Adatkezelési tájékoztató - KockaVadász

Adatkezelési tájékoztató

Utoljára frissítve: 2026-05-01

Ez az adatvédelmi tájékoztató ismerteti, hogy a KockaVadász („mi", „minket") hogyan gyűjti, használja, tárolja és osztja meg a személyes adatokat, amikor Ön a weboldalunkat és a kapcsolódó szolgáltatásokat (a „Szolgáltatás") használja. A tájékoztató az (EU) 2016/679 rendelet (az általános adatvédelmi rendelet, „GDPR") és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.") követelményeinek való megfelelés érdekében készült.

A Szolgáltatás használatával Ön tudomásul veszi, hogy a jelen tájékoztatót elolvasta. A hozzájáruláson alapuló adatkezelési tevékenységek csak azt követően indulnak, hogy Ön a hozzájárulását megadta.

1. Adatkezelő

Az Ön személyes adatainak kezeléséért felelős adatkezelő:

  • Név: Geiger Tamás e.v. (egyéni vállalkozó)
  • Cím: 1044 Budapest, Váci út 83/A 2/208, Magyarország
  • Adószám: HU60384649
  • E-mail: [email protected]

Adatvédelmi tisztviselőt nem neveztünk ki, mivel a GDPR 37. cikke alapján erre nem vagyunk kötelesek. Bármilyen adatvédelmi ügyben a fenti elérhetőségeken fordulhat hozzánk.

Az adatkezelő tekintetében illetékes felügyeleti hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH"). Elérhetőségei a 11. pontban találhatók.

2. Az adatkezelés köre és jogalapjai

Személyes adat bármely azonosított vagy azonosítható természetes személyre vonatkozó információ. Az alábbi táblázat felsorolja az általunk végzett egyes adatkezelési tevékenységeket, az érintett adatkategóriákat, a célt, a GDPR 6. cikk (1) bekezdése szerinti jogalapot és a megőrzési időt.

2.1 Fiókregisztráció és -kezelés

  • Adatok: e-mail-cím, név, jelszó hash-elt változata, regisztráció piaca (otthoni piac), időzóna, értesítési beállítások, a Felhasználási feltételek és az adatvédelmi tájékoztató elfogadásának időbélyegei, opcionális profilszemélyre szabási mezők (vásárlási érdeklődési körök, vásárlási motiváció, születési év — lásd 2.14. pont). Ha Ön Google-lal vagy Facebookkal jelentkezik be, emellett tároljuk a szolgáltató által visszaadott felhasználói azonosítót is.
  • Cél: a felhasználói fiók létrehozása és fenntartása, Ön hitelesítése, a Felhasználási feltételek érvényesítése és annak rögzítése, hogy Ön a jelen tájékoztatót elfogadta.
  • Jogalap: az Ön és közöttünk létrejött szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont.
  • Megőrzés: a fiók élettartama alatt. Ha Ön törlést kér, a fiók 14 napos türelmi időszakra megőrzésre kerül (lásd 2.9. pont), majd törlésre kerül.

2.2 Bejelentkezés Google-lal / Facebookkal

  • Adatok: az Ön Google- vagy Facebook-felhasználóazonosítója, e-mail-címe, neve és (ha elérhető) az e-mail igazolt státusza.
  • Cél: hogy Ön jelszó helyett külső azonosítószolgáltatóval hitelesíthesse magát.
  • Jogalap: szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont. Amikor Ön a bejelentkezés gombra kattint, elindítja a hitelesítési folyamatot, amely a Szolgáltatás nyújtásához szükséges.
  • Címzettek: a Google Ireland Limited és a Meta Platforms Ireland Limited saját hitelesítési szolgáltatásaik tekintetében független adatkezelőként járnak el. Lásd 3. pont.
  • Megőrzés: a szolgáltató felhasználóazonosítóját addig tároljuk, amíg Ön a fiókját az adott szolgáltatóhoz kapcsolva tartja, és a fiókkal együtt töröljük.

2.3 Kívánságlista, áriasztások és beállítások

  • Adatok: a kívánságlistájához hozzáadott termékhivatkozások, célárak, a kívánságlista-elemekhez fűzött személyes jegyzetek (opcionális, legfeljebb 500 karakter), értesítési beállítások (értesítés bármilyen árcsökkenésnél, értesítés készletre kerüléskor), a piac, amelyet az egyes elemek hozzáadásakor böngészett.
  • Cél: az Ön által kért kívánságlista- és áriasztási funkciók biztosítása.
  • Jogalap: szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont.
  • Megőrzés: ameddig a bejegyzések a kívánságlistán maradnak, illetve a fiók törléséig (a bejegyzések a fiókkal együtt törlődnek).

2.4 Push értesítési tokenek

  • Adatok: a böngészője, illetve a jövőben a mobilalkalmazásunk által regisztrált Firebase Cloud Messaging (FCM) eszköztokenek; minden token platformja, user agent-je és aktivitási státusza.
  • Cél: az Ön által engedélyezett böngészős és mobil push értesítések (például árcsökkenési riasztások) kézbesítése.
  • Jogalap: az Ön hozzájárulása — GDPR 6. cikk (1) bekezdés a) pont. A hozzájárulást két lépésben adja meg: a böngésző vagy az operációs rendszer értesítési kérésének elfogadásával, majd a push értesítések bekapcsolásával a fiókbeállításokban. A hozzájárulást bármikor visszavonhatja az értesítések kikapcsolásával a Szolgáltatáson belül, illetve a böngésző/OS engedély visszavonásával.
  • Megőrzés: az aktív tokeneket mindaddig megőrizzük, amíg Ön a push értesítéseket bekapcsolva tartja. Az inaktívvá vált tokeneket (például ha a böngésző visszavonja a feliratkozást) az utolsó aktív észleléstől számított 30 nap elteltével töröljük. Minden token a fiók törlésekor törlésre kerül.

