától 50 év (Tny. 99/A. §); egyéb tagi adatok: 5 év (Ptk.).
Címzettek: közös adatkezelők, NAV (Online Számla), bérszámfejtő (Hessyn / RLB), könyvelő, OTP Bank, Számlázz.hu.
5.6. Aláírás-azonosság — elektronikus aláírás
Adatok: aláíráskori név, születési hely és idő, anyja neve, lakcím; OTP-azonosítás csatornája (e-mail / SMS) és recipiense; IP-cím, user-agent; aláírás kézi képe és bélyegzője; RFC 3161 időbélyeg, hash.
Cél: bizonyítható elektronikus aláírás (PAdES) szerződésekhez, hatósági bejelentésekhez.
Jogalap: GDPR 6. cikk (1) b) szerződés + 910/2014/EU (eIDAS).
Megőrzés: a szerződéssel alátámasztott jogviszony elévülése (általában 5 év, számviteli bizonylatként 8 év).
Címzettek: közös adatkezelők; FreeTSA (időbélyegzés); Wiredsign Zrt.
5.7. Állásra jelentkezés (ATS — Anyway-platform)
Adatok: név, e-mail, telefon, önéletrajz (PDF), motivációs levél, álláskeresői profil tartalma, jelentkezési kérdésekre adott válaszok, jelentkezés időpontja.
Cél: pályázati eljárás lefolytatása, foglalkoztató partner felé történő továbbítás.
Jogalap: GDPR 6. cikk (1) a) — kifejezett hozzájárulás.
Megőrzés: az adott pályázat lezárásáig, legfeljebb 60 nap a jelentkezéstől; „Open to Work” jelölés (CV-pool opt-in) esetén legfeljebb 2 év vagy a visszavonásig.
Címzettek: az érintett által kiválasztott foglalkoztató partner; közös adatkezelők; T-Cloud.
5.8. AI-alapú önéletrajz-elemzés, álláspontozás és illeszkedés-ajánló
AI-nak küldött adatok: az érintett által feltöltött önéletrajz teljes szövege (PDF), név, e-mail, telefon, születési idő, állampolgárság, nyelvtudás, munkatapasztalat, jogosítvány, jelentkezési válaszok.
AI-nak NEM küldött adatok: TAJ-szám, adóazonosító, anyja neve, bankszámlaszám, családi adókedvezmény-adatok, üzemorvosi adatok, jelszó, fizetés.
Cél: strukturált adatkinyerés (a felhasználó által szerkeszthető), állásra való illeszkedés pontozása, előzetes kategorizálás (pass / borderline / fail), embedding-alapú szemantikai illeszkedés.
Jogalap: GDPR 6. cikk (1) b) — toborzási folyamat hatékony teljesítése.
Automatizált döntés (GDPR 22. cikk): az érintettre kizárólag automatizált döntés alapján joghatással bíró döntés nem hozható; az AI-pontszám kizárólag rangsorolási segédeszköz, a végleges humánerőforrási döntést minden esetben természetes személy munkatárs hozza. Az érintett bármikor kérheti az AI-eredmény figyelmen kívül hagyását és a kizárólag emberi értékelést a felületen elérhető „Emberi felülvizsgálatot kérek” funkcióval vagy a [email protected] címen.
Igénybe vett szolgáltatók: Anthropic PBC (Claude), Google LLC (Gemini) — lásd 11. §.
5.9. Toborzási kommunikáció (e-mail, SMS, push)
Adatok: e-mail, telefon, push-token, üzenet tartalma és kézbesítési metaadatok (időpont, megnyitás, kattintás).
Cél: toborzási folyamatról szóló értesítés, emlékeztetők, állásajánlók, hírlevél.
Jogalap: szolgáltatás-jellegű üzenetekre GDPR 6. cikk (1) b); marketing-jellegű üzenetekre 6. cikk (1) a) — visszavonható hozzájárulás.
Megőrzés: mail- és SMS-naplók: 24 hónap, utána anonimizált statisztika; push: csak a kézbesítésig.
