Nagy Attila Ferenc egyéni vállalkozó (Expert Flow, továbbiakban: Adatkezelő) elkötelezett az ügyfelei személyes adatainak védelme iránt. Jelen nyilatkozat az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), a 2011. évi CXII. törvény (Info tv.), az EU AI Act (2024/1689/EU) és az Ektv. rendelkezéseivel összhangban készült.
1. Az adatkezelő azonosító adatai
Neve: Nagy Attila Ferenc egyéni vállalkozó (Expert Flow)
Nyilvántartási szám: 59431785 | Adószám: 90273621-1-29
Székhely: 4033 Debrecen, Gépész utca 28.
E-mail: hello@expertflow.hu | Web: www.expertflow.hu | www.expertai.hu
Adatvédelmi kapcsolattartó: hello@expertflow.hu (külön DPO kinevezésére nem kötelezett)
Nyilvántartási szám: 59431785 | Adószám: 90273621-1-29
Székhely: 4033 Debrecen, Gépész utca 28.
E-mail: hello@expertflow.hu | Web: www.expertflow.hu | www.expertai.hu
Adatvédelmi kapcsolattartó: hello@expertflow.hu (külön DPO kinevezésére nem kötelezett)
2. Az adatkezelés alapelvei (GDPR 5. cikk)
Az Adatkezelő a személyes adatokat: jogszerűen, tisztességesen és átlátható módon; meghatározott, egyértelmű és jogszerű célból; az adatkezelési céllal arányosan és csak a szükséges mértékben; pontosan és naprakészen; kizárólag a szükséges ideig; megfelelő technikai és szervezési biztonsági intézkedések mellett kezeli.
3. A kezelt adatok köre, célja és jogalapja
3.1 Kapcsolatfelvétel és érdeklődés
Adatok: név, e-mail cím, a megkeresés tartalma.
Cél: kapcsolatfelvételre való reagálás, ajánlatadás.
Jogalap: az érintett hozzájárulása (GDPR 6. cikk (1) a) pont).
Tárolás: az ügyfélkapcsolat lezárásától számított 1 évig, vagy a hozzájárulás visszavonásáig.
Cél: kapcsolatfelvételre való reagálás, ajánlatadás.
Jogalap: az érintett hozzájárulása (GDPR 6. cikk (1) a) pont).
Tárolás: az ügyfélkapcsolat lezárásától számított 1 évig, vagy a hozzájárulás visszavonásáig.
3.2 Szerződéses kapcsolat – tanácsadási szolgáltatás
Adatok: név, e-mail cím, számlázási adatok, a 12 hetes együttműködés keretében megosztott üzleti információk.
Cél: szerződés teljesítése, számlázás, jogi kötelezettségek teljesítése.
Jogalap: szerződés teljesítése (GDPR 6. cikk (1) b) pont) és jogi kötelezettség (c) pont).
Tárolás: a jogviszony megszűnésétől számított 8 év (2000. évi C. törvény – Számv. tv. alapján).
Cél: szerződés teljesítése, számlázás, jogi kötelezettségek teljesítése.
Jogalap: szerződés teljesítése (GDPR 6. cikk (1) b) pont) és jogi kötelezettség (c) pont).
Tárolás: a jogviszony megszűnésétől számított 8 év (2000. évi C. törvény – Számv. tv. alapján).
3.3 Business Start kurzus vásárlás
Adatok: név, e-mail cím, számlázási adatok, kurzushoz való hozzáférési adatok, tanulmányi előrehaladás.
Cél: kurzus hozzáférés biztosítása, számlázás, szavatossági és garanciális igények dokumentálása.
Jogalap: szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Tárolás: a hozzáférés lejártától számított 8 év (Számv. tv.).
Cél: kurzus hozzáférés biztosítása, számlázás, szavatossági és garanciális igények dokumentálása.
Jogalap: szerződés teljesítése (GDPR 6. cikk (1) b) pont).
Tárolás: a hozzáférés lejártától számított 8 év (Számv. tv.).
3.4 Hírlevél és marketing kommunikáció
Adatok: e-mail cím, keresztnév.
