Adatvédelmi Tájékoztató

1. Az adatkezelő adatai

Az adatkezelő elkötelezett a felhasználók személyes adatainak védelme iránt, és az adatkezelés során mindenkor a hatályos jogszabályoknak megfelelően jár el.

2. Jogszabályi háttér

A jelen adatvédelmi tájékoztató az alábbi jogszabályok alapján készült:

• Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) – az általános adatvédelmi rendelet
• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info tv.)
• 2013. évi V. törvény a Polgári Törvénykönyvről (Ptk.)
• 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások egyes kérdéseiről (Ekertv.)

3. A kezelt személyes adatok köre

Az adatkezelő az alábbi személyes adatokat kezeli:

3.1. Regisztrációs adatok

E-mail cím, felhasználónév (megjelenítendő név), jelszó (kizárólag titkosított hash formában tárolva – az eredeti jelszó nem kerül tárolásra).

3.2. Profil adatok

Profilkép (avatar), megjelenítendő név, felhasználói beállítások.

3.3. Tanulási adatok

Tanulási előrehaladás, kvíz eredmények, tantárgyi teljesítmény statisztikák, tanulással töltött idő, napi aktivitási adatok.

3.4. AI használati adatok

A Virtuális Tanársegéd használatával kapcsolatban a Studoro szerverein kizárólag a kérdések számát rögzítjük statisztikai célból; a beszélgetések tartalma (kérdések és válaszok) a Studoro saját adatbázisában nem kerül tartós tárolásra.

A válasz előállításához ugyanakkor a kérdés szövegét továbbítanunk kell az alkalmazott AI-szolgáltatónak (OpenAI, Inc., USA — lásd a 7. pontot az adatfeldolgozói részleteket és a transzfer-jogalapot illetően). Az AI-szolgáltatóhoz továbbított tartalom megőrzéséről és felhasználásáról a 7. pont ad bővebb tájékoztatást.

3.5. Fizetési adatok

Az előfizetés kezelését a választott platformtól függően a Stripe, Inc. (webes és iOS-en kívüli felület), az Apple Inc. (App Store) vagy a Google LLC (Google Play) végzi. A Studoro kizárólag az előfizetési státuszt, a Stripe / App Store / Google Play által visszaadott tranzakció- és előfizetés-azonosítókat (pl. StripeCustomerId, originalTransactionId, Google Play purchaseToken) tárolja. Bankkártya-adatok, számlaszámok vagy egyéb pénzügyi adatok nem kerülnek tárolásra a Studoro rendszerében — ezeket minden esetben az adott fizetési szolgáltató kezeli a saját adatkezelési szabályzata szerint.

3.6. Technikai adatok

Eszköztípus, alkalmazás-verzió, IP-cím (kizárólag biztonsági célokból, naplózásra, ideiglenesen).

4. Az adatkezelés célja és jogalapja

Az egyes adatkezelési célok és azok jogalapjai:

4.1. Szolgáltatás nyújtása

Cél: A felhasználói fiók létrehozása, a tanulási platformhoz való hozzáférés biztosítása.

Jogalap: Szerződés teljesítése – GDPR 6. cikk (1) bekezdés b) pont.

4.2. Tanulási analitika

Cél: Tanulási előrehaladás követése, statisztikák készítése a felhasználó és (szülői fiók esetén) a szülő számára.

Jogalap: Szerződés teljesítése – GDPR 6. cikk (1) bekezdés b) pont; jogos érdek – GDPR 6. cikk (1) bekezdés f) pont.

4.3. Fizetés feldolgozása

Cél: Előfizetések kezelése, számlázás.

Jogalap: Szerződés teljesítése – GDPR 6. cikk (1) bekezdés b) pont.

4.4. Szolgáltatás fejlesztése

Cél: Az alkalmazás működésének javítása, új funkciók fejlesztése, hibajavítás.

Jogalap: Jogos érdek – GDPR 6. cikk (1) bekezdés f) pont.

