1. Adatkezelői szerepek
A Bokko egy online időpontkérő és foglaláskezelő platform személyes szolgáltatók számára. A rendszer két eltérő adatkezelési helyzetet kezel:
- Szolgáltatói fiók és platformüzemeltetés: a Bokko önálló adatkezelő a szolgáltató fiókadatai, hozzáférési adatai, technikai és biztonsági naplói tekintetében.
- Vendégfoglalások: a vendég által megadott foglalási adatok elsődleges üzleti célja az, hogy a kiválasztott szolgáltató a kérést kezelni tudja. A vendégfoglalási adatok tekintetében az adatkezelő a szolgáltató, a Bokko a vendégfoglalási adatok tekintetében adatfeldolgozóként jár el. Kivételt képeznek azok az esetek, amikor a Bokko platformbiztonsági, visszaélés-megelőzési vagy jogi megfelelési célból önálló döntési jogkörrel rendelkezik — ezekben az esetekben a Bokko önálló adatkezelőként jár el.
- Platformszintű feldolgozás: a Bokko a szolgáltatás működtetéséhez, fejlesztéséhez és a számlázási jogviszony teljesítéséhez szükséges egyes feldolgozásokat önálló adatkezelőként is végezheti. Ahol a Bokko statisztikai vagy fejlesztési célból anonimizált adatokat használ, az ilyen feldolgozás az érintettekre közvetlenül vissza nem vezethető formában történik.
A Bokko és a szolgáltatók közötti szerepkiosztást a GDPR 28. cikke szerinti adatfeldolgozói megállapodás rögzíti, amely a Bokko Szolgáltatói szerződésének részét képezi. A megállapodás tárgyát a vendégfoglalási adatok feldolgozása képezi, időtartama a szerződéses jogviszony fennállásáig tart, az adatkategóriákat és az érintetti köröket e tájékoztató 2. pontja tartalmazza, az utasítási jog a szolgáltatót illeti meg. A Bokko nem hoz a szolgáltatásnyújtás konkrét feltételeire és tartalmára vonatkozó üzleti döntéseket, azonban a platform működéséhez szükséges technikai feldolgozási műveleteket önállóan végzi. Ennélfogva a vendégfoglalási adatok tekintetében az adatkezelő a szolgáltató.
Open Beta üzemeltetés. A Bokko jelenleg Open Beta fázisban,
magánszemély üzemeltetésében működik; cégalapítás tervezett, időpontja
még nem rögzített. Az üzemeltető Ektv. 4. § (1) a)-c) szerinti alapadatai:
Üzemeltető: Mácsik Dávid (magánszemély)
Lakcím: 7100 Szekszárd, Fürdőház utca 1
Elektronikus elérhetőség: support@bokko.app
A tárhelyszolgáltatóra vonatkozó adatokat (Ektv. 4. § (1) h)) az
Impresszum & Kapcsolat oldal tartalmazza.
2. Kezelt adatok köre
A jelenlegi alkalmazáslogika alapján a Bokko az alábbi adatokat kezeli.
| Érintetti kör | Adatkategória | Megjegyzés |
|---|---|---|
| Vendégek | Név, telefonszám, opcionális email cím, opcionális megjegyzés | A foglalási űrlapon kerül megadásra. |
| Vendégek | Kért szolgáltatás, preferált vagy visszaigazolt dátum és időpont, foglalási státusz | A foglalási kérés rögzítéséhez, kezeléséhez és visszaigazolásához szükséges. |
| Vendégek | Értesítési és eseménynapló adatok | SMS/email küldési időpontok, státuszváltások, válaszok, delivery metaadatok. |
| Vendégek | Token alapú válasz- és lemondási linkekhez kapcsolódó adatok | Átütemezési javaslat elfogadásához, elutasításához, illetve egyes vendégoldali műveletekhez. |
| Vendégek | Online fizetéshez, előleghez, kártyagaranciához és refundhoz kapcsolódó technikai és tranzakciós metaadatok | Csak akkor kezelt adatok, ha az adott szolgáltató online fizetési funkciót aktivál. |
| Vendégek | Számlázási adatok | Név, cégnév, adószám, cím és számlázási email, ha a vendég számlát kér. |
| Vendégek | Böngészőoldali tárolt adatok | Consent állapot, nyelvi és megjelenési preferenciák, valamint a foglalási űrlap név/email előkitöltése. |
| Szolgáltatók | Email cím, Firebase azonosító, szolgáltatói adatok | Bejelentkezéshez és a dashboard használatához. |
