Adatkezelési Tájékoztató
A Cashletics adatkezelési tájékoztatója: kezelt adatok, jogalapok, megőrzési idők és érintetti jogok.
Adatkezelési Tájékoztató
Cashletics mobilalkalmazás — Magyar nyelvű változat
| Adatkezelő | Mózer Ferenc egyéni vállalkozó 6044 Kecskemét, Hetény-Belsőnyír 268/2. |
| Hatálybalépés | 2026. július 5. |
| Verzió | v1.5 | 2026 |
| Kapcsolódó dok. | AT-001-EN (angol fordítás) — eltérés esetén a MAGYAR szöveg irányadó |
1. Az adatkezelő adatai
| Adatkezelő neve | Mózer Ferenc |
| Gazdálkodási forma | Egyéni vállalkozó (EV) |
| Székhely / levelezési cím | 6044 Kecskemét, Hetény-Belsőnyír 268/2. |
| EV nyilvántartási szám | 58145155 |
| Adószám | 41905517-1-23 |
| Adatvédelmi kapcsolattartó e-mail | privacy@cashleticsapp.com |
| Support e-mail | support@cashleticsapp.com |
| Jogi e-mail | legal@cashleticsapp.com |
| Support telefon | +36 30 728 4422 |
| Honlap | https://cashleticsapp.com/legal.php |
| Adatkérelem (webes) | https://cashleticsapp.com/adatkerelem.php |
| Fióktörlés (webes) | https://cashleticsapp.com/fiok-torlese.php |
| Válaszadási határidő | 30 nap (GDPR 12. cikk) |
2. A tájékoztató célja és az adatkezelés alapelvei
Ez a tájékoztató bemutatja, hogy a Cashletics alkalmazás használata során milyen személyes adatokat kezelünk, milyen célból, milyen jogalappal, meddig őrizzük meg azokat, és milyen jogok illetik meg az érintetteket.
Az adatkezelés alapelvei (GDPR 5. cikk):
Jogszerűség, tisztességesség és átláthatóság
Célhoz kötöttség — az adatokat csak meghatározott, egyértelmű célra használjuk
Adattakarékosság — csak az adott célhoz szükséges adatokat kezeljük
Pontosság és korlátozott tárolhatóság
Integritás, bizalmas jelleg és elszámoltathatóság
| Kérjük, hogy az alkalmazásba ne rögzítsen különleges adatot (pl. egészségügyi betegség, politikai meggyőződés) vagy harmadik személy személyes adatát, kivéve ha erre megfelelő jogalappal rendelkezik. |
3. Adatkezelési jogalapok áttekintése
| Jogalap | GDPR hivatkozás | Mikor alkalmazzuk |
|---|---|---|
| Szerződés teljesítése | 6(1)(b) | Fiók, pénzügyi bejegyzések, célok — az alkalmazás alapfunkcióihoz szükséges |
| Hozzájárulás | 6(1)(a) | Analytics, marketing értesítés, AdMob, ranglista, banki értesítés |
| Explicit hozzájárulás | 9(2)(a) | Egészségügyi adat (lépésszám) — különleges adat |
| Jogos érdek | 6(1)(f) | Hibajavítás, visszaélés-megelőzés, belső statisztika |
| Jogi kötelezettség | 6(1)(c) | Adózási, számviteli megőrzési kötelezettség (ha alkalmazó) |
4. Kezelt adatok — tételes táblázat
Az alábbi tábla az összes adatkezelési tevékenységet tartalmazza. A tételes ROPA (GDPR 30. cikk) nyilvántartás: ROPA-001.