2.5 Tranzakciós e-mail

  • Adatok: az Ön e-mail-címe, neve és az üzenet tartalma (például árcsökkenési link, e-mail-megerősítő link, jelszó-visszaállítási link).
  • Cél: a Szolgáltatás működéséhez feltétlenül szükséges e-mailek küldése — e-mail-megerősítés, jelszó-visszaállítás, e-mail-cím-módosítás megerősítése, fiók-törlés megerősítése, valamint az Ön által megrendelt áriasztási értesítések.
  • Jogalap: szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont.
  • Címzett: Sendinblue SAS (Brevo néven működik) — lásd 3. pont.
  • Megőrzés: a fiók élettartama alatt. A Brevónál tárolt kézbesítési metaadatokat (megnyitások, kézbesíthetetlen üzenetek) a Brevo saját megőrzési szabályzata szerint őrzi.

2.6 Marketingcélú e-mail és közönségszegmentálás

  • Adatok: Önt a Brevónál kontaktként tároljuk az alábbi azonosító mezőkkel — e-mail-cím, név, piac, lokál, időzóna, regisztráció dátuma, e-mail-visszaigazolási állapot, hitelesítési szolgáltató (jelszó / Google / Facebook) — és az alábbi, a Szolgáltatáson végzett tevékenységéből származtatott szegmentálási attribútumokkal: a hozzájárulási állapotai (marketing, e-mail-értesítések, push-értesítések), az opcionális profilválaszai (vásárlási érdeklődés, vásárlási motiváció, születési év — lásd 2.14. pont), aktiválási jelzések (van-e kívánságlistás elem, a kívánságlista elemszáma, az első kívánságlistás hozzáadás dátuma, az utolsó aktív dátum a Szolgáltatáson), a kívánságlistáján szereplő 5 leggyakoribb LEGO-téma slug-ja, a kívánságlistáján szereplő legfeljebb 20 készletszám, a partnerboltokba kivezető kattintásaiban az elmúlt 30 napban szereplő 5 leggyakoribb téma slug-ja, az elmúlt 30 napban megtekintett termékoldalakon lévő termékek 5 leggyakoribb témájának slug-ja, és az elmúlt 30 napban a partnerboltokra irányuló kivezető kattintások teljes száma. Nem küldünk a Brevónak felhasználó által megadott szabad szöveget (kívánságlista jegyzetek, kategórianevek), hitelesítési adatokat és a szolgáltatóspecifikus azonosítókat (Google / Facebook azonosítókat).
  • Cél: hogy személyre szabott üzeneteket küldjünk Önnek LEGO®-készletekről, árakciókról és Szolgáltatásunkkal kapcsolatos olyan újdonságokról, amelyekről úgy véljük, érdekelhetik Önt; továbbá hogy piaconkénti közönségszegmenseket számítsunk (például marketing-opt-in felhasználók, akiknek a kívánságlistája vagy a közelmúltban böngészett témái átfednek egy adott LEGO-témával), hogy partner által támogatott marketingkampányokat futtassunk a Brevón belül, anélkül hogy bármely felhasználói adat partnerekhez kerülne.
  • Jogalap: az Ön hozzájárulása — GDPR 6. cikk (1) bekezdés a) pont. Csak akkor veszünk fel Önt marketinglistára és küldünk marketingcélú e-mailt, ha Ön ehhez kifejezetten hozzájárult, akár a regisztráció során a külön jelölőnégyzettel, akár a fiókbeállításokban a „Személyre szabott ajánlatok és tippek" kapcsolóval. A hozzájárulást bármikor visszavonhatja minden marketinglevélben található „leiratkozás" linkkel, vagy a fiókbeállításokban; ekkor azonnal eltávolítjuk Önt a Brevón lévő összes piac-lista tagságából, és a szegmentálási attribútumok többé nem frissülnek. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
  • Címzett: Sendinblue SAS (Brevo) — lásd 3. pont.
  • Megőrzés: a kontakt-attribútumokat a Brevo a hozzájárulás visszavonásáig, illetve a fiók törléséig őrzi. Az eseményadatokat (munkafolyamat-triggerek, mint például user_registered, wishlist_add, price_drop_notified) a Brevo saját 90 napos alapértelmezett esemény-megőrzési ideje szerint tárolja. Ha Ön törli a fiókját (2.9. pont), a Brevo-kontaktja a 14 napos türelmi időszak végén törlődik; a Brevo eseményelőzményei a fenti ütemezés szerint külön járnak le. Ha a fiók megmaradása mellett vonja vissza a hozzájárulást, az e-mail-címét kizárólag annak biztosítása érdekében helyezzük belső tiltólistára, hogy többé ne küldjünk Önnek e-mailt.

