Adatkezelési Tájékoztató
GDPR · 2011. évi CXII. törvény (Infotv.) · Hatályos: 2026. január 1-től
1. Az adatkezelő adatai
| Adatkezelő neve | Czakó Gergely e.v. |
| Székhely | 1164 Budapest, Ostoros út 39. |
| Adószám | 91913124-1-42 |
| Kapcsolattartási e-mail | info@taxingo.hu |
| Weboldal | https://taxingo.hu |
| Tárhelyszolgáltató | Vercel Inc., 340 Pine Street, Suite 900, San Francisco, CA 94104, USA |
| Adatvédelmi tisztviselő (DPO) | Nem kötelező kinevezni – kisméretű vállalkozás; adatvédelmi kérdésekkel forduljon a fenti e-mail-címre. |
| Felügyeleti hatóság | Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), 1055 Budapest, Falk Miksa u. 9–11., naih.hu |
2. Az adatkezelés jogalapjai és elvei
Az adatkezelés az alábbi jogalapokon alapul (GDPR 6. cikk):
| Jogalap | Alkalmazás a Taxingónál |
|---|---|
| Szerződés teljesítése (6(1)(b)) | A fiók- és portfólióadatok kezelése a Szolgáltatás nyújtásához szükséges. |
| Jogi kötelezettség (6(1)(c)) | Pénzügyi nyilvántartások megőrzése a számviteli jogszabályok alapján (8 év). |
| Jogos érdek (6(1)(f)) | Hibanaplók és biztonsági monitoring (Sentry). A Felhasználó tiltakozhat ez ellen. |
| Hozzájárulás (6(1)(a)) | Adóazonosító jel kezelése, marketing e-mailek, analitikai cookie-k. A hozzájárulás bármikor visszavonható. |
Az adatkezelés a GDPR 5. cikke szerinti alapelveknek megfelelően zajlik: jogszerűség, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolás, integritás és bizalmasság, elszámoltathatóság.
3. A kezelt személyes adatok köre
3.1 Regisztrációkor és fiók kezelésekor
| Adat | Cél |
|---|---|
| E-mail-cím | Azonosítás, belépés, tranzakciós értesítők küldése |
| Teljes név | NAV-kompatibilis adójelentés fejlécéhez |
| Jelszó (hash-elt) | Biztonságos hitelesítés (bcrypt – Supabase Auth) |
| Regisztráció időpontja | Fiók-kezelés, auditálás |
| Előfizetési csomag | Funkcióhoz való hozzáférés meghatározása |
3.2 Adókalkulációhoz szükséges adatok
| Adat | Cél |
|---|---|
| Adóazonosító jel | NAV-jelentés fejléce – Szja tv. előírása; kezelés kizárólag kifejezett hozzájárulással |
| Lakcím | NAV-kompatibilis PDF-jelentés fejléce |
| Kereskedési történet (vétel/eladás) | FIFO-alapú tőkenyereség-számítás |
| Osztalékadatok | Osztalékadó és forrásadó-jóváírás kiszámítása |
| Portfólióadatok | Portfólió-összesítő és nyitott pozíciók megjelenítése |
| Devizaárfolyamok (MNB) | Törvény által előírt HUF-átváltás; nem személyes adat |
| Importált CSV-fájlok | Bróker-specifikus ügyleti kivonat feldolgozása |
3.3 Fizetési adatok
A bankkártya-adatokat kizárólag a Stripe, Inc. kezeli – azok a Taxingo rendszereiben nem kerülnek tárolásra. A Stripe az adatkezelő a fizetési adatok tekintetében (stripe.com/legal). A Taxingo csupán az előfizetés állapotát (aktív/lejárt) és a számla azonosítóját tárolja.
3.4 Technikai és analitikai adatok
| Adat | Cél |
|---|---|
| Hibanaplók (Sentry) | Alkalmazáshibák felderítése; személyes adatok (e-mail, adóazonosító) maszkolva |
| Vercel Analytics | Oldalhasználati statisztikák – hozzájárulás szükséges |
| Google Analytics (opcionális) | Részletes látogatói statisztikák – hozzájárulás szükséges |
| Munkamenet-cookie (Supabase) | Biztonságos bejelentkezési állapot fenntartása |
| Cookie-hozzájárulás rekordja | A hozzájárulás igazolása (GDPR 7. cikk) |
| IP-cím (szerveroldali naplók) | Biztonság, visszaélés-megelőzés; 90 napon belül törlésre kerül |
4. Adatmegőrzési idők
| Adatkategória | Megőrzési idő |
|---|---|
| Fiókadatok (e-mail, név) | A fiók törlésétől számított 3 év (elévülési idő) |
| Kereskedési és adóadatok | 8 év – a számviteli törvény (2000. évi C. tv. 169. §) alapján |
| Adójelentések (PDF/CSV) | 8 év – NAV-ellenőrzésre való tekintettel |
| Fizetési nyilvántartások | 8 év – ÁFA- és számviteli törvény alapján |
| Alkalmazásnaplók | 90 nap, kivéve ha adatvédelmi incidens kivizsgálása folyamatban van |
| Marketing hozzájárulás rekordjai | A hozzájárulás időtartama + 3 év a visszavonás után |
| Cookie-hozzájárulás rekordjai | 1 év a hozzájárulás dátumától számítva |
| Inaktív fiókok | 12 hónap után emlékeztető; 24 hónap inaktivitás után törlés |
| Soft-deleted rekordok | 8 év – adónyilvántartási kötelezettség miatt |
5. Adattovábbítás és adatfeldolgozók
A GDPR 28. cikke alapján minden, személyes adatokat kezelő harmadik fél szolgáltatóval adatfeldolgozói szerződés (DPA) kerül megkötésre.
