Jogi tájékoztató

Adatvédelmi Nyilatkozat

Hatályos: 2026. július 11.

1. Adatkezelő

A Centrio szalonkezelő platform üzemeltetője (a továbbiakban: „Adatkezelő"):

  • Cégnév: SzoRa Solution Kft.
  • Székhely: 2030 Érd, Szendrői utca 51.
  • Cégjegyzékszám: 13-09-236277 (nyilvántartó bíróság: Budapest Környéki Törvényszék Cégbírósága)
  • Adószám: 32649491-2-13
  • Közösségi (EU) adószám: HU32649491
  • Képviselő: Keller Bence ügyvezető
  • Elérhetőség: info@centrio.hu
  • Platform URL: www.centrio.hu

2. Kezelt személyes adatok

2.1. Regisztráció és bejelentkezés

A platformra való regisztrációhoz és bejelentkezéshez az alábbi adatokat kezeljük:

  • E-mail cím — fiók azonosításához, értesítések küldéséhez
  • Megjelenítési név — személyre szabott felhasználói élményhez
  • Jelszó (csak e-mail alapú regisztrációnál) — titkosítva tárolva, soha nem látható

2.2. Google OAuth bejelentkezés

Ha Google-fiókkal jelentkezik be, a Google hitelesítési szolgáltatásától (Google LLC, 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA) az alábbi adatokat kapjuk meg:

  • Google-fiók e-mail cím
  • Megjelenítési név (keresztnév és vezetéknév)
  • Google-fiók azonosító (sub / user ID)

Ezeket az adatokat kizárólag a fiók létrehozásához és azonosításához használjuk. Google OAuth tokeneket titkosítva tároljuk. A Google adatvédelmi szabályzata elérhető: policies.google.com/privacy.

2.3. Szalonkezelési adatok (operátorok által felvett adatok)

A Centrio platformot szépségipari szakemberek (operátorok) saját vendégeik és időpontjaik kezelésére használják. Az operátorok által a platformon rögzített vendégadatok (név, telefonszám, e-mail cím, születésnap, kezelési előzmények) vonatkozásában az operátor minősül adatkezelőnek, a Centrio platform adatfeldolgozóként jár el. Az operátor felelős ezen adatok GDPR-megfelelő kezeléséért a saját vendégeivel szemben.

A Centrio nem vállal felelősséget a Megrendelő/operátor adatkezelési gyakorlatáért; a vendégadatok tekintetében az operátor minősül adatkezelőnek, a Centrio adatfeldolgozóként jár el, és a Megrendelő/operátor szavatolja az általa rögzített adatok jogszerű kezelésének jogalapját.

2.3.1. Vendég születésnapja (opcionális)

Ha az operátor bekapcsolja, az online foglalási űrlapon a vendég opcionálisan megadhatja a születésnapját. A születésnap megadása nem feltétele a foglalásnak. Az operátor ezt az adatot kizárólag abból a célból kezeli, hogy a vendéget születésnapja alkalmából kedvezménnyel vagy kuponnal lephesse meg. A születésnap megadása a vendég önkéntes hozzájárulásán alapul; a vendég bármikor kérheti annak törlését az adott operátortól. Az operátor — mint adatkezelő — felel ezen adat jogszerű kezeléséért.

2.4. Munkamenet és technikai adatok

  • JWT munkamenet token (LocalStorage-ban tárolva) — a bejelentkezési állapot megőrzéséhez
  • Naplófájlok (IP-cím, böngésző típusa, kért URL, időbélyeg) — biztonsági és hibakeresési célból, 30 napig megőrizve

3. Az adatkezelés célja és jogalapja

Adatkezelési célJogalap (GDPR)
Fiók létrehozása, bejelentkezés kezelése6. cikk (1) b) — szerződés teljesítése
Google OAuth hitelesítés6. cikk (1) a) — hozzájárulás
Rendszer-értesítések, tranzakciós e-mailek6. cikk (1) b) — szerződés teljesítése
Online előfizetési díj feldolgozása (Barion)6. cikk (1) b) — szerződés teljesítése
Vendég születésnapjának tárolása (születésnapi kedvezmény / kupon küldése — operátori funkció)6. cikk (1) a) — hozzájárulás (a vendég önkéntes megadása alapján)
Biztonság, visszaélés megelőzése6. cikk (1) f) — jogos érdek

4. Adattárolás helye és időtartama

Tárolás helye: Az adatokat az Európai Unión belül (Supabase adatbázis, eu-central-1 régió) tároljuk; a platform kiszolgálása (szerverfuttatás) a Vercel Inc. USA-beli infrastruktúráján történik — részletek az 5. szekcióban.

