1. Adatkezelői szerepek
A Bokko egy online időpontkérő és foglaláskezelő platform személyes szolgáltatók számára. A rendszer két eltérő adatkezelési helyzetet kezel:
- Szolgáltatói fiók és platformüzemeltetés: a Bokko önálló adatkezelő a szolgáltató fiókadatai, hozzáférési adatai, technikai és biztonsági naplói tekintetében.
- Vendégfoglalások: a vendég által megadott foglalási adatok elsődleges üzleti célja az, hogy a kiválasztott szolgáltató a kérést kezelni tudja. A vendégfoglalási adatok tekintetében az adatkezelő a szolgáltató, a Bokko a vendégfoglalási adatok tekintetében adatfeldolgozóként jár el. Kivételt képeznek azok az esetek, amikor a Bokko platformbiztonsági, visszaélés-megelőzési vagy jogi megfelelési célból önálló döntési jogkörrel rendelkezik — ezekben az esetekben a Bokko önálló adatkezelőként jár el.
- Platformszintű feldolgozás: a Bokko a szolgáltatás működtetéséhez, fejlesztéséhez és a számlázási jogviszony teljesítéséhez szükséges egyes feldolgozásokat önálló adatkezelőként is végezheti. Ahol a Bokko statisztikai vagy fejlesztési célból anonimizált adatokat használ, az ilyen feldolgozás az érintettekre közvetlenül vissza nem vezethető formában történik.
A Bokko és a szolgáltatók közötti szerepkiosztást a GDPR 28. cikke szerinti adatfeldolgozói megállapodás rögzíti, amely a Bokko Szolgáltatói szerződésének részét képezi. A megállapodás tárgyát a vendégfoglalási adatok feldolgozása képezi, időtartama a szerződéses jogviszony fennállásáig tart, az adatkategóriákat és az érintetti köröket e tájékoztató 2. pontja tartalmazza, az utasítási jog a szolgáltatót illeti meg. A Bokko nem hoz a szolgáltatásnyújtás konkrét feltételeire és tartalmára vonatkozó üzleti döntéseket, azonban a platform működéséhez szükséges technikai feldolgozási műveleteket önállóan végzi. Ennélfogva a vendégfoglalási adatok tekintetében az adatkezelő a szolgáltató.
A Bokko üzemeltetőjének adatai:
Mácsik Dávid E.V.
7100 Szekszárd, Fürdőház utca 1.
Email: support@bokko.app
2. Kezelt adatok köre
A jelenlegi alkalmazáslogika alapján a Bokko az alábbi adatokat kezeli.
| Érintetti kör | Adatkategória | Megjegyzés |
|---|---|---|
| Vendégek | Név, telefonszám, opcionális email cím, opcionális megjegyzés | A foglalási űrlapon kerül megadásra. |
| Vendégek | Kért szolgáltatás, preferált dátum és időpont, foglalási státusz | A foglalási kérés kezeléséhez szükséges. |
| Vendégek | Értesítési és eseménynapló adatok | SMS/email küldési időpontok, státuszváltások, válaszok. |
| Vendégek | Token alapú válaszlink adatai | Átütemezési javaslat elfogadásához vagy elutasításához. |
| Szolgáltatók | Email cím, Firebase azonosító, szolgáltatói adatok | Bejelentkezéshez és a dashboard használatához. |
| Szolgáltatók | Szolgáltató neve, slug, telefonszám, címe, nyitvatartása, értesítési email | A nyilvános foglalási oldal és az értesítések működtetéséhez. |
| Vendégek / Szolgáltatók | Google Calendar eseményadatok (vendég neve, szolgáltatás megnevezése, időpont) | Opcionális Google Calendar szinkronizáció esetén a foglalás kezeléséhez szükséges eseményadatok kerülnek a szolgáltató Google Calendar fiókjába. |
3. Az adatkezelés céljai és jogalapjai
| Cél | Érintett adatok | Jellemző jogalap |
|---|---|---|