Cél: tájékoztatás aktuális tartalmakról és szolgáltatásokról.
Jogalap: önkéntes hozzájárulás (GDPR 6. cikk (1) a) pont). Leiratkozásra minden hírlevélben lehetőség van.
Platform: Kit (kit.com, korábbi nevén ConvertKit, Kit.com Inc., USA). Az adatokat a Kit adatfeldolgozóként, az Adatkezelő utasításai szerint kezeli; az EU–USA adattovábbítás az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCC) alapján történik.
Tárolás: a hozzájárulás visszavonásáig.
Cél: tájékoztatás aktuális tartalmakról és szolgáltatásokról.
Jogalap: önkéntes hozzájárulás (GDPR 6. cikk (1) a) pont). Leiratkozásra minden hírlevélben lehetőség van.
Platform: Kit (kit.com, korábbi nevén ConvertKit, Kit.com Inc., USA). Az adatokat a Kit adatfeldolgozóként, az Adatkezelő utasításai szerint kezeli; az EU–USA adattovábbítás az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCC) alapján történik.
Tárolás: a hozzájárulás visszavonásáig.
3.5 Online fizetés (Stripe)
Adatok: számlázási cím; a kártyaadatokat kizárólag a Stripe rendszere kezeli.
Cél: fizetési tranzakció biztonságos teljesítése.
Jogalap: szerződés teljesítése (GDPR 6. cikk (1) b) pont).
A kártyaadatokat az Adatkezelő soha nem látja és nem tárolja; azokat a Stripe Payments Europe Ltd. kezeli PCI DSS Level 1 kompatibilis rendszerben. Stripe adatvédelem: stripe.com/privacy.
Cél: fizetési tranzakció biztonságos teljesítése.
Jogalap: szerződés teljesítése (GDPR 6. cikk (1) b) pont).
A kártyaadatokat az Adatkezelő soha nem látja és nem tárolja; azokat a Stripe Payments Europe Ltd. kezeli PCI DSS Level 1 kompatibilis rendszerben. Stripe adatvédelem: stripe.com/privacy.
3.6 Weboldal-látogatás
Adatok: IP-cím, böngészőadatok, cookie-k (részletesen a Cookie Nyilatkozatban).
Cél: a weboldal rendeltetésszerű működtetése, látogatottsági statisztikák.
Jogalap: jogos érdek (GDPR 6. cikk (1) f) pont) az alapvető működéshez; hozzájárulás (a) pont az elemzési és marketing cookie-khoz.
Cél: a weboldal rendeltetésszerű működtetése, látogatottsági statisztikák.
Jogalap: jogos érdek (GDPR 6. cikk (1) f) pont) az alapvető működéshez; hozzájárulás (a) pont az elemzési és marketing cookie-khoz.
4. AI-eszközök alkalmazása – adatvédelmi és AI Act rendelkezések
4.1 Alkalmazott AI-eszközök és az EU AI Act szerinti szerepkör
A Szolgáltató a 12 hetes tanácsadás és a Business Start kurzus keretében mesterséges intelligencián alapuló eszközöket alkalmaz, jelenleg elsősorban a Claude API-t (Anthropic PBC, USA). A Szolgáltató a jövőben hangalapú AI-asszisztenseket (voice agent) és egyéb AI-ügynök technológiákat is bevezethet.
Az EU AI Act (2024/1689/EU) alapján a Szolgáltató "deployer" (üzemeltető) szerepkörben jár el, és vállalja az e szerepkörhöz kapcsolódó kötelezettségek maradéktalan betartását, különös tekintettel:
Átláthatósági kötelezettség: az érintett személyt tájékoztatni kell arról, ha AI-rendszerrel kommunikál – különösen voice agent esetén, ahol ezt előzetesen, egyértelműen jelezni kell.
AI-generált tartalom jelölése: ahol alkalmazandó, az AI által generált tartalmakat megjelöli.
Emberi felügyelet: minden érdemi döntésnél emberi felülvizsgálat érvényesül; az AI kizárólag támogató eszköz.