4.5. Kommunikáció

Cél: Szolgáltatással kapcsolatos értesítések küldése (pl. előfizetés lejárata, rendszerkarbantartás, fontos változások).

Jogalap: Jogos érdek – GDPR 6. cikk (1) bekezdés f) pont.

4.6. Hírlevél (marketing)

Cél: A Studoro újdonságairól, új tartalmakról és tanulási tippekről szóló hírlevél küldése azoknak a felhasználóknak, akik erre kifejezetten feliratkoztak.

Jogalap: Az érintett önkéntes hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont.

A hírlevélre való feliratkozás kétlépcsős megerősítéssel (double opt-in) történik: a feliratkozás csak akkor jön létre, ha a felhasználó az e-mailben kapott megerősítő linkre rákattint. A hozzájárulás bármikor – indokolás és hátrányos következmények nélkül – visszavonható az alkalmazás Beállítások menüjéből, vagy minden hírlevél lábrészében elérhető egy-kattintásos leiratkozással.

A leiratkozást követően az adatkezelő a hírlevél küldésével kapcsolatos tevékenységet azonnal megszünteti, a feliratkozás tényének és időpontjának naplóját pedig a GDPR 7. cikk (1) bekezdése szerinti elszámoltathatóság igazolása érdekében legfeljebb 1 évig megőrzi.

4.7. Jogszabályi megfelelés

Cél: Számviteli és adójogi kötelezettségek teljesítése.

Jogalap: Jogi kötelezettség – GDPR 6. cikk (1) bekezdés c) pont.

5. Az adatkezelés időtartama

Az adatkezelés időtartama az adatok típusától függően:

• Fiókadatok (regisztrációs és profil adatok): A fiók törléséig, majd azt követően 30 napig (a törlés visszavonásának lehetősége érdekében).
• Tanulási statisztikák: A fiók törléséig.
• Fizetési nyilvántartások: A számviteli törvény előírásai alapján 8 évig.
• Technikai naplók (IP-cím, eszközadatok): Legfeljebb 90 napig.
• AI használati statisztikák (kérdések száma): A fiók törléséig.

A megőrzési idő lejártát követően az adatokat véglegesen töröljük vagy visszavonhatatlanul anonimizáljuk.

6. Gyermekek személyes adatainak kezelése

Az adatkezelő kiemelt figyelmet fordít a kiskorú felhasználók személyes adatainak védelmére, összhangban a GDPR 8. cikkével és a magyar jogszabályokkal.

A 16. életévüket be nem töltött felhasználók személyes adatainak kezeléséhez a szülő (törvényes képviselő) hozzájárulása szükséges. Ezt a szolgáltatás azzal biztosítja, hogy a gyermek fiókot kizárólag szülői fiókon keresztül lehet létrehozni.

A kiskorúak adataira vonatkozóan fokozott adatbiztonsági intézkedéseket alkalmazunk.

A 16 év alatti gyermekektől kizárólag a szolgáltatás működéséhez feltétlenül szükséges adatokat gyűjtjük (regisztrációs adatok, tanulási előrehaladás), és csak a szülő (törvényes képviselő) kifejezett, dokumentált hozzájárulása alapján. Személyre szabott hirdetéseket nem szolgálunk ki gyermekeknek, és viselkedésalapú profilalkotást nem végzünk.

7. Adatfeldolgozók

Az adatkezelő a szolgáltatás működtetéséhez az alábbi adatfeldolgozókat veszi igénybe. Mindhárom adatfeldolgozó az Amerikai Egyesült Államokban van bejegyezve; az adattovábbítás jogalapját az EU-US Data Privacy Framework (DPF) tanúsítvány adja (a GDPR 45. cikke szerinti megfelelőségi határozat).