2.7 Kimenő kattintáskövetés

  • Adatok: minden „tovább a boltba" kattintás esetén rögzítjük: termékazonosító, boltazonosító, piacazonosító, hivatkozó felhasználói azonosító (ha be van jelentkezve), az IP-cím HMAC-SHA256 kulcsos hash-e, user agent string, Accept-Language fejléc, a látogatáshoz tartozó GA4 ügyfél-azonosító és munkamenet-azonosító (ha van), valamint egy időbélyeg.
  • Cél: annak mérése, hogy mely ajánlatok a leghasznosabbak, összesített bolt- és termékteljesítmény-jelentések készítése, csalárd vagy automatizált forgalom felismerése, valamint a kimenő forgalom egyeztetése kiskereskedelmi partnereinkkel.
  • Jogalap: a Szolgáltatás üzemeltetéséhez és fejlesztéséhez, valamint a visszaélések megelőzéséhez fűződő jogos érdekünk — GDPR 6. cikk (1) bekezdés f) pont. Az általunk tárolt adatok közvetlenül nem azonosítók (az IP-címeket soha nem tároljuk nyílt szövegben — csak kulcsos hash formájában).
  • Megőrzés: az összesített boltstatisztikákat határozatlan ideig megőrizzük, mert nem azonosítják Önt. Az egyes kattintási rekordokhoz kapcsolódó GDPR-szempontból releváns mezők — a hash-elt IP, user agent, Accept-Language fejléc, GA4 ügyfél-azonosító, GA4 munkamenet-azonosító és (ha van) a felhasználói fiókra mutató hivatkozás — 12 hónap elteltével eltávolításra kerülnek, így csak a nem azonosító statisztikák maradnak meg. Ha Ön ezelőtt törli a fiókját, a felhasználói fiókhoz kapcsolódó hivatkozás azonnal eltávolításra kerül a kattintási rekordjairól.

2.8 Munkamenet-sütik és hitelesítés

  • Adatok: a brickhunter-session sütiben tárolt munkamenet-azonosító, továbbá — amíg a munkamenet aktív — a bejelentkezett felhasználó, az aktív piac, az IP-cím HMAC-SHA256 kulcsos hash-e (nem maga az IP), valamint a user agent.
  • Cél: bejelentkezett állapot fenntartása, munkamenet-eltérítés elleni védelem, a megfelelő piac megjelenítése.
  • Jogalap: szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont. A munkamenet-sütik a Szolgáltatáshoz feltétlenül szükségesek, és nem igényelnek hozzájárulási bannert.
  • Megőrzés: a munkamenet-süti az utolsó tevékenységtől számított 120 perc múlva jár le, vagy korábban, ha Ön kijelentkezik. A munkamenet-rekordokat ezt követően automatikus szemétgyűjtés törli.

2.9 Fiók törlése

  • Adatok: a fiók e-mail-címe, a tervezett törlés dátuma.
  • Cél: hogy Ön gyakorolhassa a törléshez való jogát. Amikor Ön törlést kér, a fiók a jövőben 14 nappal későbbi ütemezett törlési dátummal jelölésre kerül, és egy megerősítő e-mailt küldünk. Az időszak végén a fiók feldolgozásra kerül.
  • Jogalap: jogi kötelezettség teljesítése a GDPR 17. cikke alapján — GDPR 6. cikk (1) bekezdés c) pont. A 14 napos türelmi időszak jogos érdeken alapuló intézkedés (GDPR 6. cikk (1) bekezdés f) pont), amely lehetővé teszi a véletlen vagy jogosulatlan törlési kérés visszavonását.
  • Mit törlünk: a felhasználói rekordot, a kívánságlista elemeket, az áriasztási naplóbejegyzéseket, az eszköztokeneket és az összes API-tokent. A clicks táblában a személyes azonosítók (hash-elt IP, user agent, Accept-Language fejléc, GA-azonosítók és a felhasználói azonosítóhoz kapcsolódó hivatkozás) null értékre kerülnek — maguk a kattintási események névtelen boltstatisztikaként megmaradnak.
  • Megőrzés: a fiókrekord az ütemezett napon törlődik. Az anonimizált kattintási adatokra vonatkozóan lásd a 2.7. pontot.

2.10 Ügyfélszolgálati kommunikáció

  • Adatok: az Ön e-mail-címe és a nekünk küldött üzenetek tartalma.
  • Cél: a támogatási kérésekre, panaszokra vagy érintetti jogokkal kapcsolatos kérésekre adandó válasz.
  • Jogalap: szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont a szolgáltatással kapcsolatos kérések esetén; jogi kötelezettség teljesítése — GDPR 6. cikk (1) bekezdés c) pont azon érintetti jogokkal kapcsolatos kérések esetén, amelyekre a GDPR III. fejezete szerint válaszolnunk kell.
  • Megőrzés: az utolsó üzenettől számított 3 év, annak igazolása érdekében, hogy a jogszabályban előírt határidőn belül válaszoltunk. A megválaszolt érintetti kéréseket a megfelelés igazolása érdekében 3 évig őrizzük.

2.11 Biztonsági naplózás

  • Adatok: a szerveralkalmazás naplói, amelyek kérési metaadatokat (URL, HTTP-állapot, időzítés), hibák hívási vermét, és — kis számú esetben, rate-limit döntésekhez — IP-címek HMAC-SHA256 kulcsos hash-eit tartalmazzák. IP-címeket soha nem naplózunk nyílt szövegben.
  • Cél: biztonsági incidensek felderítése és kivizsgálása, védelem brute-force bejelentkezéssel és visszaéléssel szemben, szolgáltatási hibák javítása.
  • Jogalap: a biztonságos szolgáltatás üzemeltetéséhez fűződő jogos érdekünk — GDPR 6. cikk (1) bekezdés f) pont.
  • Megőrzés: 14 nap, ezt követően a naplók automatikusan rotálódnak.