Az EU AI Act (2024/1689/EU) alapján a Szolgáltató "deployer" (üzemeltető) szerepkörben jár el, és vállalja az e szerepkörhöz kapcsolódó kötelezettségek maradéktalan betartását, különös tekintettel:
Átláthatósági kötelezettség: az érintett személyt tájékoztatni kell arról, ha AI-rendszerrel kommunikál – különösen voice agent esetén, ahol ezt előzetesen, egyértelműen jelezni kell.
AI-generált tartalom jelölése: ahol alkalmazandó, az AI által generált tartalmakat megjelöli.
Emberi felügyelet: minden érdemi döntésnél emberi felülvizsgálat érvényesül; az AI kizárólag támogató eszköz.
4.2 Adatvédelmi garanciák AI-eszközök használata során
Az Adatkezelő kijelenti és szavatolja, hogy:
Az ügyfelektől begyűjtött adatokat, üzleti információkat és kommunikációs tartalmakat harmadik fél számára semmilyen formában nem adja át, nem értékesíti és nem osztja meg.
Az AI-eszközök kizárólag az adott ügyfél szolgáltatásán belül kerülnek alkalmazásra; egy ügyfél adatai más ügyfelek esetén semmilyen formában nem kerülnek felhasználásra.
A hangalapú AI-asszisztens által folytatott kommunikáció tartalma nem kerül nyilvánosan hozzáférhető helyre, és nem kerül megosztásra harmadik féllel.
Az Anthropic Claude API alapértelmezetten nem használja az API-n keresztül küldött adatokat modelltanításra. Az Adatkezelő ezt az alapértelmezett beállítást alkalmazza, és nem járul hozzá az adatok tanítási célú felhasználásához.
Az AI-platformok (pl. Anthropic) az Adatkezelővel kötött adatfeldolgozói megállapodás alapján, kizárólag a szolgáltatásnyújtás céljából kezelhetnek ügyféladatokat.
Az ügyfelektől begyűjtött adatokat, üzleti információkat és kommunikációs tartalmakat harmadik fél számára semmilyen formában nem adja át, nem értékesíti és nem osztja meg.
Az AI-eszközök kizárólag az adott ügyfél szolgáltatásán belül kerülnek alkalmazásra; egy ügyfél adatai más ügyfelek esetén semmilyen formában nem kerülnek felhasználásra.
A hangalapú AI-asszisztens által folytatott kommunikáció tartalma nem kerül nyilvánosan hozzáférhető helyre, és nem kerül megosztásra harmadik féllel.
Az Anthropic Claude API alapértelmezetten nem használja az API-n keresztül küldött adatokat modelltanításra. Az Adatkezelő ezt az alapértelmezett beállítást alkalmazza, és nem járul hozzá az adatok tanítási célú felhasználásához.
Az AI-platformok (pl. Anthropic) az Adatkezelővel kötött adatfeldolgozói megállapodás alapján, kizárólag a szolgáltatásnyújtás céljából kezelhetnek ügyféladatokat.
4.3 Elkötelezettség jövőbeli AI-eszközökre
Amennyiben új AI-eszköz kerül bevezetésre, az Adatkezelő kötelezi magát arra, hogy:
Az eszközt adatvédelmi és AI Act-kompatibilitási szempontból is megvizsgálja bevezetés előtt
Az ügyfélkommunikáció tartalma az új eszközben sem kerül harmadik félhez
Az adatfeldolgozói viszonyokat dokumentálja, és szükség esetén adatvédelmi hatásvizsgálatot (DPIA) végez
Jelen Nyilatkozatot az új eszköz bevezetésekor frissíti, és az érintetteket értesíti
Az eszközt adatvédelmi és AI Act-kompatibilitási szempontból is megvizsgálja bevezetés előtt
Az ügyfélkommunikáció tartalma az új eszközben sem kerül harmadik félhez
Az adatfeldolgozói viszonyokat dokumentálja, és szükség esetén adatvédelmi hatásvizsgálatot (DPIA) végez
Jelen Nyilatkozatot az új eszköz bevezetésekor frissíti, és az érintetteket értesíti
5. Adattárolás, infrastruktúra és adatbiztonság
5.1 Adattárolási rendszerek és harmadik országba való továbbítás
Az Adatkezelő az ügyfelek üzleti adatait és a kurzushoz kapcsolódó adatokat a Supabase platformon tárolja. A Supabase adatközpontja az Európai Gazdasági Térségen belül található; a pontos helyszín a Supabase infrastruktúra-változásaitól függően módosulhat, azonban az Adatkezelő kizárólag EGT-n belüli adattárolást alkalmaz. A Supabase adatfeldolgozóként a GDPR követelményeinek megfelelő garanciák mellett jár el.
