Adatvédelmi tájékoztató

Hatálybalépés napja: 2026. május 5.

Verzió

1.0 (2026-05-05)

Joghatóság: A jelen adatkezelés felügyeletét — a Szolgáltató romániai székhelye okán — a román adatvédelmi hatóság (ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) látja el.

A jelen tájékoztató a Medjugorje Zarándok Alkalmazás (a továbbiakban: „Alkalmazás") használata során megvalósuló személyesadat-kezelésről nyújt tájékoztatást az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) és a vonatkozó romániai jogszabályok (különösen a 190/2018. sz. törvény) alapján.

1. Az adatkezelő

| | | |---|---| | Név | GoznAir Group | | Székhely / postacím | [GoznAir Group postacíme] | | Adatvédelmi kapcsolattartó | [adatvedelem@goznair.hu] | | Az adatkezelő képviselője | [képviselő neve] |

Az érintett az adatkezeléssel kapcsolatos bármely kérdésében a fenti elérhetőségeken fordulhat az adatkezelőhöz.

2. A kezelt személyes adatok kategóriái

Az Alkalmazás az alábbi adatköröket kezeli:

2.1. Fiók- és kapcsolattartási adatok

• teljes név (profiles.full_name),
• e-mail cím (a Supabase Auth rendszerén keresztül),
• telefonszám (profiles.phone),
• felhasználói szerepkör (zarándok / adminisztrátor).

2.2. Zarándoklattal kapcsolatos adatok

• szállás- és étkezési preferenciák (pilgrims.room_preference, dietary_notes),
• befizetések, részletek és egyenlegek (payments).

2.3. Naplóbejegyzések és közösségi tartalmak

• privát és nyilvánosan megosztott naplóbejegyzések (journal_entries),
• imatáblás kérések, hozzászólások, reakciók (prayer_board_posts, post_comments, post_reactions),
• felhasználó által feltöltött képek (gallery_items, community-uploads tárhely).

2.4. Különleges kategóriájú adatok (GDPR 9. cikk)

• gyónási előkészület (confession_progress, confession_section_notes),
• olvasási terv haladása és audió-történetek hallgatottsága (reading_progress, story_progress),
• naplóbejegyzések tartalma, amennyiben az érintett vallási meggyőződésére, lelki életére utal.

Ezek az adatok az érintett vallási meggyőződésére vonatkoznak, és a GDPR 9. cikk (1) bekezdése szerint különleges kategóriájú személyes adatnak minősülnek.

2.5. Műszaki és használati adatok

• bejelentkezési és eseménynaplók (events),
• fordítási és AI-eszköz használati statisztika (translation_usage),
• IP-cím, böngésző- és eszközazonosítók a hosting és analitika szolgáltató naplóiban.

3. Az adatkezelés céljai és jogalapjai

| Cél | Adatkör | Jogalap | |---|---|---| | Felhasználói fiók létrehozása és kezelése | 2.1, 2.2 | GDPR 6. cikk (1) b) — szerződés teljesítése | | Zarándoklat szervezése, fizetések nyilvántartása | 2.2 | GDPR 6. cikk (1) b) — szerződés teljesítése | | Közösségi funkciók (napló, imatábla, galéria) | 2.3 | GDPR 6. cikk (1) a) — hozzájárulás | | Lelki előrehaladás, gyónási előkészület, olvasási terv | 2.4 | GDPR 9. cikk (2) a) — kifejezett hozzájárulás | | Az Alkalmazás biztonsága, visszaélés-megelőzés, kvótaérvényesítés | 2.5 | GDPR 6. cikk (1) f) — jogos érdek (az adatkezelő érdeke a szolgáltatás üzemeltetéséhez) | | Statisztikai elemzés, szolgáltatásfejlesztés | anonimizált 2.5 | GDPR 6. cikk (1) f) — jogos érdek | | Hatósági megkeresés teljesítése | bármely | GDPR 6. cikk (1) c) — jogi kötelezettség |

A különleges kategóriájú adatok kezeléséhez kifejezett, önkéntes és visszavonható hozzájárulást kérünk a regisztráció során. A hozzájárulás visszavonása nem érinti a visszavonás előtti adatkezelés jogszerűségét.

4. Adattárolási idő

| Adatkör | Megőrzési idő | |---|---| | Fiókadatok (2.1) | a fiók aktív státusza alatt + 30 nap a törlési kérés vagy az utolsó belépés után 24 hónappal | | Zarándoklati és pénzügyi adatok (2.2) | a számvitelről szóló 2000. évi C. törvény 169. § alapján 8 év | | Naplóbejegyzések, közösségi tartalmak (2.3) | a felhasználó saját döntése szerint, törlés napjáig + 30 nap biztonsági mentés | | Lelki és vallási adatok (2.4) | a felhasználó saját döntése szerint, törlés napjáig + 30 nap biztonsági mentés | | Naplók, eseményadatok (2.5) | legfeljebb 12 hónap, ezt követően anonimizálva vagy törölve | | Hatósági ügyek dokumentációja | a vonatkozó eljárás jogerős lezárását követő 5 év |

5. Címzettek és adatfeldolgozók

Az Alkalmazás működtetéséhez az alábbi adatfeldolgozókat vesszük igénybe. Mindegyikkel írásos adatfeldolgozási szerződés (DPA) van érvényben, és az EGT-n kívüli adattovábbításokat a Bizottság 2021/914 (EU) végrehajtási határozata szerinti általános szerződési feltételek (SCC) és — szükség esetén — kiegészítő technikai intézkedések biztosítják.

