Vissza a főoldalra

Adatvédelmi szabályzat

2026. március 21.

1. Adatkezelő

Bartosz Różycki, be nem jegyzett egyéni vállalkozó (działalność nierejestrowana), Lengyelország.

Kapcsolat: team@albumqr.io — válasz 30 napon belül.

2. Általunk kezelt adatok

Szervezők

e-mail-cím és Google-profil (OAuth), eseménynév és konfiguráció, fizetési adatok (kizárólag a Stripe kezeli — bankkártyaadatokat nem tárolunk), technikai adatok (IP, naplók).

Vendégek

fotók és miniatűrök (közvetlenül S3-ra feltöltve presigned URL-en keresztül), opcionális név és üzenet, fotó metaadatok (dátum, méret, EXIF), technikai adatok. A kedvelések kizárólag a böngészőben, lokálisan tárolódnak.

Analitika

Google Analytics 4 — forgalmi és interakciós adatok (GA4 események), felhasználói hozzájárulással (Consent Mode v2). Az adatok a Google LLC-hez (USA) kerülnek továbbításra.

3. Célok és jogalapok

Adatokat kezelünk a szolgáltatás nyújtása és a fizetések kezelése céljából (szerződés teljesítése), biztonság és analitika érdekében (jogos érdekek), opcionális Google Drive integráció (hozzájárulás), valamint jogi kötelezettségek teljesítése céljából.

4. A Szervező felelőssége a képmás jogokért

⚠️ Fontos

Az AlbumQR technikai eszköz. A szolgáltató nem moderálja a tartalmakat és nem ellenőrzi a képmás felhasználásához szükséges hozzájárulásokat. A Szervező felelős a résztvevők tájékoztatásáért és a szükséges hozzájárulások beszerzéséért (vonatkozó képmásjog, GDPR).

5. Adatfeldolgozók

FeldolgozóCél
Vercel Inc.USA — tárhelyszolgáltatás; általános szerződési feltételek (SCC)
Amazon Web ServicesS3 eu-central-1 Frankfurt, CloudFront — fotók; SCC
Stripe Inc.USA — fizetések; önálló adatkezelő
Google LLCUSA — OAuth, Google Analytics 4, opcionálisan Google Drive; SCC
Neon Inc.PostgreSQL adatbázis (AWS eu-central-1, EGT)

6. Biztonság

  • HTTPS/TLS titkosított adatátvitel
  • Fotók közvetlenül S3-ra feltöltve presigned URL-en keresztül (15 perces érvényesség)
  • Privát galéria hozzáférés CloudFront aláírt cookie-kkal védve (24 óra)
  • Feltöltési végpontokon sebességkorlátozás

7. Megőrzési időszakok

  • Fotók és metaadatok — a szervező általi törlésig vagy a csomag lejártáig
  • Google-fiók adatok — a fiók fennállása alatt, kérésre törölve
  • Fizetési adatok — a Stripe szabályzatának megfelelően (legfeljebb 5 év, jogszabályi követelmények)
  • Technikai naplók — legfeljebb 90 napig

8. Az Ön jogai

A GDPR alapján Önt megilleti a hozzáférés, helyesbítés, törlés, az adatkezelés korlátozása, adathordozhatóság, tiltakozás és a hozzájárulás visszavonásának joga. Kapcsolat: team@albumqr.io.

Panaszt nyújthat be a lengyel adatvédelmi hatósághoz (UODO), ul. Stawki 2, Varsó — uodo.gov.pl.

Kaliforniai adatvédelmi jogok (CCPA/CPRA)

Ha Ön kaliforniai lakos, a California Consumer Privacy Act (CCPA) és a California Privacy Rights Act (CPRA) módosítása alapján további jogokkal rendelkezik.