Címzettek: Mailjet (e-mail), SeeMe / smsapi.hu (SMS), Google FCM és Apple APNs (push).
5.10. Üzemeltetési, biztonsági és audit-napló
Adatok: IP-cím, user-agent, böngészett URL és Laravel route, eseménytípus, session-azonosító, mobil app screen, app-verzió, push-megnyitás; adatmódosítási audit (régi és új érték, ki és mikor).
Cél: hibakezelés, csalás- és visszaélés-megelőzés, elszámoltathatóság (GDPR 5. cikk (2)).
Jogalap: GDPR 6. cikk (1) f) — jogos érdek.
Tiltakozás joga: bármikor, a [email protected] címen.
Megőrzés: részletes eseménynapló: 90 nap, utána aggregátum; pénzügyi audit-napló: 5 év; bejelentkezési és session-adatok: legfeljebb 30 nap.
5.11. Mobil eszköz- és appesemény-adatok
Adatok: eszköz-azonosító, platform (iOS / Android), OS-verzió, app-verzió, push-token, képernyő-eseménytörténet.
Cél: push-küldés címzettazonosítása, app-stabilitás és funkció-használat mérése.
Jogalap: push-kézbesítéshez: 6. cikk (1) b); analitikához: 6. cikk (1) f) — opt-out lehetőséggel.
Megőrzés: push-token: amíg az app telepítve van; mobil eseménynapló: 90 nap.
5.12. Foglalkoztató partner (cég) — kapcsolattartó és vállalati adatok
Adatok: kapcsolattartó neve, e-mail, telefon, munkakör; cég neve, székhelye, adószáma, cégjegyzék-adatai, képviselője, pénzügyi alapadatai (Cégadat / Opten lekérdezésből).
Cél: szerződéskötés és teljesítés, számlázás, toborzási projekt menedzsment, partnerkockázat-ellenőrzés.
Jogalap: GDPR 6. cikk (1) b) szerződés, 6. cikk (1) c) Pmt., 6. cikk (1) f) jogos érdek.
Megőrzés: üzleti kapcsolat fennállása + 5 év; számviteli bizonylatok 8 év.
6. § Sütik és weboldali nyomonkövetés
A tudatosdiak.hu, anyway.hu és office.tudatosdiak.hu felületein az alábbi sütiket használjuk. A nem-kötelező sütikhez a beleegyezést a saját süti-beállító bannerünk kezeli (a választásod a böngésződ helyi tárában, a td_cookie_consent kulcs alatt tárolódik); a beleegyezés bármikor módosítható a footer-ben elhelyezett „Süti-beállítások” gombbal.
Feltétlenül szükséges sütik
| Süti | Forrás | Cél | Élettartam |
|---|---|---|---|
| laravel_session | tudatosdiak.hu / anyway.hu / office.tudatosdiak.hu | Bejelentkezési és munkamenet-állapot tárolása | session-végéig vagy max. 30 nap |
| XSRF-TOKEN | mint fent | CSRF-támadás elleni védelem | session-végéig |
| remember_web_<hash> | mint fent | "Emlékezz rám" bejelentkezés-megőrzés | 5 év (opt-in) |
| td_cookie_consent | tudatosdiak.hu (localStorage) | Süti-beállítások (hozzájárulás) rögzítése | 12 hónap |
Funkcionális sütik
| Süti | Forrás | Cél | Élettartam |
|---|---|---|---|
| i18n_locale | tudatosdiak.hu / anyway.hu | Nyelvválasztás | 1 év |
| theme_preference | anyway.hu | Világos / sötét téma | 1 év |
Statisztikai (analitikai) sütik
| Süti | Forrás | Cél | Élettartam |
|---|---|---|---|
| _ga | Google Analytics 4 | Egyedi látogatóazonosító | 2 év |
| _ga_<container-id> | Google Analytics 4 | Session-állapot | 2 év |
| _gid | Google Analytics | Session-azonosító | 24 óra |
| _clck / _clsk | Microsoft Clarity | Anonim viselkedés-analitika, heatmap (hozzájárulással) | 1 év / munkamenet |
| td_web_visitor_id, td_session_id | tudatosdiak.hu (localStorage) → TudatOS | Látogatás-attribúció (forrás, UTM) — kizárólag analitikai hozzájárulással | 1 év |
Az analitikai és marketing eszközöket (Google Analytics 4, Google Tag Manager, Microsoft Clarity, valamint a TudatOS saját látogatás-attribúciója) kizárólag a vonatkozó hozzájárulás megadása utántöltjük be; a Google Tag Manager a konténer, amelyen keresztül e tageket kezeljük.