| Foglalási kérés rögzítése és kezelése | Vendég név, telefon, szolgáltatás, időpont, megjegyzés | GDPR 6. cikk (1) b) pont - szerződéskötést megelőző lépések vagy szerződés teljesítése |
| Foglalási státuszról SMS vagy email értesítés küldése | Telefon, email, státuszadatok | GDPR 6. cikk (1) b) pont és adott esetben 6. cikk (1) f) pont |
| Dashboard hozzáférés és jogosultságkezelés | Szolgáltató email, azonosító | GDPR 6. cikk (1) b) pont |
| Visszaélés-megelőzés, rate limiting, rendszerbiztonság | Normalizált telefonszám, technikai események, naplók | GDPR 6. cikk (1) f) pont – jogos érdek, különösen a rendszerbiztonság, visszaélés-megelőzés és a szolgáltatás stabilitásának biztosítása érdekében. A jogos érdek alkalmazása során a Bokko érdekmérlegelési tesztet végez, figyelembe véve az érintett alapvető jogait és szabadságait. |
| Jogi kötelezettségek teljesítése, igényérvényesítés | Az adott ügyhöz kapcsolódó releváns adatok | GDPR 6. cikk (1) c) pont és 6. cikk (1) f) pont |
| Platformszintű működtetés, szolgáltatásfejlesztés és számlázási adminisztráció | Az ehhez szükséges minimális szolgáltatói és használati adatok, illetve ahol alkalmazható, anonimizált statisztikai adatok | GDPR 6. cikk (1) b) pont – a szolgáltatóval fennálló szerződés teljesítéséhez szükséges feldolgozások esetén; GDPR 6. cikk (1) f) pont – a szolgáltatás fejlesztéséhez és platformszintű működtetéséhez kapcsolódó jogos érdek esetén |
Marketing célú hírlevélküldés vagy profilalkotás a jelenlegi kódbázis alapján nem látható. Ha ilyen funkció később bekerül, ezt a tájékoztatót előzetesen frissíteni kell.
4. Címzettek, adatfeldolgozók és igénybe vett infrastruktúra-szolgáltatók
A jelenlegi architektúra alapján az adatok az alábbi szolgáltatókhoz juthatnak el. Az első három adatfeldolgozóként, a negyedik infrastruktúra-szolgáltatóként vesz részt a rendszer működésében:
- Google Firebase - Auth, Firestore, Cloud Functions és Hosting infrastruktúra.
- Twilio - SMS értesítések kiküldése.
- Mailjet - email értesítések kiküldése.
- Cloudflare - DNS-kezelés; a Bokko domainjei Cloudflare DNS alatt vannak, személyes adathoz közvetlen hozzáférése jellemzően nincs.
E szolgáltatók esetén az adatok az Európai Gazdasági Térségen kívülre (jellemzően az Egyesült Államokba) is továbbítódhatnak. Az adattovábbítás jogszerűsége az alábbi mechanizmusokon alapul:
- Általános szerződési feltételek (SCC): az Európai Bizottság 2021/914/EU végrehajtási határozata szerinti standard szerződési feltételek, amelyekre az érintett szolgáltatók támaszkodnak.
- EU–US Data Privacy Framework (DPF): ahol az adatfeldolgozó tanúsítvánnyal rendelkezik az EU–US Data Privacy Framework keretében, az adattovábbítás ezen az adequacy decision alapján is jogszerű.
E szolgáltatók a megfelelő adattovábbítási garanciákat alkalmazzák, különösen SCC és — ahol alkalmazható — az EU–US Data Privacy Framework keretében.
A Bokko fenntartja a jogot adatfeldolgozók bevonására vagy cseréjére, amelyről a szolgáltatókat megfelelően tájékoztatja.
5. Megőrzési idők
A Bokko külön megőrzési és törlési rendet alkalmaz. A részletes szabályok a Megőrzési és törlési rend oldalon érhetők el. A megőrzési szabályok részben automatizált, részben adminisztratív eljárásokkal kerülnek végrehajtásra.