| Adatkör | Konkrét adatok | Cél | Jogalap | Megőrzési idő |
|---|---|---|---|---|
| Fiókadatok | E-mail cím, felhasználónév, avatár, jelszó (hash), Google UID | Regisztráció, azonosítás, biztonság | 6(1)(b) | Fiók fennállásáig + 30 nap |
| Profiladatok | Ország, életkor, nem, nyelv, pénznem, választott téma | Személyre szabás, alkalmazás működés | 6(1)(b) | Fiók fennállásáig |
| Pénzügyi bejegyzések | Bevétel/kiadás összeg, kategória, dátum, megjegyzés | Alkalmazás alapfunkció, statisztika | 6(1)(b) | Fiók törléséig + 30 nap |
| Megtakarítási célok | Cél neve, összeg, határidő, státusz | Alkalmazás alapfunkció | 6(1)(b) | Fiók törléséig + 30 nap |
| Pontok / jelvények | XP, CP, érmék, szintek, jelvények, sorozat | Játékosítás, motiváció | 6(1)(b) | Fiók törléséig |
| Ranglista adatok | Felhasználónév, avatár, pontszám — nyilvános | Közösségi verseny, motiváció | 6(1)(a) hozzájárulás | Hozzájárulás visszavonásáig |
| Consent adatok | Ki mikor mit fogadott el (időbélyeg, verzió) | GDPR 7(1) bizonyíthatóság | 6(1)(c) jogi kötel. | Fiók törlése + 5 év |
| Nyereményjáték adatok | Résztétel, sorsolás, nyertes azonosítás | Sorsolás lefolytatása, nyújtás | 6(1)(b) | Nyeremény átadása + 5 év |
| Egészségügyi adat | Lépésszám (napi aggregált) | Aktivitás követés, jutalom | 9(2)(a) explicit hozzáj. | Hozzájárulás visszavonásáig / 90 nap |
| Banki értesítés szöveg | Értesítés szövege (feldolgozás után törölve) | Kiadás felismerés (opcionális) | 6(1)(a) hozzájárulás | Feldolgozás után azonnal törölve |
| Analitikai adatok | Használati események, képernyő idő, verzió | Hibajavítás, fejlesztés | 6(1)(a) hozzájárulás | 90 nap (Firebase Analytics alapértelmezett) |
| Reklám adatok (AdMob) | Reklám azonosító, Android ID, IP | Reklámcélú pers. | 6(1)(a) hozzájárulás | AdMob saját szabályzata szerint |
| Support kommunikáció | E-mail levelezés tartalma | Ügyfélszolgálat | 6(1)(b) / 6(1)(f) | 3 év |
| Technikai / diagn. | Eszköz típus, OS verzió, alkalmazás verzió | Hibajavítás, biztonság | 6(1)(f) jogos érdek | 90 nap |
5. Adatfeldolgozók és Firebase adatfolyam-térkép
Az alkalmazás az alábbi Firebase (Google LLC) szolgáltatásokat és egyéb adatfeldolgozókat veszi igénybe. Minden adatfeldolgozóval írásbeli adatfeldolgozói szerződés (DPA) kötendő / kötött (GDPR 28. cikk). Tételes nyilvántartás: DPA-001.
5.1 Firebase aktív szolgáltatások
| Szolgáltatás | Google LLC egység | Kezelt adatok | Szerver helye | Transzfer alap |
|---|---|---|---|---|
| Firebase Auth | Google LLC | E-mail, Google UID, jelszó (hash), belépési idő | USA / EU | EU-US DPF |
| Cloud Firestore | Google LLC | Minden felhasználói adat (profil, tranzakciók, pontok, consent) | USA / EU | EU-US DPF |
| Firebase Analytics | Google LLC | Használati események, munkamenet adatok, eszköz infó | USA | EU-US DPF |
| Cloud Functions | Google LLC | Szerver oldali feldolgozás (jutalmak, sorsolás) | USA / EU | EU-US DPF |
5.2 Egyéb adatfeldolgozók
| Adatfeldolgozó | Székhely | Szerep | Kezelt adatok | Transzfer alap |
|---|---|---|---|---|
| Google LLC / AdMob | USA | Reklám megjelenítés | Android ID, IP, reklámkövetkező adat | EU-US DPF |
| Google LLC / Play Store | USA | Előfizetés, vásárlás | Tranzakció metaadat | EU-US DPF |
| Sybell Informatika Kft. | Budapest, HU | Webáruhely, e-mail (support) | Support levelezés | EU — nincs USA-transzfer |
| A Masterpont Kft. (masterpont.hu) NEM adatfeldolgozó — nem fér hozzá semmilyen felhasználói adathoz. |
5.3 Firebase adatfolyam-térkép (sematikus)
Telefon → Firebase Auth (hitelesítés) → Cloud Firestore (adattárolás) → Firebase Analytics (analitika) → Cloud Functions (szerver feldolgozás) → AdMob (reklám) — minden USA-átvitel EU-US DPF alapon.