| Adatfeldolgozó | Szerep | Megjegyzés |
|---|---|---|
| Supabase Inc. | Adatbázis, hitelesítés, tárhely | supabase.com/privacy – DPA aláírva |
| Vercel Inc. | Hosting, CDN, szerver nélküli funkciók | vercel.com/legal/dpa – DPA aláírva |
| Stripe, Inc. | Fizetések feldolgozása | stripe.com/legal – önálló adatkezelő |
| Resend Inc. | Tranzakciós e-mailek | resend.com – DPA aláírva |
| Magyar Nemzeti Bank (MNB) | Hivatalos árfolyamok lekérdezése | Személyes adatok nem kerülnek továbbításra |
5.1 Harmadik országba történő adattovábbítás
A Supabase (AWS infrastruktúra), Vercel, Stripe és Resend US-székhelyű cégek. Az EU-s személyes adatok USA-ba történő továbbítása az EU standard szerződéses záradékok (SCC) alapján valósul meg, amelyek az egyes DPA-kban szerepelnek. A Felhasználó kérésre másolatot kaphat az SCC-kről az info@taxingo.hu e-mail-címen.
6. Az érintett jogai
A GDPR III. fejezete alapján Önt az alábbi jogok illetik meg. Kéréseit az info@taxingo.hu e-mail-címre küldje. A válaszadási határidő 30 nap (indokolt esetben legfeljebb 60 napra meghosszabbítható).
| Jog | Hogyan érvényesítheti |
|---|---|
| Tájékoztatáshoz való jog (13. cikk) | Jelen tájékoztató biztosítja – a regisztrációkor jelölőnégyzet bejelölésével elfogadva. |
| Hozzáférési jog (15. cikk) | Kérheti az összes tárolt adata másolatát. A Beállítások menüben „Adataim letöltése" gombbal is elérhető. |
| Helyesbítési jog (16. cikk) | Kérheti a pontatlan adatok javítását – a Profil szerkesztésével vagy e-mailben. |
| Törlési jog / Elfeledtetéshez való jog (17. cikk) | Kérheti fiókja és összes adata törlését. A Beállítások menüben „Fiók törlése" gombbal indítható. A pénzügyi adatokat a törvényi 8 éves kötelezettség miatt kivételesen meg kell őrizni. |
| Adatkezelés korlátozásához való jog (18. cikk) | Kérheti az adatkezelés felfüggesztését a teljes törlés nélkül. |
| Adathordozhatósághoz való jog (20. cikk) | Kérheti adatai géppel olvasható (JSON/CSV) formátumban való kiadását. A Beállítások menüben azonnal letölthető. |
| Tiltakozási jog (21. cikk) | Tiltakozhat a jogos érdeken alapuló adatkezelés (pl. hibanaplók) ellen. |
| Automatizált döntéshozatalhoz fűződő jog (22. cikk) | Az adókalkuláció automatizált – kérheti az emberi felülvizsgálatot, és a számítást saját bevallásán módosíthatja. |
Ha úgy érzi, hogy adatait jogellenesen kezeljük, jogosult panaszt benyújtani a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH): 1055 Budapest, Falk Miksa u. 9–11. | ugyfelszolgalat@naih.hu | naih.hu. Ez a jog a GDPR 77. cikke alapján megilleti Önt, és nem korlátozzuk.