AdatkategóriaMegőrzési időJogalap/indok
FiókadatokA fiók fennállásáig; törlési kérelem esetén azonnali deaktiválás + 30 napos türelmi (grace) időszak, majd végleges törlés/anonimizálásÖnkéntes törlési kérelem (Beállítások „Veszélyes zóna") — GDPR 17. cikk
NAV-számlák8 évig (archív/anonimizált formában), a fiók törlése után isSzámviteli tv. (2000. évi C. tv.) 169. § — törvényi kivétel (GDPR 17. cikk (3) b))
Naplófájlok30 napig, majd automatikus törlésBiztonsági és hibakeresési célú jogos érdek — GDPR 6. cikk (1) f)
Szalonkezelési (vendég-) adatokAz operátor határozza megAz operátor adatkezelői felelőssége (lásd 2.3 szekció)
Analytics (Google Analytics)A GA4 alapértelmezett esemény-megőrzési ideje: 14 hónapHozzájárulás (süti-sáv „Statisztikai" kategória) — GDPR 6. cikk (1) a)

5. Harmadik felek

  • Google LLC — OAuth hitelesítési szolgáltatás. Adatvédelmi tájékoztató: policies.google.com/privacy
  • Számlázz.hu (KBOSS.hu Kft.) — Ha az operátor a platformon belüli számlakiállítás funkciót használja, a számlázáshoz szükséges adatokat a Számlázz.hu API-n keresztül továbbítjuk. Adatvédelmi tájékoztató: szamlazz.hu/adatvedelem
  • Google Tag Manager / Google Analytics — Látogatói statisztikák gyűjtésére. A Google Analytics nem anonim — egyedi azonosítót (_ga, _ga_* süti) tárol. A mérést csak akkor engedélyezzük, ha a süti-sávon a „Statisztikai" kategóriát elfogadod (részletek a 7. szekcióban). Az adatok az EU-n kívülre is kerülhetnek, az adattovábbítás a Google Standard Contractual Clauses alapján történik.
  • Tárhelyszolgáltatás: Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) + Supabase (EU adatbázis) — a platform szerverfuttatása (frontend + backend) a Vercel Inc. USA-beli serverless infrastruktúráján történik, az EU-n kívülre történő adattovábbítás a Google Standard Contractual Clauses (SCC) alapján történik; az adatbázis (Supabase) EU-n belül (eu-central-1 régió) tárolja az adatokat.
  • Email-kézbesítő szolgáltató — a rendszer-értesítések és tranzakciós e-mailek kézbesítéséhez SMTP-alapú email-kézbesítő szolgáltatót veszünk igénybe.
  • NAV Online Számla rendszer (Nemzeti Adó- és Vámhivatal) — ha az operátor a platformon belüli NAV-direct számlakiállítási funkciót használja, a kiállított számlák adatai törvényi kötelezettség alapján (Áfa tv. / vonatkozó NAV rendelet, GDPR 6. cikk (1) c)) automatikusan a NAV online számla-adatszolgáltatási rendszerébe továbbítódnak. Ez nem a klasszikus GDPR-értelemben vett adatfeldolgozás, hanem állami adatszolgáltatási kötelezettség — átláthatóság kedvéért soroljuk fel.
  • Groq Inc. (USA) — a platformba épített AI-asszisztens (Beállítások / admin felület) az Ön kérésére a bejelentkezett kezelő saját scope-jában lévő adatokhoz (időpontok, vendégek neve/telefonszáma, szolgáltatások) fér hozzá, hogy választ tudjon adni. Az adattovábbítás az EU-n kívülre a Google Standard Contractual Clauses alapján történik.
  • Barion Payment Zrt. (székhely: 1117 Budapest, Infopark sétány 1. I. épület 5. emelet; a Magyar Nemzeti Bank felügyelete alatt álló elektronikuspénz-kibocsátó intézmény, engedélyszám: H-EN-I-1064/2013) — Az online előfizetési díj fizetésének feldolgozója. A fizetés indításakor a Barion felé továbbított adatok köre az előfizetés-fizetéshez kapcsolódó tranzakciós/fizetési adatokra (pl. fizetendő összeg, tranzakció-azonosító, e-mail cím) korlátozódik; a bankkártya adatait kizárólag a Barion biztonságos rendszere kezeli, azok a kereskedőhöz (a Centrio-hoz) nem jutnak el, azokat nem látjuk és nem tároljuk. A kártya- és fizetési adatok vonatkozásában a Barion Payment Zrt. a saját adatkezelési tájékoztatója szerint önálló adatkezelőnek minősül. Adatvédelmi tájékoztató: barion.com/hu/adatvedelmi-tajekoztato