• Felhő-szolgáltató (hosting): Microsoft Corporation – Microsoft Azure platformon. A Studoro a szervereit és adatbázisait Azure Container Apps + Azure PostgreSQL Flexible Server szolgáltatásokon futtatja. A pontos régiót a deploy időpontjában választjuk; EU-régió esetén az adatfeldolgozás az EU területén marad. Microsoft Corp. továbbá DPF-tanúsított, így nem-EU régióba történő esetleges replikációra is van érvényes transzfer-mechanizmus.
• Fizetési szolgáltató (web és tartalék fizetés): Stripe, Inc. (San Francisco, USA) – kártyás fizetések feldolgozása, előfizetés-kezelés. A Stripe felé az e-mail cím, a Studoro account-azonosító és a választott előfizetési csomag kerül továbbításra. A Stripe DPF-tanúsított.
• App Store fizetés (iOS): Apple Inc. (Cupertino, USA) – az iOS-en történő előfizetések kezelése. Az App Store Server API felé a vásárlás eredeti tranzakció-azonosítója (originalTransactionId) és az alkalmazás bundle-azonosítója kerül továbbításra. Apple Inc. DPF-tanúsított.
• Google Play fizetés (Android): Google LLC (Mountain View, USA) – az Android-on történő előfizetések kezelése. A Google Play Developer API felé a vásárlási token (purchaseToken), a csomag-azonosító és a termék-azonosító kerül továbbításra. Google LLC DPF-tanúsított.
• AI-szolgáltató (Virtuális Tanársegéd): OpenAI, Inc. (San Francisco, USA) – az AI-tutor válaszok generálása. A felhasználó által beírt kérdés szövegét a kiválasztott modell felé továbbítjuk; egy válasz előállítása után a tartalom nem kerül felhasználásra modell-tanításra (OpenAI API alapértelmezett feltételei szerint), és legfeljebb 30 napig kerül megőrzésre az OpenAI rendszerében visszaélés-megelőzési célból, ezt követően véglegesen törlésre kerül. OpenAI, Inc. DPF-tanúsított. Kérjük, ne adjon meg személyazonosításra alkalmas adatot vagy különleges adatot (pl. egészségi állapot, vallási meggyőződés) a Tanársegédnek feltett kérdésekben.
• E-mail szolgáltató: SendGrid (Twilio Inc., USA) – rendszerüzenetek és (külön hozzájárulás esetén) hírlevél kiküldése. A SendGrid felé az e-mail cím és a levél tartalma kerül továbbításra. A SendGrid DPF-tanúsított. A tranzakciós e-mailjeinkben a megnyitást- és link-követést kikapcsoltuk.

Az adatfeldolgozók kizárólag az adatkezelő utasításai alapján, adatfeldolgozói szerződés (DPA) keretében kezelik a személyes adatokat, és kötelesek azokat az alkalmazandó adatvédelmi jogszabályoknak megfelelően védeni. A DPF-megfelelőségi határozat értelmében ezekhez az adatfeldolgozókhoz történő adattovábbítás a GDPR V. fejezete szerint engedélyezett, további külön intézkedés (pl. SCC) nélkül.

8. Sütik (cookie-k) és hasonló technológiák

A Studoro mobilalkalmazás hagyományos sütiket (cookie-kat) nem használ. A felhasználó hitelesítéséhez szükséges tokent az eszköz biztonságos tárolójában (secure storage) tároljuk.

A Studoro weboldal kizárólag a működéshez feltétlenül szükséges (strictly necessary) sütiket és helyi tárolást (localStorage) alkalmaz az alábbi célokra:

• Munkamenet (Blazor Server SignalR cookie): a bejelentkezett állapot és az interaktív kapcsolat fenntartása.
• CSRF-védelem (ASP.NET Core anti-forgery cookie): a webes űrlapok elleni támadások megelőzése.
• Felületi preferenciák (localStorage): a mobil-letöltés banner és a süti-tájékoztató banner becsukásának megjegyzése.

Harmadik féltől származó analitikai, marketing vagy nyomkövető sütiket nem használunk. A weboldalon megjelenő ikonkészletet (Bootstrap Icons) és betűtípust (Poppins) saját szerverünkről szolgáljuk ki, így első látogatáskor sem küldünk a felhasználó IP-címéről adatot harmadik fél (pl. Google Fonts, jsdelivr CDN) felé.