1. Tájékoztatáshoz való jog

Önnek joga van tudni, milyen személyes adatokat gyűjtünk. A következő kategóriákat gyűjtjük:

  • Azonosítók (e-mail-cím, OAuth profiladatok a Google-tól)
  • Eseménykonfigurációs adatok (eseménynév, dátumok, beállítások)
  • Feltöltött fotó metaadatok (fájlméret, méretek, EXIF dátum, tájolás)
  • Használati naplók és technikai adatok (IP-cím, böngészőinformáció)
  • Fizetési nyilvántartások — kizárólag a Stripe Inc. kezeli (bankkártyaszámokat nem tárolunk)

2. Törléshez való jog

Kérheti személyes adatainak törlését. A Szervezők az önkiszolgáló fióktörlési funkcióval törölhetik fiókjukat és az összes kapcsolódó adatot a következő helyen: /settings (Veszélyzóna → Fiók törlése), vagy írjanak nekünk a team@albumqr.io címre.

3. Eladás vagy megosztás megtagadásának joga

Az AlbumQR nem értékesíti és nem osztja meg személyes adatait pénzügyi vagy egyéb ellenértékért. Nem értékesítjük adatait harmadik feleknek, és nem osztjuk meg azokat kontextusokon átívelő viselkedésalapú hirdetés céljából.

4. Megkülönböztetésmentességhez való jog

Az AlbumQR nem alkalmaz megkülönböztetést a CCPA jogai gyakorlásáért. Nem tagadjuk meg a szolgáltatásokat, nem alkalmazunk eltérő árakat, és nem nyújtunk eltérő szintű szolgáltatást az adatvédelmi jogai gyakorlása miatt.

5. Kérelem benyújtása

Adatvédelmi kérelem benyújtásához írjon nekünk a team@albumqr.io címre. Az ellenőrizhető fogyasztói kérelem kézhezvételétől számított 45 napon belül válaszolunk.

9. Cookie-k és localStorage

NextAuth munkamenet cookie-kat (a bejelentkezéshez szükséges) és CloudFront aláírt cookie-kat (galéria hozzáférés, 24 óra) használunk. A localStorage a kedveléseket és a nyelvi beállításokat tárolja helyben.

Hozzájárulásával Google Analytics 4 cookie-kat (_ga, _ga_*) is beállítunk — legfeljebb 2 évig tárolva. A hozzájárulást bármikor visszavonhatja a beleegyezési banneren az "Elutasítás" gombra kattintva vagy a böngészőadatok törlésével. Consent Mode v2-t használunk — a hozzájárulás megadásáig nem kerül beállításra analitikai cookie.

A Google Consent Mode v2 viselkedési modellezési technikákat alkalmazhat, beleértve a konverziós modellezést és a Google Signals-t, akkor is, ha a felhasználó nem adott teljes körű analitikai hozzájárulást. Ez azt jelenti, hogy a Google összesített, anonimizált adatokból forgalmi mintákat becsülhet. Részletekért lásd: Google Consent Mode v2.

10. A szabályzat módosítása

Az aktuális verzió a www.albumqr.io/privacy oldalon érhető el. A Szervezők e-mailben kapnak értesítést a lényeges változásokról.

11. Minimális korhatár (COPPA / GDPR)

Ez a szolgáltatás 16 éves vagy annál idősebb felhasználóknak szól. Ez a követelmény a GDPR 8. cikkén és az amerikai Gyermekek Online Adatvédelmi Törvényén (COPPA) alapul.

Az AlbumQR tudatosan nem gyűjt személyes adatokat 16 év alatti gyermekektől. Ha tudomásunkra jut, hogy ilyen adatok gyűjtésére került sor, azokat haladéktalanul töröljük.

A Szervezők felelősek annak biztosításáért, hogy az eseményeiken részt vevő Vendégek megfeleljenek a minimális korhatárnak.

12. Adatszivárgási értesítés

Személyes adatszivárgás esetén az AlbumQR a tudomásszerzéstől számított 72 órán belül értesíti a lengyel adatvédelmi hatóságot (UODO, ul. Stawki 2, 00-193 Varsó, uodo.gov.pl), a GDPR 33. cikkének megfelelően.

Amennyiben az adatszivárgás valószínűleg magas kockázatot jelent az érintett személyek jogaira és szabadságaira nézve, az érintetteket közvetlenül és indokolatlan késedelem nélkül értesítjük (GDPR 34. cikk).

Biztonsági incidens bejelentéséhez írjon a team@albumqr.io címre.