A weboldal- és kurzusinfrastruktúra összefoglalója:
Webflow (www.expertflow.hu) – Webflow Inc., USA; adattovábbítás SCC alapján
Vercel (www.expertai.hu, landing oldalak) – Vercel Inc., USA; adattovábbítás SCC alapján; forráskód: GitHub (Microsoft Corp., USA)
Google Workspace / Gmail – Google LLC, USA; Google Cloud DPA alapján, adattovábbítás SCC alapján
Kit/ConvertKit – Kit.com Inc., USA; adattovábbítás SCC alapján
Stripe – Stripe Payments Europe Ltd., Írország (EU); az adatok elsődlegesen EU-n belül kezeltek
Anthropic (Claude API) – Anthropic PBC, USA; adatfeldolgozói megállapodás és SCC alapján
SCC = Standard Contractual Clauses: az Európai Bizottság által jóváhagyott általános szerződési feltételek az EU–USA adattovábbítás jogszerűségének biztosítására.
A weboldal- és kurzusinfrastruktúra összefoglalója:
Webflow (www.expertflow.hu) – Webflow Inc., USA; adattovábbítás SCC alapján
Vercel (www.expertai.hu, landing oldalak) – Vercel Inc., USA; adattovábbítás SCC alapján; forráskód: GitHub (Microsoft Corp., USA)
Google Workspace / Gmail – Google LLC, USA; Google Cloud DPA alapján, adattovábbítás SCC alapján
Kit/ConvertKit – Kit.com Inc., USA; adattovábbítás SCC alapján
Stripe – Stripe Payments Europe Ltd., Írország (EU); az adatok elsődlegesen EU-n belül kezeltek
Anthropic (Claude API) – Anthropic PBC, USA; adatfeldolgozói megállapodás és SCC alapján
SCC = Standard Contractual Clauses: az Európai Bizottság által jóváhagyott általános szerződési feltételek az EU–USA adattovábbítás jogszerűségének biztosítására.
5.2 Biztonsági intézkedések
Jelszóval és kétfaktoros hitelesítéssel (2FA) védett hozzáférés valamennyi rendszerhez
Titkosított adatátvitel (HTTPS/TLS protokoll)
Rendszeres biztonsági mentések
Hozzáférési jogosultságok minimalizálása (need-to-know elv)
Adatvédelmi incidens esetén az Adatkezelő 72 órán belül értesíti a NAIH-ot (GDPR 33. cikk), és indokolatlan késedelem nélkül tájékoztatja az érintetteket, ha az incidensnek valószínűsíthetően magas kockázata van az érintett jogaira nézve (GDPR 34. cikk)
Titkosított adatátvitel (HTTPS/TLS protokoll)
Rendszeres biztonsági mentések
Hozzáférési jogosultságok minimalizálása (need-to-know elv)
Adatvédelmi incidens esetén az Adatkezelő 72 órán belül értesíti a NAIH-ot (GDPR 33. cikk), és indokolatlan késedelem nélkül tájékoztatja az érintetteket, ha az incidensnek valószínűsíthetően magas kockázata van az érintett jogaira nézve (GDPR 34. cikk)
6. Adattovábbítás és adatfeldolgozók teljes listája
Az Adatkezelő személyes adatot kizárólag az alábbi esetekben ad át:
Adatfeldolgozóknak, adatfeldolgozói megállapodás alapján: Supabase (adatbázis, EGT), Stripe (fizetés, EU/USA), Kit/ConvertKit (hírlevél, USA), Webflow (webhoszting, USA), Vercel (infrastruktúra, USA), GitHub/Microsoft (kódtároló, USA), Anthropic (Claude API, USA), Google LLC (Gmail Workspace, USA)
Kötelező jogszabályi rendelkezés vagy hatósági megkeresés alapján – kizárólag a szükséges mértékben
Az Adatkezelő az ügyfelek személyes adatait semmilyen egyéb célból nem adja át harmadik félnek, és azokat nem értékesíti.