A tranzakciós e-mailjeinkben (regisztráció megerősítése, jelszó-visszaállítás stb.) a megnyitást és linkre kattintást nyomon követő pixeleket és átirányításokat (open / click tracking) kikapcsoltuk.

9. Az érintettek jogai

A GDPR alapján Önnek az alábbi jogai vannak személyes adatai kezelésével kapcsolatban:

9.1. Hozzáférési jog (GDPR 15. cikk)

Ön jogosult tájékoztatást kérni arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult a kezelt adatokhoz hozzáférni és az adatkezelésre vonatkozó információkat megismerni.

9.2. Helyesbítéshez való jog (GDPR 16. cikk)

Ön kérheti pontatlan személyes adatainak helyesbítését, valamint hiányos adatainak kiegészítését.

9.3. Törléshez való jog – „elfeledtetéshez való jog" (GDPR 17. cikk)

Ön kérheti személyes adatainak törlését. Az adatkezelő köteles a törlést indokolatlan késedelem nélkül végrehajtani, amennyiben a törlés feltételei fennállnak (pl. az adatkezelés célja megszűnt, a hozzájárulás visszavonásra került). Az alkalmazás Beállítások menüjében a fiók törlése funkció közvetlenül elérhető.

9.4. Az adatkezelés korlátozásához való jog (GDPR 18. cikk)

Ön kérheti az adatkezelés korlátozását meghatározott esetekben (pl. az adat pontossága vitatott, az adatkezelés jogellenes, de Ön a törlés helyett korlátozást kér).

9.5. Adathordozhatósághoz való jog (GDPR 20. cikk)

Ön jogosult arra, hogy a rendelkezésünkre bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, és jogosult ezeket az adatokat egy másik adatkezelőnek továbbítani. Az alkalmazás Beállítások menüjében az "Adatok exportálása" funkció közvetlenül elérhető.

9.6. Tiltakozáshoz való jog (GDPR 21. cikk)

Ön jogosult tiltakozni személyes adatainak jogos érdeken alapuló kezelése ellen. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve ha az adatkezelést kényszerítő erejű jogos okok indokolják.

10. Adatbiztonság

Az adatkezelő megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok biztonsága érdekében:

• Titkosított adatátvitel (TLS/HTTPS) az alkalmazás és a szerverek között.
• Jelszavak kizárólag titkosított hash formában történő tárolása – az eredeti jelszó nem hozzáférhető.
• Hozzáférés-kezelés és jogosultságkezelés a szerveren.
• Biztonságos tokentárolás a felhasználó eszközén.
• Rendszeres biztonsági felülvizsgálatok.

Az adatkezelő az adatvédelmi incidensek megelőzése érdekében a technika mindenkori állásának megfelelő védelmi intézkedéseket alkalmazza, és adatvédelmi incidens esetén a jogszabályoknak megfelelően értesíti az érintetteket és a hatóságot.

11. Jogorvoslat

Amennyiben Ön úgy ítéli meg, hogy személyes adatainak kezelése sérti a hatályos adatvédelmi jogszabályokat, az alábbi jogorvoslati lehetőségek állnak rendelkezésére:

1. Forduljon közvetlenül az adatkezelőhöz az info@studoro.hu e-mail címen. Panaszát 30 napon belül kivizsgáljuk.

2. Panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):

3. Bírósági úton érvényesítheti jogait. A per a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

12. Kapcsolat és záró rendelkezések

Adatvédelmi kérdésekkel, kérelmekkel kapcsolatban az alábbi elérhetőségeken kereshet minket:

A jelen adatvédelmi tájékoztató a közzététel napjától hatályos. Az adatkezelő fenntartja a jogot a tájékoztató módosítására. A módosításokról a felhasználókat az alkalmazáson belül vagy e-mailben értesítjük.

A szolgáltatás használatának folytatásával a felhasználó tudomásul veszi a jelen adatvédelmi tájékoztatóban foglaltakat.