2.12 Webanalitika (Google Analytics 4)

  • Adatok (analitikai hozzájárulással): GA4 ügyfél-azonosító (a brickhunter_client_id sütiben tárolva), GA4 munkamenet-azonosító, oldalmegtekintések, események (keresések, kívánságlista-műveletek, kimenő kattintások stb.), IP alapján levezetett megközelítő földrajzi hely (magát az IP-címet a GA4 azonosítható formában nem tárolja — a Google azt a tárolás előtt csonkolja), eszköz- és böngészőadatok.
  • Adatok (analitikai hozzájárulás nélkül): semmilyen Google Analytics-süti (_ga, _ga_*) nem kerül beállításra vagy olvasásra, és semmilyen tartós felhasználói vagy eszközazonosító sem kerül továbbításra. A Google Analytics Google Consent Mode v2 advanced módban fut (lásd a Google dokumentációját): egy sütimentes „ping" kerül elküldésre a Google-nek, amely csak az időbélyeget, a user agent stringet, a hivatkozó URL-t, egy logikai hozzájárulási állapotot, egy jelzőt arra vonatkozóan, hogy az aktuális vagy egy korábbi oldal tartalmazott-e hirdetéskattintási információt az URL-ben (például gclid / dclid), valamint egy minden oldalbetöltésnél generált véletlen számot tartalmaz. A Google közlése szerint a hálózati kérés részeként fogadott IP-címet nem tárolják vagy naplózzák. A Google ezeket a jelzéseket kizárólag összesített, modellezett jelentések készítésére használja — ezekből egyéni felhasználói profilt nem épít.
  • Szerveroldali események: amikor konverzió-releváns esemény következik be, azt szervertől a GA4-nek a Measurement Protocol segítségével küldjük el. Az esemény az Ön böngészőmunkamenetének aktuális hozzájárulási jelzéseit (mind az analytics_storage, mind az ad_storage) örökli. Ha nem áll rendelkezésre GA4 ügyfél-azonosító, egy egyszeri UUID kerül generálásra, és az esemény explicit tartósan megtagadott hozzájárulási állapottal kerül elküldésre.
  • Felhasználó-azonosító jelzések (csak marketing-hozzájárulás esetén): ha Ön be van jelentkezve és marketing-hozzájárulást is adott, a szerveroldali esemény az Ön e-mail-címének SHA-256 hash-ét is továbbítja — egyszerre a GA4 user_id mezőjeként (eszközök közötti attribúcióhoz) és a user_data.sha256_email_address mezőben, amelyet a Google saját bejelentkezett felhasználóinak adataival együtt a közönségjelentések, a konverziós attribúció és a hirdetésmérés pontosságának javítására használ fel. Csak a SHA-256 hash kerül elküldésre; a nyers e-mail-cím soha nem hagyja el a szervereinket, és a Google a hash-t nem tudja visszafejteni. Ha nincs bejelentkezve, vagy nem adott marketing-hozzájárulást, egyik mezőben sem kerül elküldésre felhasználó-azonosító hash.
  • Cél: a Szolgáltatás használatának megértése és fejlesztése.
  • Jogalap: az Ön hozzájárulása — GDPR 6. cikk (1) bekezdés a) pont. Választását bármikor megadhatja, megtagadhatja vagy módosíthatja a süti-bannerrel, illetve az oldallábban található süti-beállítások linkkel.
  • Címzett: Google Ireland Limited — lásd 3. pont.
  • Megőrzés: a GA4 alapértelmezés szerint 14 hónapig őrzi az eseményszintű adatokat. Saját sütijeinket, a brickhunter_client_id-t (legfeljebb 24 hónap) és a brickhunter_session_id-t (30 perc) a GA4-korrelációhoz használjuk.
  • E-mail-linkek nyomon követése: a tranzakciós e-mailjeinkben (jelszó-visszaállítás, e-mail-cím megerősítése, árcsökkenési értesítések, fiók törlésével kapcsolatos értesítések stb.) szereplő hivatkozások szabványos UTM-lekérdezési paramétereket (utm_source, utm_medium, utm_campaign, utm_content) tartalmaznak, hogy a GA4 az így létrejövő látogatást ahhoz az e-mailhez tudja kapcsolni, amelyből származik. Maguk az UTM-paraméterek az e-mail típusát és tárgyát írják le — nem a címzettet —, és önmagukban nem állítanak be és nem olvasnak ki sütit. Ha Ön egy ilyen hivatkozásra kattint, a GA4 a látogatást a fent leírt hozzájárulás-alapú szabályok szerint rögzíti: analitikai hozzájárulás esetén a látogatás az Ön GA4 ügyfél-azonosítójához kapcsolódik, hozzájárulás nélkül pedig csak a sütimentes modellezett jelzés kerül elküldésre.