Bot- és visszaélés-szűrés
| Süti | Forrás | Cél | Élettartam |
|---|---|---|---|
| _GRECAPTCHA | Google reCAPTCHA | Bot- és visszaélés-szűrés űrlapokon | 6 hónap |
| __cf_bm | Cloudflare | Bot-szűrés | 30 perc |
Marketing sütiket kizárólag a marketing kategória kifejezett elfogadása esetén helyezünk el. Jelenleg a Google Ads konverziómérést (Enhanced Conversions) használjuk: hozzájárulás esetén az űrlap-beküldéskor megadott egyes adatok (pl. e-mail, telefonszám, név) a Google felé továbbításra kerülnek a konverziók párosítása céljából. Facebook/Meta vagy LinkedIn pixelt jelenleg nem futtatunk. A weboldali chat-asszisztens a saját rendszerünkből (app.tudatosdiak.hu) töltődik be; a beszélgetések kezelésére a 7. § (AI) vonatkozik.
A Google Analytics 4-et anonimizált IP-móddal használjuk; a Google Signals reklám-célú funkciók ki vannak kapcsolva. Az adatok az EU–US Adatvédelmi Keret (DPF) alapján kerülnek továbbításra (lásd 9. §).
7. § AI-feldolgozás és automatizált döntéshozatal
(1) A toborzási és pályázói folyamat gyorsítása érdekében nagy nyelvi modelleket (LLM) és vektor-beágyazási modelleket (embedding) használunk. Ezek a modellek külső szolgáltatóknál futnak, az Adatkezelővel kötött adatfeldolgozói viszony és EU–US DPF tanúsítás keretében.
| Szolgáltató | Modell-család | Cél |
|---|---|---|
| Anthropic PBC | Claude Sonnet 4.x, Claude Haiku | CV-elemzés (fallback), diákigazolvány OCR, riportgenerálás, e-mail-szöveg generálás, belső asszisztens |
| Google LLC | Gemini 2.5 Pro, Flash, Embedding | CV-elemzés (elsődleges), embedding-alapú állás-illeszkedés, fordítás, hirdetésszöveg-generálás |
(2) Az érintettre kizárólag automatizált döntés alapján joghatással bíró döntés nem hozható. Az AI-pontszám rangsorolási segédeszköz; a végleges humánerőforrási döntést minden esetben természetes személy munkatárs hozza.
(3) Az érintett jogai az AI-feldolgozással kapcsolatban (GDPR 22. cikk):
- Emberi felülvizsgálat kérése — minden AI-érintett képernyőn elérhető a „Emberi felülvizsgálatot kérek” funkció;
- AI-feldolgozás teljes letiltása a profil beállításai között;
- AI-döntés magyarázatának kérése emberi nyelven;
- AI-által kinyert adatok törlése / módosítása a profilban;
- Tiltakozás bármikor a [email protected] címen.
(4) Az Anthropic és a Google szerződéses garanciát ad arra, hogy az API-n keresztül beadott adatokat nem használja modell-tanításra (zero-retention API-mód). A szolgáltatóknál az adatok átmenetileg, hibavizsgálati céllal kerülnek tárolásra (jellemzően legfeljebb 30 napig), ezt követően automatikusan törlésre kerülnek.
8. § Mobilalkalmazás-jogosultságok
A TudatOS Csoport három mobilalkalmazást üzemeltet. Az alkalmazás-engedélyek az operációs rendszer szintjén bármikor visszavonhatók (iOS → Beállítások → Adatvédelem; Android → Alkalmazás-engedélyek). Geolokációt és kontaktokat egyik alkalmazás sem használ.