6. Egészségügyi adat — lépésszám (GDPR 9. cikk)
| ⚠️ KÜLÖNLEGES ADAT — GDPR 9. CIKK | A lépésszám egészségügyi adatnak minősül. Kezelése kizárólag explicit hozzájárulással lehetséges (GDPR 9(2)(a)). |
| Paraméter | Android (Health Connect) | iOS (HealthKit) |
|---|---|---|
| Adat forrása | Health Connect API vagy telefon szenzor | iOS / HealthKit jelenleg nem aktív; iOS-verzió indulása előtt frissítendő |
| Engedély típusa | READ_STEPS | iOS / HealthKit jelenleg nem aktív |
| Kezelt adatok | Napi aggregált lépésszám | iOS / HealthKit jelenleg nem aktív; iOS-verzió előtt frissítendő |
| Jogalap | GDPR 9(2)(a) explicit hozzájárulás | GDPR 9(2)(a) explicit hozzájárulás |
| Tárolás | Firestore (aggregált, nem nyers) | Firestore (aggregált, nem nyers) |
| Megőrzési idő | Hozzájárulás visszavonásáig / max 90 nap | iOS / HealthKit jelenleg nem aktív; iOS-verzió előtt frissítendő |
| Visszavonható? | Igen — bármikor, alkalmazás beállításokból | Igen — bármikor |
Az egészségügyi adat (lépésszám) KIZÁRÓLAG:
aktivitás követésre és játékos jutalom meghatározására használatos
NEM kerül továbbításra AdMob-hoz, harmadik fél hirdetőhöz, vagy bármilyen külső szerverre (a Firestore EU-US DPF alapján tárolja)
NEM jelenik meg nyilvános ranglistán
NEM használható profilozási vagy biztosítási döntésekhez (Google Play Health Policy)
Részletes hozzájárulási szöveg és feltételek: HE-001 Egészségügyi adat nyilatkozat.
7. Banki értesítés-olvasás adatkezelése
Az alkalmazás opcionálisan — kizárólag a felhasználó explicit hozzájárulásával — banki push értesítések szövegéből segít kiadások felismerésében.
| Paraméter | Érték |
|---|---|
| Kezelt adat | Értesítés szövege (push notification content) |
| Az app HOZZÁFÉR | Értesítés szövegéhez |
| Az app NEM FÉR HOZZÁ | Bankfiókhoz, számlaszámhoz, egyenleghez, PIN-hez |
| Cél | Kiadás automatikus felismerése szövegből |
| Feldolgozás helye | Lokálisan az eszközön |
| Megőrzés | Az értesítés szövege feldolgozás után azonnal törölve |
| Jogalap | GDPR 6(1)(a) hozzájárulás (BH-001) |
| Visszavonható? | Igen — bármikor, alkalmazás beállításokból |
| Play Store policy | Google Play Financial Data policy kompatibilis |
Részletes feltételek: BH-001 Banki értesítés hozzájárulás.
8. Push értesítések és marketing
| Értesítés típusa | Jogalap | Visszavonható? |
|---|---|---|
| Tranzakciós / service értesítés (pl. jutalom elérhető) | 6(1)(b) szerződés | Korlátozható (de nem kapcsolható ki teljesen) |
| Motivációs / napireminder | 6(1)(a) hozzájárulás | Igen — bármikor |
| Marketing / promóció | 6(1)(a) hozzájárulás | Igen — bármikor |
9. Harmadik országba irányuló adattovábbítás (USA-transzfer)
A cashleticsapp.com webhely és e-mail infrastruktúra kizárólag EU-ban (Sybell Informatika Kft., Budapest) működik — nem történik USA-transzfer az e-mail során. Az alkalmazás Firebase és AdMob használata során az alábbi adattovábbítások történnek USA-ba, kizárólag az EU–US Adatvédelmi Keretrendszer (EU-US DPF) alapján:
| Adatfeldolgozó | Továbbított adatok | Transzfer alap | DPF tanúsítvány |
|---|---|---|---|
| Google LLC / Firebase Auth | Hitelesítési adatok | EU-US DPF | Google LLC — tanúsított |
| Google LLC / Cloud Firestore | Minden felhasználói adat | EU-US DPF | Google LLC — tanúsított |
| Google LLC / Firebase Analytics | Használati analitika | EU-US DPF | Google LLC — tanúsított |
| Google LLC / Cloud Functions | Szerver feldolgozás | EU-US DPF | Google LLC — tanúsított |
| Google LLC / AdMob | Reklámcélú adatok | EU-US DPF | Google LLC — tanúsított |
| Google LLC / Play Store | Előfizetés metaadatok | EU-US DPF | Google LLC — tanúsított |
| Sybell Informatika Kft. (e-mail) | Support kommunikáció | EU — nincs USA-transzfer | — |
Az EU-US DPF keretrendszer elérhető: https://www.dataprivacyframework.gov/
Megjegyzés: Az EU-US DPF esetleges érvénytelenítése esetén az adattovábbítás jogalapja a Google LLC által alkalmazott Standard Contractual Clauses (SCC), az Európai Bizottság 2021/914/EU végrehajtási határozata alapján — ez a Google Cloud adatfeldolgozói megállapodás (DPA) részeként automatikusan alkalmazandó.
10. Profilozás és automatizált döntéshozatal (GDPR 22. cikk)
Az alkalmazás pénzügyi, aktivitás és játékosítási adatokból összetett felhasználói profilt alakíthat ki (pénzügyi + egészségügyi + viselkedési adatok kombinációja). Ez profilozási kockázatot hordoz.
