Adatkezelési Tájékoztató

Hatályos: 2026. március 23. | Utolsó módosítás: 2026. március 23.

Az adatkezelő azonosítása Név: PcosTitok.hu
Kapcsolat: hello@pcostitok.hu
Weboldal: pcostitok.hu

Tartalomjegyzék

Bevezető és jogszabályi háttér
Az adatkezelés céljai, jogalapjai és megőrzési idők
Adatfeldolgozók és harmadik felek
Hosting, domain és infrastruktúra
Sütik (cookie-k) és nyomkövetők
Adattovábbítás harmadik országba
Az érintett jogai
Adatbiztonság
Panasztétel, jogorvoslat
Tájékoztató módosítása

1. Bevezető és jogszabályi háttér

Jelen tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (Infotv.), az elektronikus kereskedelmi szolgáltatásokról szóló 2001. évi CVIII. törvénynek, a számvitelről szóló 2000. évi C. törvénynek, valamint az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.) vonatkozó rendelkezéseinek megfelelően készült.

A GDPR 13. cikke alapján az adatkezelő köteles az érintettet az adatgyűjtés időpontjában tájékoztatni az adatkezelés valamennyi lényeges körülményéről. Jelen tájékoztató ennek a kötelezettségnek tesz eleget.

2. Az adatkezelés céljai, jogalapjai és megőrzési idők

2.1 Kvíz kitöltése és lead rögzítése

Kezelt adatok	Cél	Jogalap	Megőrzési idő
E-mail cím, keresztnév, kvíz válaszok, PCOS típus, quiz token	Személyre szabott eredmény megjelenítése; marketing e-mail sorozat indítása	Hozzájárulás – GDPR 6. cikk (1) a)	Hozzájárulás visszavonásáig, de legfeljebb 3 év

A hozzájárulás megadása önkéntes; megtagadása esetén a kvíz eredmény megtekinthető, de marketing kommunikáció nem kerül küldésre.

2.2 Vásárlás és megrendelés teljesítése

Kezelt adatok	Cél	Jogalap	Megőrzési idő
E-mail, teljes név, számlázási cím, Stripe tranzakció-azonosító, vásárlás időpontja, PCOS típus, hozzáférési token	Megrendelés visszaigazolása, digitális termék átadása, ügyfélszolgálati kapcsolattartás	Szerződés teljesítése – GDPR 6. cikk (1) b)	A szerződéses igények elévüléséig (5 év, Ptk. 6:22. §)
Számlázási név, cím, tranzakció összege és időpontja	Számviteli bizonylat kiállítása és megőrzése	Jogi kötelezettség – GDPR 6. cikk (1) c); Számviteli tv. 169. §	8 év (számviteli kötelezettség)

Megjegyzés: Bankkártya adatokat (kártyaszám, CVV, lejárat) az adatkezelő nem tárol és nem is ismer meg – azokat kizárólag a PCI DSS Level 1 minősítéssel rendelkező Stripe, Inc. kezeli saját rendszerében.

2.3 Marketing e-mailek (hírlevél, automatizált sorozat)

Kezelt adatok	Cél	Jogalap	Megőrzési idő
E-mail cím, keresztnév, PCOS típus, megnyitási és kattintási statisztika (Brevo által generált)	PCOS típusra vonatkozó tájékoztatás, termékajánlás, vásárlói kapcsolat fenntartása	Hozzájárulás – GDPR 6. cikk (1) a); Eht. 162. §	Leiratkozásig

A leiratkozás lehetősége minden e-mailben biztosított; a leiratkozás az összes marketing kommunikációt megszünteti, a vásárlási adatokat nem törli (azokat a számviteli kötelezettség miatt kell megőrizni).

2.4 Weboldal-látogatói adatok (technikai naplók)

Kezelt adatok	Cél	Jogalap	Megőrzési idő
IP-cím, böngésző típusa, operációs rendszer, megtekintett oldalak, látogatás időpontja, hivatkozó URL (Vercel és elin.hu szerver naplók)	Weboldal biztonságos üzemeltetése, hibakeresés, visszaélések megelőzése	Jogos érdek – GDPR 6. cikk (1) f); a biztonságos üzemeltetéshez fűződő érdek elsőbbséget élvez	30 nap