TudatOS Karrier (álláskereső) — hu.tudatosdiak.career
| Engedély | Cél | Kötelező? |
|---|---|---|
| Internet | API-kapcsolat | igen |
| Értesítések (push) | Állásajánlók, interjú- és üzemorvosi-emlékeztetők | nem |
| Kamera | Diákigazolvány-fotó, profil-avatar (7 napos auto-törlés) | nem (csak igénybevételhez) |
| Apple Sign-In / Google Sign-In | Gyors bejelentkezés | nem |
| Biometric (Face ID / Touch ID) | Gyors-belépés (helyi, az eszközről nem távozik) | nem |
| Telefonhívás (tel: link) | Állás-kontakt felhívása | nem |
| Tárhely (Capacitor Preferences) | Bejelentkezési token, UI-preferenciák | igen |
TudatOS Partner (foglalkoztató) — hu.tudatosdiak.partner
| Engedély | Cél | Kötelező? |
|---|---|---|
| Internet | API-kapcsolat | igen |
| Értesítések (push) | Új jelentkezés, interjú-időpont, szerződés-státusz | nem |
| Biometric | Gyors-belépés | nem |
| Telefonhívás (tel:) | Jelölt felhívása | nem |
| Tárhely | Bejelentkezési token, multi-company switcher, UI | igen |
TudatOS Staff (belső) — hu.tudatosdiak.staff
| Engedély | Cél | Kötelező? |
|---|---|---|
| Internet | API-kapcsolat | igen |
| Értesítések (push) | Check-in emlékeztető, ticket, sales/recruiter események | nem |
| Biometric | Gyors-belépés | nem |
| Telefonhívás (tel:) | Partner / jelölt hívása CRM-ből | nem |
| Tárhely | Bejelentkezési token, role-override, hívás-napló | igen |
A check-in funkció kizárólag időbélyeget rögzít, GPS-koordinátát nem.
9. § Adattovábbítás harmadik országba
Bizonyos adatfeldolgozók székhelye az Európai Gazdasági Térségen (EGT) kívül található. Az adattovábbítás minden esetben megfelelő garanciákkal történik:
| Címzett | Adatkör | Ország | Jogi alap |
|---|---|---|---|
| DigitalOcean LLC | Hosting, fájltárolás (Spaces) | USA | EU–US DPF + SCC fallback |
| Cloudflare Inc. | DNS, CDN, WAF | USA | EU–US DPF |
| Anthropic PBC | AI (Claude) | USA | EU–US DPF |
| Google LLC | AI (Gemini), FCM, OAuth, Maps, Analytics, reCAPTCHA | USA | EU–US DPF |
| Microsoft Corporation | Clarity viselkedés-analitika (heatmap) | USA | EU–US DPF |
| Apple Inc. | App Store, Sign In, APNs | USA | EU–US DPF |
| Canva Pty Ltd. | Marketing-anyagok | Ausztrália | Adekvációs határozat |
A tanúsítások állapota a dataprivacyframework.gov oldalon ellenőrizhető. Az EU 2021/914 standard adatvédelmi szerződéses záradékok (SCC) az érintett kérésére hozzáférhetők a [email protected] címen.
10. § Adattovábbítás belföldön
| Címzett | Adatkör | Jogalap |
|---|---|---|
| NAV (Nemzeti Adó- és Vámhivatal) | Adózási adatok, számlák, bejelentések | Jogi kötelezettség |
| OH / NEAK / OEP (KEF-IF) | Hallgatói státusz ellenőrzése | Jogi kötelezettség |
| Bíróság, ügyészség, nyomozó hatóság | Megkeresés szerinti adat | Jogi kötelezettség |
| Foglalkoztató partner (pályázott állás) | Név, kapcsolat, önéletrajz, jelentkezési válaszok | Érintett hozzájárulása |
| Üzemorvosi szolgáltató | Foglalkozás-egészségügyi adatok | Jogi kötelezettség (Mvt.) |
| OTP Bank | Bankszámla, kifizetési adatok | Szerződés teljesítése |
| Hessyn / RLB | Bérelszámolási adatok | Adatfeldolgozó (DPA) |
| Számlázz.hu | Számlázási adatok | Adatfeldolgozó (DPA) |
11. § Adatfeldolgozók és al-adatfeldolgozók
A T-Cloud Solutions Kft. (mint az Adatkezelő adatfeldolgozója) az alábbi al-adatfeldolgozókat veszi igénybe. Új al-adatfeldolgozó igénybevétele előtt az Adatkezelőt értesíti.