| Adatkör | Javasolt szabály |
|---|---|
| Szolgáltató fiókadatok | A szerződés fennállása alatt, majd 90 nap, kivéve jogszabályi vagy jogvitához kapcsolódó hosszabb megőrzés esetén. |
| Aktív és lezárt foglalások | 24 hónap az időpont napjától vagy a végső státuszfrissítéstől, kivéve ha jogvita, hatósági eljárás vagy követelés érvényesítése hosszabb megőrzést tesz szükségessé. |
| Technikai és biztonsági naplók | 12 hónap, kivéve ha konkrét incidens vagy jogvita miatt hosszabb megőrzés szükséges. |
6. Érintetti jogok
Az érintetteket a vonatkozó jogszabályok szerint megilletheti különösen:
- a hozzáféréshez való jog,
- a helyesbítéshez való jog,
- a törléshez való jog,
- az adatkezelés korlátozásához való jog,
- az adathordozhatósághoz való jog,
- a tiltakozáshoz való jog a jogos érdeken alapuló adatkezeléssel szemben.
Ha a kérés közvetlenül egy adott szolgáltatónál történt foglalással kapcsolatos, az érintetti kérelmet elsőként a szolgáltató tudja érdemben kezelni, mivel a vendégfoglalási adatok tekintetében az adatkezelő a szolgáltató. A Bokko a szolgáltató adatfeldolgozójaként a szolgáltató utasításai alapján jár el, és indokolatlan késedelem nélkül támogatja az érintetti kérelmek teljesítését, figyelembe véve a vonatkozó jogszabályi határidőket.
A Bokko saját adatkezelési körébe tartozó kérelmeket (pl. szolgáltató fiókadatai) közvetlenül a support@bokko.app címen lehet benyújtani.
7. Sütik és technikai naplók
A rendszer kizárólag technikailag szükséges sütiket és böngészőoldali tárolóelemeket alkalmaz — beleértve a böngésző localStorage és sessionStorage megoldásait —, elsősorban a Firebase Auth munkamenet-kezeléséhez. Analitikai, remarketing vagy marketing célú sütik jelenleg nem kerülnek elhelyezésre, ezért külön hozzájáruláskezelés nem szükséges.
Ha a jövőben analitika vagy külső beágyazás kerül az oldalba, ezt a tájékoztatót frissíteni kell, és szükség esetén sütihozzájárulás-kezelést kell bevezetni.
8. Adatbiztonság
A Bokko a jelenlegi implementáció szerint több technikai védelmi megoldást alkalmaz, így például:
- jogosultságalapú Firestore hozzáférés-szabályokat,
- közvetlen kliens oldali foglalásírás tiltását,
- telefonnormalizálást és visszaélés-megelőző rate limitet,
- token alapú vendégválasz-oldalt átütemezési helyzetekre — a tokenek időben korlátozott érvényességűek és egyszer használatosak.
Teljes biztonság azonban az interneten nem garantálható. A Bokko hozzáférés-naplózási, folyamatos felülvizsgálati és incidenskezelési eljárásokat alkalmaz az adatok védelme érdekében. Adatvédelmi incidens esetén a Bokko a vonatkozó jogszabályoknak megfelelően jár el. Ha a Bokko az adott adatkezelés tekintetében adatkezelőként jár el, szükség esetén indokolatlan késedelem nélkül, lehetőség szerint a GDPR 33. cikke szerinti 72 órás határidőn belül értesíti az illetékes felügyeleti hatóságot, valamint súlyos kockázat esetén az érintetteket is. Ha a Bokko adatfeldolgozóként jár el, az incidenst indokolatlan késedelem nélkül jelzi az érintett szolgáltató részére.
A Bokko kizárólag a szükséges és arányos adatokat kezeli. Az adatminimalizálás elvét a funkcióterv és a kódbázis szintjén érvényesítjük.
9. Panasz és kapcsolat
Adatvédelmi kérdés vagy kérelem esetén írj a következő címre: support@bokko.app. A Bokko indokolatlan késedelem nélkül, legkésőbb a vonatkozó jogszabályi határidőn belül válaszol.
Magyarországon panasz nyújtható be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz is:
NAIH
1055 Budapest, Falk Miksa utca 9-11.
https://www.naih.hu/
10. Verziókezelés
A Bokko fenntartja a jogot a tájékoztató frissítésére. Lényeges változás esetén az új verzió hatálybalépési dátumát ezen az oldalon kell feltüntetni, és szükség esetén külön értesítést is kell küldeni a szolgáltatók részére.