6. Az érintett jogai (GDPR 15–21. cikk)

Az Ön személyes adataival kapcsolatban az alábbi jogokat gyakorolhatja:

  • Hozzáférés joga (15. cikk): Tájékoztatást kérhet az Önről kezelt adatokról.
  • Helyesbítés joga (16. cikk): Kérheti a pontatlan adatok javítását.
  • Törlés joga (17. cikk): Kérheti a személyes adatai törlését („elfeledtetéshez való jog"). A fiók törlését közvetlenül, self-service módon is kezdeményezheti a Beállítások „Veszélyes zóna" szekciójából — a törlés azonnal deaktiválja a fiókot, majd a 30 napos türelmi időszak alatt visszavonható marad. (A kiállított NAV-számlákra a 4. pont szerinti 8 éves törvényi megőrzési kötelezettség vonatkozik.)
  • Az adatkezelés korlátozásához való jog (18. cikk): Bizonyos esetekben kérheti az adatkezelés korlátozását.
  • Adathordozhatóság joga (20. cikk): Kérheti adatait géppel olvasható formátumban.
  • Tiltakozás joga (21. cikk): Tiltakozhat az adatkezelés ellen, ha az jogos érdeken alapul.

Jogait az info@centrio.hu e-mail-címen érvényesítheti. Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) fordulhat: naih.hu.

7. Sütik (cookie-k)

A platform munkamenet-kezeléshez JWT tokent használ, amelyet a böngésző LocalStorage tárolójában tárolunk — ez technikailag nem süti, de hasonló célt szolgál. A harmadik féltől származó statisztikai sütik (Google Tag Manager / Google Analytics) nem anonimak — a Google Analytics egyedi azonosítót tárol (_ga, _ga_* süti). A statisztikai (Google Analytics) mérést csak akkor engedélyezzük, ha a süti-sávon elfogadod a „Statisztikai" kategóriát; a hozzájárulásodat a Google Tag Manageren keresztül jelezzük, és ennek megfelelően engedélyezzük vagy tiltjuk a mérést. Ha csak a szükséges sütiket fogadod el, statisztikai mérés nem történik.

Részletes süti-tájékoztatónkat, a pontos kategóriákat és a konkrét tárolók listáját a Süti-tájékoztató oldalon olvashatod.

8. Adatbiztonság

A személyes adatokat titkosított HTTPS kapcsolaton keresztül továbbítjuk. A jelszavakat erős hash algoritmussal tároljuk. A Google OAuth refresh tokeneket AES-256-GCM titkosítással tároljuk. Rendszeresen végzünk biztonsági mentést az adatokból.

9. Kapcsolat

Adatvédelmi kérdésekkel, kérésekkel forduljon hozzánk:

info@centrio.hu

10. A nyilatkozat módosítása

Fenntartjuk a jogot jelen nyilatkozat módosítására. Lényeges változás esetén e-mailben értesítjük a regisztrált felhasználókat. Az aktuális verzió mindig ezen az oldalon érhető el.