2.5 Analitika és konverziókövetés

Kezelt adatok	Cél	Jogalap	Megőrzési idő
Pseudonimizált/aggregált böngészési adatok, eseményadatok (oldalbetöltés, gombkattintás, vásárlás), GA4 cookie-azonosítók	Weboldal teljesítmény mérése, felhasználói élmény javítása (Google Analytics / Hotjar)	Hozzájárulás – GDPR 6. cikk (1) a)	Hozzájárulás visszavonásáig; GA4 adatok legfeljebb 14 hónapig
Konverzióeseményekhez kötött cookie-azonosítók (pl. Facebook fbp, fbclid; TikTok ttclid)	Hirdetési konverziók mérése, remarketingközönség építése Meta és TikTok platformokon	Hozzájárulás – GDPR 6. cikk (1) a)	Hozzájárulás visszavonásáig; legfeljebb 180 nap

3. Adatfeldolgozók és harmadik felek

Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe. Az adatfeldolgozók kizárólag az adatkezelő utasítása szerint kezelhetik az adatokat, és kötelesek megfelelő technikai és szervezési intézkedéseket alkalmazni.

Szolgáltató	Adatfeldolgozói tevékenység	Kezelt adatok köre	Székhely / GDPR jogalap	Adatvédelmi tájékoztató
Supabase, Inc.	Adatbázis-tárolás (leads, vásárlók, hozzáférési tokenek, PDF URL-ek)	E-mail, név, PCOS típus, tokenek, vásárlási adatok	USA – SCC / EU szerverek opció	supabase.com/privacy
Stripe, Inc.	Online fizetés feldolgozása, csalásmegelőzés	Számlázási adatok, tranzakció adatok (kártyaadatot mi nem kapunk)	USA / Írország – SCC + Privacy Shield utód	stripe.com/privacy
Brevo SAS (Sendinblue)	Marketing e-mail küldés, automatizáció, kontakt lista kezelés	E-mail, keresztnév, PCOS típus, megnyitási/kattintási adatok	Franciaország – EU GDPR közvetlen hatály	brevo.com/legal/privacypolicy
Resend, Inc.	Tranzakciós e-mail (vásárlás-visszaigazolás, PDF letöltési linkek)	E-mail cím, keresztnév, PDF URL-ek	USA – SCC	resend.com/privacy
Billingo Technologies Zrt.	Elektronikus számla kiállítása és kiküldése vásárlás után	Név, e-mail cím, számlázási cím, vásárlás összege	Magyarország – EU GDPR közvetlen hatály	billingo.hu/adatkezeles
Meta Platforms Ireland Ltd.	Konverziókövetés Meta Pixel útján; hirdetési remarketing	Pixelcookie (fbp), eseményadatok (PageView, Purchase), IP-cím hash	Írország – EU GDPR közvetlen hatály	facebook.com/privacy/policy
TikTok Technology Ltd.	Konverziókövetés TikTok Pixel útján; hirdetési remarketing	Pixelcookie (ttclid), eseményadatok, IP-cím hash	Szingapúr / UK – SCC	tiktok.com/legal/privacy-policy
Google Ireland Ltd.	Google Analytics 4 – weboldal látogatottsági statisztika	Pseudonimizált böngészési adatok, GA client ID cookie	Írország – EU GDPR közvetlen hatály	policies.google.com/privacy
Hotjar Ltd.	Hőtérkép, kattintáselemzés, session recording (személyes azonosítók maszkolva)	Pseudonimizált egérmozgás, görgetés, kattintás adatok	Málta – EU GDPR közvetlen hatály	hotjar.com/legal/policies/privacy

4. Hosting, domain és infrastruktúra

4.1 Weboldal hosting – Vercel Inc.

A pcostitok.hu weboldalt a Vercel, Inc. (340 Pine Street, Suite 701, San Francisco, CA 94104, USA) szolgáltatásán üzemeltetjük. A Vercel a weboldal kiszolgálása során automatikusan naplózza a látogatók IP-címét, a böngészőtípust, az operációs rendszert, a megtekintett URL-eket és a szerverhívások időpontját. Ezeket az adatokat a Vercel saját biztonsági és üzemeltetési célból kezeli; a naplók általában 30 napon belül automatikusan törlődnek. Az adattovábbítás jogalapja: standard szerződési feltételek (SCC). Vercel adatvédelmi tájékoztatója: vercel.com/legal/privacy-policy.