| # | Cég | Székhely | Tevékenység |
|---|---|---|---|
| 1 | T-Cloud Solutions Kft. | 1117 Budapest, Dombóvári út 9. 4. emelet | Szoftverfejlesztés, üzemeltetés |
| 2 | DigitalOcean LLC | New York, USA | Hosting, tárolás (Spaces) |
| 3 | Cloudflare Inc. | San Francisco, USA | DNS, CDN, WAF |
| 4 | Anthropic PBC | San Francisco, USA | AI (Claude) |
| 5 | Google LLC | Mountain View, USA | AI (Gemini), FCM, OAuth, Maps, Analytics, reCAPTCHA |
| 6 | Apple Inc. | Cupertino, USA | App Store, Sign In, APNs |
| 7 | Microsoft Ireland Operations Ltd. | Dublin, IE | Office 365 |
| 8 | Mailjet SAS (Sinch Group) | Párizs, FR | Tranzakciós és marketing e-mail |
| 9 | SeeMe Solutions Kft. (smsapi.hu) | Budapest | SMS-gateway |
| 10 | Wiredsign Zrt. | Diósjenő | Elektronikus aláírás |
| 11 | FreeTSA | Németország | RFC 3161 időbélyegzés |
| 12 | Hessyn Szoftver Informatikai Kft. | Budapest | Bérszámfejtő szoftver |
| 13 | RLB-60 Bt. | Hatvan | Bérszámfejtő szoftver |
| 14 | FireBird Foundation z.s. | Prága, CZ | Adatbázis-szoftver |
| 15 | KBOSS.hu Kft. (Számlázz.hu) | Budapest | Számlázás |
| 16 | OTP Bank Nyrt. | Budapest | Banki tranzakciók (Elektra) |
| 17 | Cégadat API üzemeltetője | Budapest | Cégadat-lekérdezés |
| 18 | Opten Kft. | Budapest | Cégadat / kockázat |
| 19 | Canva Pty Ltd. | Sydney, Ausztrália | Grafikai eszköz (marketing) |
| 20 | MiniCRM Zrt. | Budapest | Belső CRM |
| 21 | Profession.hu (DBH-Group) | Budapest | Toborzási csatorna |
| 22 | tárhely.eu kft. | Budapest | Statikus weboldal tárhely |
| 23 | Microsoft Corporation (Clarity) | Redmond, USA | Viselkedés-analitika (heatmap), kizárólag hozzájárulással |
12. § Megőrzési időtartamok
| Adatkör | Időtartam |
|---|---|
| Aktív tagság | Jogviszony + 5 év elévülés |
| Számviteli adatok | 8 év (Szvt. 169. §) |
| E-mail-verifikálatlan regisztráció | 90 nap |
| Diákigazolvány + jogviszony-igazolás fotó | 7 nap a bejelentés után |
| Üzemorvosi adatok | Foglalkoztatás megszűnése + 30 év (Mvt.) |
| Jelentkezés (ATS) | 60 nap / "Open to Work" pool: 2 év |
| Mail- és SMS-naplók | 24 hónap |
| Részletes eseménynapló | 90 nap |
| Bejelentkezés és session | 30 nap |
| Pénzügyi audit-napló | 5 év |
| Aláírás-kép és aláírás-meta | Szerződés elévülése (5 év) / számviteli (8 év) |
| Biztonsági mentés | 7 nap |
| Sütik | Süti-listában szereplő egyedi időtartam (lásd 6. §) |
13. § Adatbiztonsági intézkedések
- Titkosítás: TLS 1.2+ (HTTPS) minden kommunikációhoz; AES-256 nyugalmi titkosítás az adatbázisokon és a DigitalOcean Spaces tárolón.