2.13 Hirdetés (Google Ads, Meta Ads)

  • Adatok (marketing hozzájárulással): konverziós események, oldalmegtekintések és a Szolgáltatáson belüli interakciók, amelyek a mérés és a remarketing céljából a Google Ads, a Meta (Facebook) Pixel és a Meta Conversions API felé kerülnek továbbításra. A platform viselkedésétől függően ez magában foglalhatja az Ön IP-címét, süti-azonosítóit és az e-mail-címe hash-elt változatát (a Google Enhanced Conversions és a Meta Advanced Matching esetében).
  • Adatok (marketing hozzájárulás nélkül):
    • A Google Ads továbbra is Google Consent Mode v2 advanced módban fut. Semmilyen Google Ads-süti (_gcl_*) nem kerül beállításra vagy olvasásra, és a gclid / dclid azonosítók a kimenő hálózati kérésekből kitörlésre kerülnek. A 2.12. pontban leírt minimális jelzéseket tartalmazó sütimentes pingek továbbra is elküldésre kerülnek a Google-nek, és kizárólag összesített konverziómodellezésre használhatók (olyan konverziók összesített szintű becslésére, amelyek egyébként hozzájárulás mellett mérhetőek lennének). Egyetlen egyéni felhasználót sem követünk, profilozunk vagy célzunk meg újra.
    • A Meta Pixel nem rendelkezik egyenértékű consent-mode mechanizmussal. Amikor Ön megtagadja a marketing kategóriát, a Meta Pixel egyáltalán nem töltődik be és nem aktiválódik — a Szolgáltatás ebben az esetben semmilyen kérést nem küld a Metának.
  • Szerveroldali konverziós események (Meta Conversions API): ha Ön marketing-hozzájárulást adott, a konverzió-releváns események (konkrétan: a partnerboltokra mutató kimenő kattintások) a szerverünkről a Meta Conversions API-n keresztül a Metához is elküldésre kerülnek. A szerveroldali esemény az alábbiakat tartalmazza: az Ön e-mail-címének SHA-256 hash-e, ha Ön be van jelentkezve (em), az Ön IP-címe (client_ip_address, amelyet TLS-en keresztül továbbítunk a Metához — a Meta a fogadáskor hash-eli és a nyers értéket nem őrzi meg), az Ön böngészőjének user-agent-je (client_user_agent), valamint a böngészőjében jelen lévő _fbp és _fbc sütik értékei. A Meta ezeket a jeleket a böngészőoldali Pixel jelekkel együtt használja a hirdetésmérés, az attribúció és a közönségillesztés javítására, a böngészőszintű követéskorlátozások (harmadik féltől származó sütik blokkolása, hirdetésblokkolók) ellenére. A szerveroldali esemény kizárólag akkor kerül elküldésre, ha Ön marketing-hozzájárulást adott — hozzájárulás nélkül semmilyen szerveroldali esemény nem kerül elküldésre. Ha nincs bejelentkezve, az em mező nem kerül elküldésre.
  • Cél: hirdetési kampányaink hatékonyságának mérése, és — marketing hozzájárulás megadása esetén — releváns hirdetések megjelenítése harmadik fél platformjain.
  • Jogalap: az Ön hozzájárulása — GDPR 6. cikk (1) bekezdés a) pont. A tag-ek aktiválódása a Google Tag Manageren keresztül, a süti-banneren tett választása alapján vezérelt. A hozzájárulást bármikor visszavonhatja a süti-beállítások linkkel.
  • Címzettek: Google Ireland Limited és Meta Platforms Ireland Limited — lásd 3. pont.
  • Megőrzés: a harmadik fél platform megőrzési szabályai szerint. Saját szervereinken hirdetési azonosítókat nem tárolunk.
  • Naprakész harmadik féltől származó információk: A Google naprakész listát vezet a hirdetési termékei által használt sütikről a business.safety.google/adscookies címen. A Meta közzéteszi az általa beállított aktuális süti-listát a facebook.com/privacy/policies/cookies címen. Ezek az oldalak elsőbbséget élveznek a 6. pontban felsorolt süti-nevekkel szemben, ha azok eltérnek.

2.14 Profilszemélyre szabás

  • Adatok: három opcionális bevezető kérdésre adott válaszai — kinek szokott tipikusan vásárolni (magának, gyermekeknek, tágabb családnak, barátoknak/ismerősöknek), mi a legfontosabb vásárláskor (legalacsonyabb ár, legjobb ár-érték arány) és a születési éve. Mindhárom kérdés opcionális és külön-külön kihagyható; a Szolgáltatás használatához egyik sem kötelező. Kizárólag a születési évet kérjük, sosem a pontos dátumot, és kizárólag arra használjuk, hogy a felhasználókat tágabb korcsoportokba soroljuk. Minden kérdéshez tartozik egy belső időbélyeg, amely rögzíti, hogy Ön mikor adott legutoljára választ rá.
  • Cél: az oldalélmény személyre szabása, és — amennyiben Ön kifejezett marketing-hozzájárulást adott (2.6. pont) — partnerboltok kuponajánlatainak célzása a Brevón keresztül.
  • Jogalap: az oldalon belüli személyre szabáshoz a jogos érdekünk — GDPR 6. cikk (1) bekezdés f) pont; a Brevón keresztüli marketingcélú felhasználáshoz az Ön hozzájárulása — GDPR 6. cikk (1) bekezdés a) pont —, amely csak akkor aktív, ha Ön a marketingcélú e-mailre feliratkozott.
  • Megőrzés: a fiók élettartama alatt. Ezek a mezők a fiók törlési türelmi idejének végén, a fiókkal együtt törlődnek (2.9. pont). A három válasz közül bármelyiket bármikor törölheti vagy módosíthatja a fiókbeállításokból.

2.15 Összesített böngészési előzmények (téma-szint)

  • Adatok: amíg Ön be van jelentkezve és bekapcsolta a „Személyre szabott ajánlatok és tippek" funkciót (lásd 2.6. pont), minden megtekintett LEGO-termékoldalhoz téma-szintű rekordot rögzítünk — konkrétan: az Ön felhasználói azonosítóját, a megtekintett termék LEGO-témájának azonosítóját, a piacot, amelyen a megtekintés történt, és egy időbélyeget. Nem rögzítjük az egyedi terméket, az Ön által látott árat, az esetlegesen átkattintott boltot (a kivezető kattintások külön adatkezelési tevékenység — 2.7. pont), és semmilyen információt az oldalelrendezésről vagy az Ön görgetéséről / interakciójáról. Az ismert botforgalmat kihagyjuk.
  • Cél: annak meghatározása téma-szinten, hogy a LEGO-katalógus mely részei érdeklik Önt jelenleg, hogy a heti termékéletciklus-hírlevelek (újonnan bejelentett készletek, elővásárlásra vagy vásárlásra újonnan elérhető készletek, „Kifutó" státuszba lépő készletek) és a 2.6. pontban leírt egyéb marketingüzenetek azokra a témákra szűrhetők vagy rangsorolhatók legyenek, amelyekkel Ön ténylegesen foglalkozik.
  • Jogalap: az Ön hozzájárulása — GDPR 6. cikk (1) bekezdés a) pont. Csak akkor írunk téma-megtekintési rekordot, ha Ön be van jelentkezve ÉS kifejezetten hozzájárult a marketinghez. A marketing kikapcsolása azonnal leállítja a további téma-megtekintések naplózását; a meglévő rekordok az alábbi saját ütemezés szerint járnak le. Nem bejelentkezett látogatókhoz és be nem jelentkezett, hozzá nem járuló felhasználókhoz soha nem készül téma-megtekintési rekord.
  • Megőrzés: 90 nap. A 90 napnál régebbi téma-megtekintési rekordokat egy napi ütemezett feladat automatikusan törli. A 90 napos időszak a Brevo-szegmentálási attribútumokban használt 30 napos recencia-ablakkal illeszkedik, működési újrafeldolgozási tartalékkal (lásd 2.6. pont). A fiók törlésekor az Ön összes téma-megtekintési rekordja a fiókkal együtt eltávolításra kerül.