| Szolgáltatók | Kétfaktoros hitelesítési (TOTP/MFA) metaadatok | Ha az előfizető a kétfaktoros bejelentkezést aktiválja: TOTP titok és a visszaállítási kódok titkosított hash-ei, az utolsó sikeres és sikertelen hitelesítési kísérlet időbélyege. A TOTP titok maga soha nem kerül visszafejtve a hitelesítésen kívüli célra. |
| Szolgáltatók | Szolgáltató neve, slug, telefonszám, címe, nyitvatartása, értesítési email | A nyilvános foglalási oldal és az értesítések működtetéséhez. |
| Vendégek / Szolgáltatók | Google Calendar eseményadatok (vendég neve, szolgáltatás megnevezése, időpont) | Opcionális Google Calendar szinkronizáció esetén a foglalás kezeléséhez szükséges eseményadatok kerülnek a szolgáltató Google Calendar fiókjába. |
| Vendégek / Szolgáltatók | Hibamonitoring és diagnosztikai adatok | Futásidejű hibákhoz, kivételekhez és technikai diagnosztikához kapcsolódó események a rendszer stabil működtetéséhez. |
3. Az adatkezelés céljai és jogalapjai
| Cél | Érintett adatok | Jellemző jogalap |
|---|---|---|
| Foglalási kérés rögzítése és kezelése | Vendég név, telefon, szolgáltatás, időpont, megjegyzés | GDPR 6. cikk (1) b) pont - szerződéskötést megelőző lépések vagy szerződés teljesítése |
| Foglalási státuszról SMS vagy email értesítés küldése | Telefon, email, státuszadatok | GDPR 6. cikk (1) b) pont és adott esetben 6. cikk (1) f) pont |
| Dashboard hozzáférés és jogosultságkezelés | Szolgáltató email, azonosító | GDPR 6. cikk (1) b) pont |
| Online fizetés, előlegkezelés, kártyagarancia és számlázási adminisztráció | Fizetési metaadatok, számlázási adatok, bookinghoz kapcsolt fizetési állapotok | GDPR 6. cikk (1) b) pont, illetve ahol jogszabály írja elő, GDPR 6. cikk (1) c) pont |
| Visszaélés-megelőzés, rate limiting, rendszerbiztonság | Normalizált telefonszám, technikai események, naplók | GDPR 6. cikk (1) f) pont – jogos érdek, különösen a rendszerbiztonság, visszaélés-megelőzés és a szolgáltatás stabilitásának biztosítása érdekében. A jogos érdek alkalmazása során a Bokko érdekmérlegelési tesztet végez, figyelembe véve az érintett alapvető jogait és szabadságait. |
| Hibamonitoring és üzemeltetési diagnosztika | Technikai hibajelzések, kivétel- és teljesítményadatok | GDPR 6. cikk (1) f) pont – jogos érdek a szolgáltatás stabilitásának, hibakezelésének és biztonságának biztosításához |
| Hozzájárulás-alapú analitika | Analitikai események és az ezekhez szükséges böngészőazonosítók | GDPR 6. cikk (1) a) pont – az érintett hozzájárulása |
| Jogi kötelezettségek teljesítése, igényérvényesítés | Az adott ügyhöz kapcsolódó releváns adatok | GDPR 6. cikk (1) c) pont és 6. cikk (1) f) pont |
| Platformszintű működtetés, szolgáltatásfejlesztés és számlázási adminisztráció | Az ehhez szükséges minimális szolgáltatói és használati adatok, illetve ahol alkalmazható, anonimizált statisztikai adatok | GDPR 6. cikk (1) b) pont – a szolgáltatóval fennálló szerződés teljesítéséhez szükséges feldolgozások esetén; GDPR 6. cikk (1) f) pont – a szolgáltatás fejlesztéséhez és platformszintű működtetéséhez kapcsolódó jogos érdek esetén |
Marketing célú hírlevélküldés vagy profilalkotás a jelenlegi kódbázis alapján nem látható. Ha ilyen funkció később bekerül, ezt a tájékoztatót előzetesen frissíteni kell.
4. Címzettek, adatfeldolgozók és igénybe vett infrastruktúra-szolgáltatók
A jelenlegi architektúra alapján az adatok az alábbi szolgáltatókhoz vagy infrastruktúra-partnerekhez juthatnak el. Egyes szolgáltatók csak opcionális funkciók aktiválása esetén vesznek részt a feldolgozásban.
- Google Firebase - Auth, Firestore, Cloud Functions, Hosting és Firebase Analytics infrastruktúra.
- BulkGate (Spoje.net, s.r.o.) - SMS emlékeztetők kiküldése. EU-s székhely; az SMS-kézbesítési lánc harmadik országot is érinthet.