- Hozzáférés-vezérlés: szerepkör-alapú jogosultság (RBAC), kétfaktoros bejelentkezés a munkatársi felületen, jelszó-hash (bcrypt).
- Naplózás és audit: minden lényeges módosítás auditnaplózva, régi és új érték rögzítésével.
- Biztonsági mentés: napi mentés, 7 napos visszatérési pont; automatikus felülírás; visszaállítás kizárólag vezető tisztségviselő jóváhagyásával.
- WAF és DDoS-védelem: Cloudflare.
- Munkatársi titoktartási kötelezettség szerződés szerint; évente adatvédelmi képzés a hozzáférési jogosultsággal rendelkező munkatársaknak.
14. § Az érintetti jogok
Az érintett a GDPR alapján az alábbi jogokkal rendelkezik. A jogokat a [email protected] címen, illetve a felhasználói fiókban („Saját adataim → GDPR-kérelmek”) gyakorolhatja. Az érintett a jogait bármely közös adatkezelővel szemben gyakorolhatja az egységes kapcsolattartási ponton. Válaszunkat 1 hónapon belül, indokolt esetben 2 hónappal hosszabbítható határidőn belül adjuk meg.
- Hozzáférési jog (GDPR 15. cikk) — önkiszolgáló JSON/CSV adatexport elérhető.
- Helyesbítés joga (16. cikk) — alapesetben közvetlenül a profilban.
- Törléshez való jog / „elfeledtetés” (17. cikk).
- Adatkezelés korlátozásához való jog (18. cikk).
- Adathordozhatóság (20. cikk) — JSON/CSV.
- Tiltakozás (21. cikk) — jogos érdeken alapuló adatkezelés ellen.
- Hozzájárulás visszavonása (7. cikk (3)) — bármikor, a visszavonás előtti kezelés érvényességét nem érinti.
- Automatizált döntéshozatallal kapcsolatos jogok (22. cikk) — emberi felülvizsgálat, álláspont kifejezése, kifogás. „Emberi felülvizsgálatot kérek” gomb minden AI-érintett képernyőn elérhető.
- Felügyeleti hatósághoz fordulás joga (77. cikk) — NAIH (lásd 16. §).
- Bírósághoz fordulás joga (79. cikk) — a lakóhely szerint illetékes törvényszék (birosag.hu/torvenyszekek).
- Elhunyt érintett jogai — a halotti anyakönyvi kivonat és a személyazonosság igazolása mellett a Ptk. szerinti közeli hozzátartozó az érintetti jogokat az elhalálozást követő 5 éven belül gyakorolhatja (2018. évi LIII. tv. 25/G–25/J. §).
15. § Adatvédelmi incidens
(1) Adatvédelmi incidens észlelése esetén az Adatkezelő haladéktalanul, de legkésőbb 72 órán belültájékoztatja a NAIH-ot (GDPR 33. cikk).
(2) Amennyiben az incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, közvetlenül is értesítjük az érintetteket (GDPR 34. cikk).
(3) Az incidensekről belső nyilvántartást vezetünk: érintettek köre és száma, időpont, körülmények, hatások, megtett intézkedések.
16. § Felügyeleti hatóság
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa u. 9–11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391-1400
E-mail: [email protected]
Web: naih.hu
17. § Záró rendelkezések — verzió-szabályozás
(1) Az Adatkezelő fenntartja a jogot a jelen tájékoztató egyoldalú módosítására (különösen jogszabályváltozás esetén). Lényeges módosításokról az érintetteket a fő kommunikációs csatornán (e-mail, alkalmazás belépő képernyő, weboldali fejléc) előzetesen tájékoztatjuk.
(2) Az érintett az új verzió hatálybalépését követő első bejelentkezésekor erősíti meg az új tájékoztató elolvasását; ennek időpontját, IP-címét és böngészőjellemzőit a policy_acceptances naplóban rögzítjük.
(3) Jelen Adatkezelési Tájékoztató v2026-05-01 verziója 2026. május 19-től érvényes.