2.16 Böngészőbővítmény-engedélyezés

  • Adatok: amikor Ön bejelentkezik a KockaVadász böngészőbővítményébe (Chrome vagy Firefox kísérőalkalmazás), egy OAuth 2.0 engedélyezési kódot rögzítünk, amely az Ön felhasználói fiókjához, a bővítmény regisztrált átirányítási URI-jához, a PKCE kódkihíváshoz, a beleegyezési lépés során kiválasztott piachoz (opcionális, telemetria céljából) és a kibocsátás / lejárat / felhasználás időbélyegeihez van kötve. A kód HMAC-SHA256 algoritmussal hash-elve kerül tárolásra, egyszer használatos, és 60 másodpercig érvényes. A sikeres becserélés után egy hosszú élettartamú, „extension" címkével ellátott API hozzáférési tokent állítunk ki Önnek a fiókjához kapcsolva, amely jellegét tekintve azonos a mobilalkalmazásunkhoz kiállított hozzáférési tokenekkel.
  • Cél: lehetővé tenni a bővítmény számára, hogy az Ön nevében járjon el — olvassa és módosítsa a kívánságlistáját, árcsökkenési értesítéseket fogadjon, és azonosítsa a partnerboltok oldalain Ön által megtekintett termékeket — anélkül, hogy újra meg kellene adnia a jelszavát. Maguk az engedélyezési kódok üzemeltetési műtermékek; csak a keletkező hozzáférési tokent őrizzük meg.
  • Jogalap: szerződés teljesítése — GDPR 6. cikk (1) bekezdés b) pont. A bővítmény hozzáférési token nélkül nem tud az Ön fiókján működni.
  • Megőrzés: az engedélyezési kódok 60 másodperc után lejárnak, és a lejárat után 5 percen belül egy automatizált tisztítási feladat törli azokat. A hozzáférési tokenek mindaddig megmaradnak, amíg Ön vissza nem vonja őket (kijelentkezés a bővítményből, „Kijelentkezés mindenhonnan" a beállításokból, jelszó-visszaállítás vagy a fiók törlése). Minden bővítmény által kibocsátott token a többi tokennel együtt visszavonásra kerül a fiók törlésekor.

3. Az adatok címzettjei (további adatfeldolgozók)

Személyes adatokat csak az alábbi adatfeldolgozókkal és független szolgáltatásokkal osztunk meg, amelyek mindegyike megfelelő szintű adatvédelmet biztosít. Az adatokat soha nem adjuk el harmadik feleknek.

3.1 Hosting-infrastruktúra

  • Laravel Holdings Inc. — 60 Broad Street, 24th Floor, #1559, New York, NY 10004, USA. A szerverkezelő platformot („Laravel Forge") biztosítja, amelyen keresztül a Szolgáltatást üzemeltetjük. Szerep: adatfeldolgozó. Feltételek: laravel.com/legal/forge-terms. Trust Center: trust.laravel.com.
  • DigitalOcean, LLC — 105 Edgeview Drive, Suite 425, Broomfield, CO 80021, USA. Üzemelteti azt a mögöttes virtuális szervert, amelyen a Szolgáltatás fut. A szerver a frankfurti (Németország) adatközpontban található. Szerep: adatfeldolgozó. DPA: digitalocean.com/legal/data-processing-agreement. Adatkezelési tájékoztató: digitalocean.com/legal/privacy-policy.

3.2 E-mail-kézbesítés

  • Sendinblue SAS (Brevo) — 17 rue Salneuve, 75017 Paris, Franciaország. Tranzakciós e-maileket kézbesít, és — amennyiben Ön marketing-hozzájárulást adott — tárolja a kontaktrekordját a 2.6. pontban felsorolt szegmentálási attribútumokkal, kezeli a piaconkénti kontaktlistákba tartozását, fogadja a szerveroldali munkafolyamat-trigger eseményeket (például regisztráció, e-mail-visszaigazolás, kívánságlistára helyezés, árcsökkenés-értesítés, valamint a három heti termékéletciklus-hírlevél triggerét: újonnan bejelentett készletek, elővásárlásra vagy vásárlásra újonnan elérhető készletek, „Kifutó" státuszba lépő készletek), és elküldi az így keletkező marketingüzeneteket. Szerep: adatfeldolgozó. Az adatkezelés az Európai Unión belül történik. Adatkezelési tájékoztató: brevo.com/legal/privacypolicy. DPO: [email protected].