- Mailjet - tranzakciós email értesítések kiküldése.
- Sentry — hibamonitoring és technikai diagnosztika. A Bokko Sentry konfigurációja
beforeSendhookon keresztül technikai adatminimalizálási szűrést alkalmaz: többek között az email-címek, telefonszámok, hitelesítési tokenek és ismert foglalási token minták redaktálva kerülnek továbbításra a Sentry felé. - Google Calendar API - opcionális naptár-szinkronizáció.
- Stripe, Barion, SimplePay — online fizetésekhez, előlegekhez, refundokhoz és kapcsolódó fizetési metaadatokhoz előkészített szolgáltatók, ha az Előfizető ilyen funkciót aktivál és a Bokko az adott szolgáltatást elérhetővé teszi. Open Beta alatt a Bokko által kezelt online fizetési adatáramlás nem aktív; ezek az integrációk előkészített állapotban vannak.
- Billingo, Számlázz.hu - opcionális számlázási integrációk és a számlakiállításhoz szükséges számlázási adatok feldolgozása.
- Cloudflare - DNS-kezelés és Cloudflare Web Analytics: a getbokko.com landing oldalakon cookie nélküli, aggregált látogatottsági mérés; a Bokko nem használja egyedi felhasználói profilalkotásra. A mérési script kizárólag analytics hozzájárulás esetén töltődik be.
Egyes szolgáltatók esetén az adatok az Európai Gazdasági Térségen kívülre is továbbítódhatnak. A részletes, aktuális szolgáltatólista és a régiós/adattovábbítási bontás a külön al-adatfeldolgozói oldalon érhető el. Az adattovábbítás jogszerűsége jellemzően az alábbi mechanizmusokon alapul:
- Általános szerződési feltételek (SCC): az Európai Bizottság 2021/914/EU végrehajtási határozata szerinti standard szerződési feltételek, amelyekre az érintett szolgáltatók támaszkodnak.
- EU–US Data Privacy Framework (DPF): ahol az adatfeldolgozó tanúsítvánnyal rendelkezik az EU–US Data Privacy Framework keretében, az adattovábbítás ezen az adequacy decision alapján is jogszerű.
A Bokko a vonatkozó szolgáltatói és szerződéses garanciákra, különösen SCC-re és — ahol alkalmazható — az EU–US Data Privacy Frameworkre támaszkodik.
A Bokko fenntartja a jogot adatfeldolgozók bevonására vagy cseréjére, amelyről a szolgáltatókat megfelelően tájékoztatja.
5. Megőrzési idők
A Bokko külön megőrzési és törlési rendet alkalmaz. A részletes szabályok a Megőrzési és törlési rend oldalon érhetők el. A megőrzési szabályok részben automatizált, részben adminisztratív eljárásokkal kerülnek végrehajtásra.
| Adatkör | Javasolt szabály |
|---|---|
| Szolgáltató fiókadatok | A szerződés fennállása alatt, majd 90 nap, kivéve jogszabályi vagy jogvitához kapcsolódó hosszabb megőrzés esetén. |
| Aktív és lezárt foglalások | 60 hónap (5 év) az időpont napjától vagy a végső státuszfrissítéstől, kivéve ha jogvita, hatósági eljárás vagy követelés érvényesítése hosszabb megőrzést tesz szükségessé. |
| Technikai és biztonsági naplók | 12 hónap, kivéve ha konkrét incidens vagy jogvita miatt hosszabb megőrzés szükséges. |
| Számlázási és számviteli bizonylatok | Legalább 8 év — Számviteli tv. 169. § és ÁFA-tv. szerinti kötelező megőrzés. Bokko önálló adatkezelői célja (számlakibocsátói kötelezettség); ez az Előfizető vendégadatainak törlése után is fennáll. |
| Admin és biztonsági audit napló | Legfeljebb 7 év — jogi igényérvényesítési és biztonsági kötelezettség alapján. Bokko önálló adatkezelői célja. |
| Support kommunikáció és belső admin jegyzetek | 7 év — igényérvényesítési lehetőség és adminisztratív elszámoltathatósági cél alapján. |
| Rendszereseményi naplók (lifecycle audit) | 6 hónap — operatív és incidensvizsgálati cél; automatikus purge. |
| Munkatársi meghívók | 30 nap lejárattól vagy elfogadástól — email PII cleanup céljából. |
A teljes, adatkörönkénti megőrzési táblázat a Megőrzési és törlési rend oldalon érhető el.