Az alkalmazás KIZÁRÓLAG a következő célokra használ profilozást:
Személyre szabott jutalmak és kihívások megjelenítése
Ranglista pontszám számítása
Tiltott profilozási célok (Google Play Health Policy és GDPR 22. cikk alapján):
Hitel-, biztosítási, foglalkoztatási döntések automatikus meghozatala
Egészségügyi adat reklámcélú használata
Harmadik félnek történő értesítés nélküli továbbítás
Részletes adatvédelmi hatásvizsgálat: DPIA-001.
11. Az érintett jogai (GDPR 15–22. cikk)
| Jog | GDPR cikk | Tartalom | Gyakorlás módja |
|---|---|---|---|
| Hozzáférés joga | 15. cikk | Tájékoztatás a kezelt adatokról | privacy@cashleticsapp.com vagy adatkerelem.php |
| Helyesbítés joga | 16. cikk | Pontatlan adat javítása | Alkalmazás profil szerkesztés vagy e-mail |
| Törlés joga | 17. cikk | Adatok törlése („elfeledtetés”) | fiok-torlese.php vagy privacy@cashleticsapp.com |
| Korlátozás joga | 18. cikk | Adatkezelés korlátozásának kérése | privacy@cashleticsapp.com |
| Hordozhatóság joga | 20. cikk | Adatok géppel olvasható formátumban | privacy@cashleticsapp.com (JSON export) |
| Tiltakozás joga | 21. cikk | Jogos érdek alapú kezelés ellen | privacy@cashleticsapp.com |
| Hozzájárulás visszavonása | 7(3) cikk | Bármikor, visszaható erő nélkül | Alkalmazás beállítások vagy e-mail |
| Panasz jog | 77. cikk | NAIH-hoz fordulhat | NAIH: www.naih.hu | ugyfelszolgalat@naih.hu |
Válaszadási határidő: 30 nap (GDPR 12. cikk). Indokolt esetben 60 napig meghosszabbítható, erről az érintettet értesítjük. Az érintetti kérelmek kezelésének részletes folyamata: EJ-001.
12. Gyermekek adatainak védelme
Az alkalmazás 16 év alatti személyek számára NEM elérhető (GDPR 8. cikk, Google Play Families Policy). Amennyiben tudomásunkra jut, hogy 16 év alatti személy adatait kezeljük, azokat haladéktalanul töröljük, és a fiókot felfüggesztjük. Ilyen esetet kérjük jelezni: privacy@cashleticsapp.com
13. Adatbiztonság
Firebase biztonsági szabályok (Firestore Security Rules) — felhasználónként elkülönített adathozzáférés
Hitelesítés: Firebase Auth (e-mail + jelszó hash, Google SSO)
Adatforgalom: HTTPS / TLS titkosítás minden kommunikációban; Tárolás: Google Cloud AES-256 titkosítás (encryption at rest) — összhangban a GPS-001 Play Console deklarációval
Hozzáférés korlátozás: Firebase Console hozzáféréssel az adatkezelő, valamint az adatkezelővel adatfeldolgozói szerződés alapján eljáró fejlesztő rendelkezhet; a hozzáférés jogosultságkorlátozással, naplózással, MFA/2FA védelemmel és a szükségesség elve szerint történik.
Adatvédelmi incidens esetén: 72 órán belül NAIH-bejelentés (GDPR 33. cikk); sablon: INC-001
14. Sütik és követés
A cashleticsapp.com weboldal tracker-mentes — nincs Google Analytics, Meta Pixel, Google Tag Manager vagy egyéb cookie. Cookie-banner nem szükséges.
Az alkalmazáson belül a Firebase Analytics nem hagyományos sütiket, hanem app-szintű azonosítókat használ. Részletes szabályzat: CK-001 Cookie & Tracking Policy.
15. A tájékoztató módosítása
Az adatkezelő jogosult jelen tájékoztatót módosítani. Lényeges változásról a felhasználót legalább 15 nappal korábban értesíti (e-mail vagy alkalmazás). A hatályos verzió mindig elérhető: https://cashleticsapp.com/legal.php?slug=adatkezeles
Publikálási kiegészítés
v1.5a kiegészítés — lépésszám jogosultságok:
Androidon az alkalmazás a READ_STEPS mellett READ_HEALTH_DATA_HISTORY és ACTIVITY_RECOGNITION jogosultságot is kérhet. Ezek célja a korábbi időszaki aggregált lépésszám-összesítések és az Android aktivitás-/lépésszám-támogatás biztosítása. Ez nem jelent GPS-, útvonal-, pulzus-, edzéstípus- vagy más egészségügyi adatkezelést.
Következő felülvizsgálat: 2027. július 5.