| Adatfeldolgozó | Tevékenység | Székhely | Továbbítás | |---|---|---|---| | Supabase Inc. | adatbázis, autentikáció, fájltárolás | USA / EU régió | EU-régió esetén nincs harmadik országbeli továbbítás; USA esetén SCC | | Vercel Inc. | alkalmazás hosting, analitika, edge-konfiguráció | USA | SCC | | Microsoft (Edge TTS) | szövegfelolvasás (TTS) | USA / EU | SCC | | Groq, Inc. | beszéd-szöveg átírás (Whisper) és LLM fordítás | USA | SCC | | DeepL SE | szöveges fordítás | Németország | EU | | Microsoft (Azure Translator) | szöveges fordítás (alternatív szolgáltató) | EU / USA | SCC | | MyMemory / Translated S.r.l. | tartalék fordítás | Olaszország | EU | | Lingva Translate | tartalék fordítás | EU | EU | | OpenStreetMap Foundation (OSRM) | útvonalszámítás | EU / Egyesült Királyság | nem személyes adat továbbítása | | MapLibre / Mapbox (amennyiben aktivált) | térképmegjelenítés | USA | SCC | | Resend (amennyiben aktivált) | tranzakciós e-mail | USA | SCC | | Radio Mir Medjugorje (mirm.live) | élő rádióadás-folyam (csak hangadat, nem felhasználói adat) | Bosznia-Hercegovina | nem személyes adat továbbítása |

Az adatkezelő nyilvántartást vezet az aktuálisan használt adatfeldolgozókról; a lista naprakész változatát az érintett a 1. pontban megadott elérhetőségen kérheti.

A gyónási és olvasási haladás (2.4) kizárólag a Supabase EU-régiójában tárolódik, és nem kerül továbbításra Groq vagy más AI-szolgáltató felé.

6. Az érintett jogai

A GDPR 15–22. cikke szerint az érintett az alábbi jogokkal rendelkezik:

• Hozzáférés joga (15. cikk) — másolat kérhető a kezelt adatokról.
• Helyesbítés joga (16. cikk) — pontatlan adat javítása.
• Törlés joga / „elfeledtetéshez való jog" (17. cikk) — fiók és kapcsolódó adatok törlése a 4. pont szerinti megőrzési kötelezettségek figyelembevételével.
• Az adatkezelés korlátozásához való jog (18. cikk).
• Adathordozhatósághoz való jog (20. cikk) — a felhasználó által megadott adatok géppel olvasható (JSON) formában történő kiadása.
• Tiltakozáshoz való jog (21. cikk) — jogos érdeken alapuló adatkezelés ellen.
• Hozzájárulás visszavonása (7. cikk (3)) — bármikor, díjmentesen, a fiókbeállításokban vagy a 1. pontban megadott e-mail címen.
• Automatizált döntéshozatallal kapcsolatos jogok (22. cikk) — az Alkalmazás nem hoz az érintettre nézve jogi hatású automatizált döntést.

A jogok gyakorlására irányuló kérelmet az adatkezelő a beérkezést követő legfeljebb 1 hónapon belül teljesíti, indokolt esetben ez 2 hónappal meghosszabbítható.

7. Sütik és helyi tárhely

Az Alkalmazás az alábbi sütiket / helyi tárhely-elemeket használja:

| Típus | Cél | Élettartam | Jogalap | |---|---|---|---| | Munkamenet-süti (sb-*, Supabase Auth) | bejelentkezett állapot fenntartása | Munkamenet / 1 óra (refresh tokennel megújítva) | szerződés teljesítése | | Beállítási süti (téma, nyelv) | felhasználói preferenciák | 12 hónap | jogos érdek | | Vercel Analytics anonimizált azonosító | aggregált látogatottság | 24 óra | jogos érdek |

Az Alkalmazás nem helyez el harmadik fél marketing- vagy követősütit.

8. Adatbiztonság

Az adatkezelő a GDPR 32. cikke szerinti technikai és szervezési intézkedéseket alkalmaz:

• titkosított (TLS 1.2+) adatátvitel,
• a Supabase oldalán nyugalmi állapotban titkosított tárolás,
• PostgreSQL Row-Level Security (RLS) alapú hozzáférés-vezérlés,
• adminisztrátori jogosultságok korlátozása és felülvizsgálata,
• jelszavak bcrypt-alapú egyirányú tárolása (Supabase Auth),
• biztonsági frissítések rendszeres telepítése,
• rendszeres biztonsági auditok (lásd: docs/security-audit.md).

9. Adatvédelmi panaszok és jogorvoslat

Amennyiben az érintett úgy ítéli meg, hogy adatainak kezelése sérti a GDPR-t vagy az Infotv. rendelkezéseit, panaszt nyújthat be:

• az adatkezelőnél a 1. pontban megadott elérhetőségeken;
• a román adatvédelmi hatóságnál (ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)
  • cím: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 București, Románia
  • telefon: +40.318.059.211 / +40.318.059.212
  • e-mail: anspdcp@dataprotection.ro
  • web: https://www.dataprotection.ro
• valamint bírósághoz fordulhat lakóhelye vagy az adatkezelő székhelye szerint illetékes törvényszéknél.

10. A tájékoztató módosítása

Az adatkezelő fenntartja a jogot, hogy a jelen tájékoztatót egyoldalúan módosítsa, különösen jogszabályváltozás vagy az Alkalmazás funkcióinak változása esetén. A módosított tájékoztatót a hatályba lépés előtt legalább 15 nappal közzétesszük az Alkalmazásban, lényeges változás esetén e-mailes értesítés is történik. A változtatások a közzététel napjától hatályosak; az Alkalmazás további használata a módosítás elfogadásának minősül.

Jelen tájékoztató tervezet jellegű; a hatályba léptetés előtt jogi felülvizsgálata javasolt. A […] jelölésű placeholder-eket az adatkezelő tényleges adataival szükséges kitölteni.