3.3 Azonosítószolgáltatók

  • Google Ireland Limited — Gordon House, Barrow Street, Dublin 4, Írország. A „Bejelentkezés Google-lal" szolgáltatást biztosítja. Szerep: a hitelesítési folyamat tekintetében független adatkezelő, a nekünk visszaadott információk tekintetében adatfeldolgozó. Adatkezelési tájékoztató: policies.google.com/privacy.
  • Meta Platforms Ireland Limited — Merrion Road, Dublin 4, D04 X2K5, Írország. A „Bejelentkezés Facebookkal" szolgáltatást biztosítja. Szerep: a hitelesítési folyamat tekintetében független adatkezelő, a nekünk visszaadott információk tekintetében adatfeldolgozó. Adatkezelési tájékoztató: facebook.com/privacy/policy.

3.4 Analitika és hirdetés

  • Google Ireland Limited — mint fent. A Google Analytics 4, a Google Tag Manager és a Google Ads szolgáltatást biztosítja. Szerep: a Google Analytics tekintetében adatfeldolgozó; a Google Ads tekintetében közös/független adatkezelő, a terméktől függően. Consent Mode v2 dokumentáció: support.google.com/analytics/answer/9976101. Naprakész információk a Google hirdetési termékei által használt sütikről: business.safety.google/adscookies.
  • Meta Platforms Ireland Limited — mint fent. A Meta (Facebook) Pixel, a Meta Conversions API és a Meta Ads szolgáltatást biztosítja. Szerep: velünk közös adatkezelő (az EUB C-40/17. sz. Fashion ID ügye alapján) mind a Pixel, mind a Conversions API tekintetében, mivel mindkettő a felhasználót azonosító jeleket továbbít a Metának ugyanazon hirdetési célokra. A közös adatkezelői tájékoztatás a Meta Business Tools Terms dokumentumon keresztül érhető el. Naprakész információk a Meta által használt sütikről: facebook.com/privacy/policies/cookies.

4. Nemzetközi adattovábbítások

Az általunk kezelt személyes adatokat elsősorban az Európai Unióban (Frankfurt, Németország) elhelyezett szervereken tároljuk. A 3. pontban felsorolt címzettek közül egyesek az Európai Gazdasági Térségen kívüli országokban (különösen az Egyesült Államokban) letelepedettek, vagy oda továbbítanak adatot.

Minden ilyen továbbítás esetén az alábbi, a GDPR V. fejezete szerinti garanciák közül egyre vagy többre támaszkodunk:

  • Az Európai Bizottság általános adatvédelmi kikötései (Standard Contractual Clauses, SCC) (az (EU) 2021/914 határozat), amelyek az egyes szolgáltatók Adatfeldolgozási Szerződésébe beépítésre kerültek.
  • Az EU–U.S. Data Privacy Framework (EU–USA adatvédelmi keretrendszer) 2023. július 10-i megfelelőségi határozata, amennyiben a címzett e keret alapján öntanúsított.

Az alkalmazandó garanciák másolatát e-mailben kérheti tőlünk.

5. Az Ön GDPR szerinti jogai

Személyes adataival kapcsolatban Önt az alábbi jogok illetik meg:

  • Hozzáférési jog (GDPR 15. cikk) — megerősítést kérhet arra vonatkozóan, hogy kezelünk-e Önről személyes adatot, és ha igen, ezen adatok másolatát is kérheti.
  • Helyesbítéshez való jog (GDPR 16. cikk) — a pontatlan személyes adatok helyesbítését vagy kiegészítését kérheti.
  • Törléshez való jog / „elfeledtetéshez való jog" (GDPR 17. cikk) — személyes adatainak törlését kérheti, a 17. cikk (3) bekezdésében foglalt korlátok között. A törlést Ön bármikor maga is elindíthatja a fiókbeállításokból.
  • Adatkezelés korlátozásához való jog (GDPR 18. cikk) — meghatározott helyzetekben kérheti, hogy korlátozzuk az adatkezelést.
  • Adathordozhatósághoz való jog (GDPR 20. cikk) — személyes adatait tagolt, széles körben használt, géppel olvasható formátumban kaphatja meg, és továbbíthatja egy másik adatkezelőnek.
  • Tiltakozáshoz való jog (GDPR 21. cikk) — tiltakozhat a jogos érdekünkön alapuló adatkezelés ellen (2.7., 2.9. türelmi időszak, 2.11. pont).
  • Hozzájárulás visszavonásához való jog (GDPR 7. cikk (3) bekezdés) — ha az adatkezelés hozzájáruláson alapul (2.4., 2.6., 2.12., 2.13. pont), Ön azt bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
  • Automatizált döntéshozatal alóli kivétel (GDPR 22. cikk) — nem hozunk Önről olyan döntéseket, amelyek kizárólag automatizált adatkezelésen alapulnak, és Önre nézve joghatással járnak vagy hasonlóan jelentős hatással bírnak.
  • Panasz benyújtásához való jog a felügyeleti hatóságnál (GDPR 77. cikk) — lásd 11. pont.

Hogyan gyakorolhatja jogait

Írjon nekünk a fiókjához tartozó e-mail-címről a [email protected] címre, vagy használja a fiókbeállításokban elérhető megfelelő műveletet. A világos kérés beérkezésétől számított 30 napon belül válaszolunk. Összetett kérés esetén ezt a határidőt további két hónappal meghosszabbíthatjuk, amelyről az első 30 napon belül tájékoztatjuk. Jogainak gyakorlása ingyenes; ésszerű díjat csak akkor számíthatunk fel, vagy a kérést csak akkor tagadhatjuk meg, ha az nyilvánvalóan megalapozatlan vagy túlzó (GDPR 12. cikk (5) bekezdés).