Adatfeldolgozóknak, adatfeldolgozói megállapodás alapján: Supabase (adatbázis, EGT), Stripe (fizetés, EU/USA), Kit/ConvertKit (hírlevél, USA), Webflow (webhoszting, USA), Vercel (infrastruktúra, USA), GitHub/Microsoft (kódtároló, USA), Anthropic (Claude API, USA), Google LLC (Gmail Workspace, USA)
Kötelező jogszabályi rendelkezés vagy hatósági megkeresés alapján – kizárólag a szükséges mértékben
Az Adatkezelő az ügyfelek személyes adatait semmilyen egyéb célból nem adja át harmadik félnek, és azokat nem értékesíti.
7. Az érintett jogai és azok érvényesítése
Az érintett a hello@expertflow.hu e-mail-címre küldött kéréssel bármikor gyakorolhatja az alábbi jogokat:
Hozzáférési jog (GDPR 15. cikk) – tájékoztatás a kezelt adatokról és azok forrásáról
Helyesbítési jog (16. cikk) – pontatlan adatok kijavítása
Törlési jog / elfeledtetéshez való jog (17. cikk) – adatok törlése, ha a jogalap megszűnt
Korlátozáshoz való jog (18. cikk) – az adatkezelés korlátozásának kérése
Adathordozhatósághoz való jog (20. cikk) – az adatok strukturált, géppel olvasható formátumban való kiadása
Tiltakozás joga (21. cikk) – jogos érdeken alapuló adatkezelés esetén
Hozzájárulás visszavonásának joga – a hozzájáruláson alapuló adatkezelés bármikor visszavonható; ez nem érinti a visszavonás előtti adatkezelés jogszerűségét
A kérelmeket az Adatkezelő 1 hónapon belül teljesíti; indokolt esetben ez 2 hónappal meghosszabbítható. Panasz benyújtható a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH): naih.hu | 1055 Budapest, Falk Miksa u. 9–11. | ugyfelszolgalat@naih.hu
Hozzáférési jog (GDPR 15. cikk) – tájékoztatás a kezelt adatokról és azok forrásáról
Helyesbítési jog (16. cikk) – pontatlan adatok kijavítása
Törlési jog / elfeledtetéshez való jog (17. cikk) – adatok törlése, ha a jogalap megszűnt
Korlátozáshoz való jog (18. cikk) – az adatkezelés korlátozásának kérése
Adathordozhatósághoz való jog (20. cikk) – az adatok strukturált, géppel olvasható formátumban való kiadása
Tiltakozás joga (21. cikk) – jogos érdeken alapuló adatkezelés esetén
Hozzájárulás visszavonásának joga – a hozzájáruláson alapuló adatkezelés bármikor visszavonható; ez nem érinti a visszavonás előtti adatkezelés jogszerűségét
A kérelmeket az Adatkezelő 1 hónapon belül teljesíti; indokolt esetben ez 2 hónappal meghosszabbítható. Panasz benyújtható a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH): naih.hu | 1055 Budapest, Falk Miksa u. 9–11. | ugyfelszolgalat@naih.hu
8. Automatizált döntéshozatal
Az Adatkezelő az ügyfelekkel kapcsolatban kizárólag emberi felügyelet mellett hoz döntéseket. Teljesen automatizált, az érintettre joghatással járó döntéshozatal (GDPR 22. cikk) nem valósul meg.
9. A Nyilatkozat módosítása
Az Adatkezelő fenntartja a jogot jelen Nyilatkozat módosítására, különösen jogszabályi változás, új AI-eszköz bevezetése vagy infrastruktúra-változás esetén. A módosításokról az érintetteket e-mailben vagy a weboldalon közzétett közleménnyel értesíti, legalább 15 nappal a hatályba lépés előtt.
.png)
.svg)
.svg){kind=icon}