7. Cookie-k (sütik)
A Taxingo az alábbi süti-kategóriákat alkalmazza. A nem szükséges sütikhez az Ön előzetes hozzájárulása szükséges – a cookie-banner révén, amely az oldal első meglátogatásakor jelenik meg.
| Süti neve | Kategória | Cél és megőrzési idő |
|---|---|---|
| sb-access-token | Szigorúan szükséges | Supabase bejelentkezési munkamenet – 1 óra |
| sb-refresh-token | Szigorúan szükséges | Supabase refresh token – 30 nap |
| cookie_consent | Szigorúan szükséges | Rögzíti a felhasználó süti-hozzájárulását – 1 év |
| _ga / _ga_XXXX | Analitikai (hozzájárulás szükséges) | Google Analytics látogatói azonosítók – 2 év |
| va_id | Analitikai (hozzájárulás szükséges) | Vercel Analytics látogató-azonosító – 1 év |
A hozzájárulás bármikor visszavonható a weboldal lábcímében található „Cookie-beállítások" linkre kattintva. A részletes Cookie Szabályzat elérhető: https://taxingo.hu/cookie-policy
8. Adatbiztonság
A GDPR 32. cikke alapján az alábbi technikai és szervezeti intézkedéseket alkalmazzuk:
| Intézkedés | Megvalósítás |
|---|---|
| Adattitkosítás átvitel közben | HTTPS minden útvonalon – Vercel érvényesíti (TLS 1.2+) |
| Adattitkosítás tároláskor | Supabase PostgreSQL AES-256 titkosítás alapértelmezés szerint |
| Sorszintű biztonság (RLS) | Supabase RLS – minden adatbázis-táblán; a felhasználók csak saját adataikhoz férnek hozzá |
| Jelszókezelés | Supabase Auth bcrypt hashing – nyílt szöveges jelszavak soha nem kerülnek tárolásra |
| SQL-injekció megelőzése | Paraméterezett lekérdezések – soha nem kerül sor karakterlánc-összefűzésre |
| Rátakorlátozás | API végpontokon rátakorlátozás alkalmazva a visszaélések megelőzésére |
| PII-törlés a hibakövető rendszerből | A Sentry-ben e-mail-ek és adóazonosítók maszkolva vannak |
| Kétfaktoros hitelesítés | Minden admin fiókon kötelező (Supabase, Vercel, GitHub, Stripe) |
| Fejlesztési/éles környezet szétválasztása | Különálló Supabase projektek – éles felhasználói adatokkal soha nem tesztelünk |
| Biztonsági mentések | Supabase automatikus titkosított biztonsági mentések |
9. Adatvédelmi incidensek
Adatvédelmi incidens esetén a következő eljárást alkalmazzuk:
- Az incidens tudomásszerzésétől számított 72 órán belül bejelentjük a NAIH-nak (GDPR 33. cikk).
- Ha az incidens valószínűsíthetően magas kockázatot jelent az érintettekre, őket is haladéktalanul értesítjük (GDPR 34. cikk).
- Minden incidenst dokumentálunk, függetlenül attól, hogy bejelentési kötelezettség áll-e fenn.
- Az incidens-kezelési terv tartalmazza: azonnali elszigetelés, hatóság értesítése, érintett felhasználók tájékoztatása, utólagos elemzés.
Ha Ön potenciális adatvédelmi incidenst észlel (pl. jogosulatlan adathozzáférést), kérjük, haladéktalanul értesítse csapatunkat: info@taxingo.hu
10. Kiskorúak adatai
A Taxingo platformja kizárólag 18 éven felüli személyek számára igénybe vehető. Nem gyűjtünk tudatosan kiskorúak személyes adatait. Ha tudomásunkra jut, hogy kiskorú regisztrált a platformra, a fiókját és adatait haladéktalanul töröljük. Ha Ön ilyen esetről tud, kérjük, értesítsen minket az info@taxingo.hu e-mail-címen.
11. Automatizált döntéshozatal
Az adókalkuláció teljes egészében automatizált folyamat, amely a Felhasználó által bevitt adatokon és a nyilvánosan elérhető SZJA-szabályokon alapul. A számítás nem alkalmaz profilozást, és nem hoz jogi következménnyel járó döntéseket a Felhasználó helyett. A generált eredmény tájékoztató jellegű becslés; a bevallás benyújtása a Felhasználó felelőssége. A Felhasználó bármikor kérheti a számítás manuális felülvizsgálatát, illetve saját bevallásán módosíthatja az adatokat (GDPR 22. cikk).
12. A tájékoztató módosítása
A Szolgáltató fenntartja a jogot jelen Adatkezelési Tájékoztató módosítására. Lényeges változásról – különösen új adatkategória bevezetésekor vagy új adatfeldolgozó igénybevételekor – a Felhasználókat a hatálybalépés előtt legalább 30 nappal e-mailben értesítjük. A mindenkor hatályos tájékoztató elérhető: https://taxingo.hu/adatkezeles
A korábbi verziókat a módosítástól számított 2 évig archiváljuk. Korábbi verzió másolatát kérje az info@taxingo.hu e-mail-címen.
13. Kapcsolat és adatvédelmi kérelmek
| info@taxingo.hu | |
| Weboldal | https://taxingo.hu/contact |
| Válaszidő | Munkanapokon 5 munkanapon belül (GDPR-kérelmekre 30 napon belül) |
| NAIH panasz | ugyfelszolgalat@naih.hu | naih.hu |