4.2 Domain és DNS – elin.hu Kft.

A pcostitok.hu domain névre vonatkozó regisztrációt és a DNS-kezelést az elin.hu Kft. (székhely: Magyarország) végzi. Az elin.hu a domain-regisztrációhoz szükséges nyilvántartásban kezeli a domain tulajdonosának nevét és elérhetőségét (az adatkezelő, azaz Benkő Dóra e.v. adatait). A weboldal látogatóinak adatait az elin.hu közvetlenül nem kezeli, DNS-szinten csak a domainnév-feloldás történik. Az elin.hu adatvédelmi tájékoztatója: elin.hu/adatvedelmi-tajekoztato.

4.3 Adatbázis – Supabase

A weboldal által gyűjtött felhasználói adatokat (lead adatok, vásárlói rekordok, PDF hozzáférési tokenek) a Supabase, Inc. által üzemeltetett PostgreSQL adatbázisban tároljuk. Az adatbázis szerverei az EU-ban (Frankfurt) találhatók. Az adatokhoz való hozzáférés kizárólag titkosított API kulccsal lehetséges.

5. Sütik (cookie-k) és nyomkövetők

A weboldal az alábbi süti- és nyomkövetőtípusokat alkalmazza. A hozzájárulást igénylő sütiket csak akkor helyezzük el, ha Ön ehhez kifejezetten hozzájárult.

Kategória	Süti neve / forrása	Cél	Jogalap	Lejárat
Szükséges	localStorage: pcos_access_token, pcos_type, pcos_countdown_end	Vásárló azonosítása, program hozzáférés fenntartása, időzítő állapot	Jogos érdek / szerződés teljesítése – hozzájárulás nem szükséges	Böngésző tárolásig
Szükséges	Stripe sütik (pl. __stripe_mid, __stripe_sid)	Biztonságos fizetési folyamat, csalásmegelőzés	Szerződés teljesítése	1 év / munkamenet
Analitika	_ga, _ga_XXXXXX (Google Analytics 4)	Weboldal látogatottsági statisztika, felhasználói viselkedés elemzése – az adatok pseudonimizálva kerülnek kezelésre	Hozzájárulás – GDPR 6. cikk (1) a)	2 év
Analitika	_hjSessionUser_, _hjSession_ (Hotjar)	Hőtérkép, session recording – személyes adatok (arcok, jelszavak) automatikusan maszkolt	Hozzájárulás – GDPR 6. cikk (1) a)	1 év / munkamenet
Marketing	_fbp, _fbc (Meta Pixel)	Facebook/Instagram konverziókövetés és remarketing célközönség-építés	Hozzájárulás – GDPR 6. cikk (1) a)	90 nap
Marketing	_ttp, ttclid (TikTok Pixel)	TikTok konverziókövetés és remarketing	Hozzájárulás – GDPR 6. cikk (1) a)	13 hónap

A sütikhez való hozzájárulás megadható és visszavonható böngészője beállításaiban, illetve egyes nyomkövetők esetén közvetlenül a szolgáltató opt-out oldalán:

Google Analytics letiltása: tools.google.com/dlpage/gaoptout
Meta hirdetési beállítások: facebook.com/settings
TikTok hirdetési beállítások: tiktok.com/legal/privacy-policy
Hotjar letiltása: hotjar.com/legal/compliance/opt-out

6. Adattovábbítás harmadik országba

Egyes adatfeldolgozóink az Európai Gazdasági Téren (EGT) kívül, jellemzően az Egyesült Államokban kezelik az adatokat. Az adattovábbítás az alábbi garanciák valamelyike alapján jogszerű:

EU–USA adatvédelmi keretrendszer (Data Privacy Framework, DPF): A Stripe, a Google, a Meta és egyes más szolgáltatók résztvevői a 2023-ban elfogadott DPF-nek, amely az Európai Bizottság megfelelőségi határozatán alapul.
Standard szerződési feltételek (SCC): Ahol a DPF nem alkalmazandó (pl. Supabase, Resend, TikTok), az adattovábbítás az Európai Bizottság 2021. június 4-én elfogadott standard szerződési feltételein alapul.

Ön jogosult tájékoztatást kérni az alkalmazott garanciákról a hello@pcostitok.hu e-mail címen.

7. Az érintett jogai

A GDPR III. fejezete alapján Önt az alábbi jogok illetik meg. Kérelmét a hello@pcostitok.hu címre küldheti; az adatkezelő a kérelem beérkezésétől számított 30 napon belül válaszol (indokolt esetben ez 60 nappal meghosszabbítható).