6. Érintetti jogok
Az érintetteket a vonatkozó jogszabályok szerint megilletheti különösen:
- a hozzáféréshez való jog,
- a helyesbítéshez való jog,
- a törléshez való jog,
- az adatkezelés korlátozásához való jog,
- az adathordozhatósághoz való jog,
- a tiltakozáshoz való jog a jogos érdeken alapuló adatkezeléssel szemben;
- az automatizált döntéshozatal és profilalkotás elleni védelem joga (GDPR 22. cikk) — a Bokko jelenleg nem végez ilyen feldolgozást; részletek: AI és automatizált feldolgozás.
Ha a kérés közvetlenül egy adott szolgáltatónál történt foglalással kapcsolatos, az érintetti kérelmet elsőként a szolgáltató tudja érdemben kezelni, mivel a vendégfoglalási adatok tekintetében az adatkezelő a szolgáltató. A Bokko a szolgáltató adatfeldolgozójaként a szolgáltató utasításai alapján jár el, és indokolatlan késedelem nélkül támogatja az érintetti kérelmek teljesítését, figyelembe véve a vonatkozó jogszabályi határidőket.
A Bokko saját adatkezelési körébe tartozó kérelmeket (pl. szolgáltató fiókadatai) közvetlenül a support@bokko.app címen lehet benyújtani.
7. Sütik és technikai naplók
A rendszer technikailag szükséges sütiket és böngészőoldali tárolóelemeket alkalmaz — beleértve a cookie, localStorage és sessionStorage megoldásokat — például a Firebase Auth munkamenet-kezeléséhez, a consent állapot tárolásához, a nyelvi és megjelenési preferenciákhoz, valamint egyes foglalási űrlapok előkitöltéséhez.
A Bokko hozzájáruláshoz kötött analitikai mérést alkalmaz:
- Platform alkalmazások (dashboard, foglalási oldal): Firebase Analytics a Flutter platformalkalmazásokban — kizárólag az érintett előzetes hozzájárulása esetén aktiválódik.
- Landing oldalak (getbokko.com): Cloudflare Web Analytics — cookie nélküli, aggregált statisztika; a Bokko nem használja egyedi felhasználói profilalkotásra; kizárólag analytics hozzájárulás esetén töltődik be.
Remarketing vagy célzott hirdetési sütiket a Bokko jelenleg nem alkalmaz.
A részletes sütitípusokat, megőrzési időket és a hozzájárulás kezelését a Cookie és tracking tájékoztató tartalmazza.
8. Adatbiztonság
A Bokko a jelenlegi implementáció szerint több technikai védelmi megoldást alkalmaz, így például:
- jogosultságalapú Firestore hozzáférés-szabályokat,
- közvetlen kliens oldali foglalásírás tiltását,
- telefonnormalizálást és visszaélés-megelőző rate limitet,
- token alapú vendégválasz-oldalt átütemezési helyzetekre — a tokenek időben korlátozott érvényességűek és egyszer használatosak.
Teljes biztonság azonban az interneten nem garantálható. A Bokko hozzáférés-naplózási, folyamatos felülvizsgálati és incidenskezelési eljárásokat alkalmaz az adatok védelme érdekében. Adatvédelmi incidens esetén a Bokko a vonatkozó jogszabályoknak megfelelően jár el. Ha a Bokko az adott adatkezelés tekintetében adatkezelőként jár el, szükség esetén indokolatlan késedelem nélkül, lehetőség szerint a GDPR 33. cikke szerinti 72 órás határidőn belül értesíti az illetékes felügyeleti hatóságot, valamint súlyos kockázat esetén az érintetteket is. Ha a Bokko adatfeldolgozóként jár el, az incidenst indokolatlan késedelem nélkül jelzi az érintett szolgáltató részére.
A Bokko kizárólag a szükséges és arányos adatokat kezeli. Az adatminimalizálás elvét a funkcióterv és a kódbázis szintjén érvényesítjük.
9. Panasz és kapcsolat
Adatvédelmi kérdés vagy kérelem esetén írj a következő címre: support@bokko.app. A Bokko indokolatlan késedelem nélkül, legkésőbb a vonatkozó jogszabályi határidőn belül válaszol.
Magyarországon panasz nyújtható be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is:
NAIH
1055 Budapest, Falk Miksa utca 9-11.
https://www.naih.hu/
10. Verziókezelés
A Bokko fenntartja a jogot a tájékoztató frissítésére. Lényeges változás esetén az új verzió hatálybalépési dátumát ezen az oldalon kell feltüntetni, és szükség esetén külön értesítést is kell küldeni a szolgáltatók részére.