Hozzáférés joga (GDPR 15. cikk) Tájékoztatást kérhet arról, hogy kezeljük-e az Ön adatait, és ha igen, milyen adatokat, milyen célból, milyen ideig, és kivel osztottuk meg azokat.

Helyesbítés joga (GDPR 16. cikk) Kérheti pontatlan személyes adatainak haladéktalan kijavítását, illetve hiányos adatai kiegészítését.

Törlés joga – „elfeledtetés joga" (GDPR 17. cikk) Kérheti adatai törlését, ha az adatkezelés célja megszűnt, Ön visszavonta hozzájárulását, vagy az adatkezelés jogellenes. A törlési kérelem nem teljesíthető, ha az adatkezelés jogi kötelezettség teljesítéséhez szükséges (pl. számviteli bizonylatok).

Az adatkezelés korlátozásához való jog (GDPR 18. cikk) Kérheti az adatkezelés felfüggesztését például akkor, ha vitatja az adatok pontosságát, vagy tiltakozást nyújtott be (a tiltakozás elbírálásáig).

Adathordozhatósághoz való jog (GDPR 20. cikk) Hozzájáruláson vagy szerződésen alapuló, automatizált módon kezelt adatait géppel olvasható formátumban (CSV/JSON) kérheti, illetve kérheti azok más adatkezelőhöz való továbbítását.

Tiltakozáshoz való jog (GDPR 21. cikk) Jogos érdeken alapuló adatkezelés ellen bármikor tiltakozhat. Tiltakozás esetén az adatkezelő az adatokat nem kezelheti tovább, kivéve ha bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok indokolják.

Hozzájárulás visszavonásának joga (GDPR 7. cikk (3) bekezdés) A hozzájáruláson alapuló adatkezelést bármikor visszavonhatja (pl. leiratkozással), anélkül hogy ez a visszavonás előtt végzett kezelés jogszerűségét érintené.

Automatizált döntéshozatal alóli mentesség (GDPR 22. cikk) Önre vonatkozóan kizárólag automatizált adatkezelésen – beleértve a profilalkotást – alapuló döntés nem hozható, ha az Önre nézve jelentős joghatással jár. (A PCOS típusmeghatározó kvíz eredménye tájékoztató jellegű; végleges döntés meghozatalát kizárólag emberi döntéshozó végzi.)

8. Adatbiztonság

Az adatkezelő a GDPR 32. cikkének megfelelően az alábbi technikai és szervezési intézkedéseket alkalmazza:

Titkosított adatátvitel: A weboldal és az API-k kizárólag HTTPS/TLS 1.2+ kapcsolaton keresztül kommunikálnak.
Hozzáférés-kontroll: Az adatbázishoz kizárólag szerver oldali API kulccsal lehet hozzáférni; a kulcs a kliensek számára nem érhető el.
Bankkártya adatok: Nem kerülnek a Szolgáltató rendszerébe; kizárólag a Stripe PCI DSS Level 1 tanúsított infrastruktúrájában kerülnek kezelésre.
Ideiglenes hozzáférési tokenek: A letöltési linkek 7 napos lejáratú, egyszer generált tokeneken alapulnak.
Adatminimalizálás: Csak az adott cél teljesítéséhez szükséges adatok kerülnek rögzítésre.

Adatvédelmi incidens esetén az adatkezelő a GDPR 33. cikke alapján 72 órán belül értesíti a NAIH-ot, és a 34. cikk szerint – ha az incidens valószínűsíthetően magas kockázattal jár – az érintetteket is.

9. Panasztétel, jogorvoslat

Ha úgy véli, hogy személyes adatainak kezelése sérti a GDPR rendelkezéseit, az alábbi lehetőségei vannak:

Közvetlen megkeresés: Elsőként forduljon hozzánk a hello@pcostitok.hu e-mail címen – törekszünk a panasz 30 napon belüli rendezésére.
Felügyeleti hatóság: Panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH): 1055 Budapest, Falk Miksa utca 9–11. | naih.hu | ugyfelszolgalat@naih.hu
Bírósági jogorvoslat: Az adatkezelővel vagy a felügyeleti hatósággal szemben bírósághoz is fordulhat (GDPR 79. cikk).

10. Tájékoztató módosítása

Az adatkezelő fenntartja a jogot jelen tájékoztató módosítására. Lényeges változás esetén a módosítást a weboldalon feltüntetjük, és szükség esetén e-mailben is értesítjük az érintetteket. A mindenkori hatályos verzió a pcostitok.hu/adatkezeles oldalon érhető el.