Az Ön védelme érdekében a válaszadás előtt személyazonossága igazolását kérhetjük — jellemzően annak megerősítésével, hogy Ön ténylegesen hozzáfér a fiókhoz.

6. Sütik (cookies)

A Szolgáltatás sütiket (cookies) és hasonló technológiákat használ. A sütik három kategóriába sorolhatók — feltétlenül szükséges, analitikai és marketing —, és minden kategória az Ön süti-banneren tett választásának megfelelően működik. Az analitikai és marketing sütik mögött álló adatkezelési tevékenységeket — ideértve azok célját, jogalapját és a megőrzési időket — a fenti 2.12. és 2.13. pont ismerteti.

Az általunk elhelyezett és olvasott sütik teljes listáját, azok időtartamát, valamint a választásai bármikor történő módosításának módját a külön Cookie-szabályzatban találja.

7. Adatvédelmi incidens kezelése

Ha olyan személyes adatokat érintő adatvédelmi incidens következik be, amely valószínűsíthetően kockázattal jár az Ön jogaira és szabadságaira nézve, az illetékes felügyeleti hatóságot (NAIH) indokolatlan késedelem nélkül és — amennyiben lehetséges — az incidens tudomásunkra jutásától számított 72 órán belül értesítjük, a GDPR 33. cikkének megfelelően. Ha az incidens valószínűsíthetően magas kockázatot jelent az Ön jogaira és szabadságaira, indokolatlan késedelem nélkül közvetlenül Önt is értesítjük a GDPR 34. cikke alapján. Minden incidensről belső nyilvántartást vezetünk, függetlenül az értesítési kötelezettségtől.

8. Adatbiztonság

A GDPR 32. cikkének megfelelően megfelelő technikai és szervezési intézkedéseket alkalmazunk az Ön személyes adatainak jogosulatlan hozzáférés, elvesztés, megváltoztatás vagy nyilvánosságra hozatal elleni védelme érdekében. Ezek közé tartoznak:

  • HTTPS HTTP Strict Transport Security (HSTS) használatával minden domainen.
  • Jelszavak bcrypt hash-ként tárolva — nyílt szövegű jelszavakat soha nem tárolunk és nem naplózunk.
  • IP-címek kizárólag HMAC-SHA256 kulcsos hash-ként tárolva; a hash-kulcs az adatbázistól függetlenül rotálódik.
  • API-tokenek és telepítési tokenek kizárólag HMAC-SHA256 hash-ként tárolva.
  • Munkamenet-sütik Secure, HttpOnly és SameSite=Lax jelzővel.
  • Szerveroldali CSRF-védelem minden állapotváltoztató webkérésnél, valamint API rate-limiting kliensenként, telepítésenként és hitelesített felhasználónként.
  • Brute-force elleni védelem a bejelentkezési végponton (e-mail / telepítés / óránként korlátozás).
  • A szerveroldali operációs rendszer és az alkalmazásfüggőségek rendszeres biztonsági frissítése.
  • A termelési környezethez való hozzáférés az adatkezelőre korlátozva; a 3. pontban felsorolt összes harmadik fél adatfeldolgozó Adatfeldolgozási Szerződést írt alá, vagy azzal egyenértékű szerződéses feltételeket fogadott el.
  • Az alkalmazásnaplók rotációja és törlése 14 nap után.

9. Gyermekek

A Szolgáltatás nem gyermekeknek szól. Ha Ön 16 évesnél fiatalabb, a GDPR 8. cikke és a magyar Infotv. 6. § (3) bekezdése alapján szülője vagy törvényes képviselője hozzájárulása nélkül nem használhatja a Szolgáltatást és nem hozhat létre fiókot. Ha tudomásunkra jut, hogy megfelelő felhatalmazás nélkül gyermektől gyűjtöttünk személyes adatot, azt haladéktalanul töröljük.

10. Automatizált döntéshozatal és profilalkotás

Nem végzünk olyan automatizált döntéshozatalt, amely a GDPR 22. cikke értelmében Önre nézve joghatással járna vagy hasonlóan jelentős hatást gyakorolna. Összesített, nem egyénre szabott profilalkotást használunk modellezett hirdetések megjelenítésére (Google Ads, Meta Ads) és a termékek rangsorolására a listákban; ez a profilalkotás soha nem eredményez joghatással járó döntést, és mindig az Ön hozzájárulásához kötött (lásd 2.13. pont).

11. Jogorvoslat

Ha úgy véli, hogy a személyes adatainak kezelése sérti a GDPR-t vagy a magyar adatvédelmi jogszabályokat, az alábbi jogok illetik meg:

  1. Először forduljon hozzánk a [email protected] címen — a kérést kivizsgáljuk és 30 napon belül válaszolunk.
  2. Panaszt nyújthat be a felügyeleti hatóságnál:
    • Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
    • Cím: 1055 Budapest, Falk Miksa utca 9–11.
    • Postacím: 1363 Budapest, Pf. 9.
    • Telefon: +36 (1) 391-1400
    • E-mail: [email protected]
    • Honlap: naih.hu
    • Panaszát a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti EU-tagállam felügyeleti hatóságánál is benyújthatja.
  3. Bírósági jogorvoslatért folyamodhat a szokásos tartózkodási helye vagy az adatkezelő szokásos tartózkodási helye szerinti illetékes bíróságon (ellenünk irányuló igényekkel kapcsolatban a magyar bíróságok előtt), a GDPR 78–79. cikke alapján.

12. A tájékoztató módosítása

A jelen adatvédelmi tájékoztatót időről időre frissíthetjük, hogy tükrözze a Szolgáltatás, az alkalmazandó jogszabályok vagy az adatfeldolgozóink változásait. Lényeges változás esetén frissítjük az oldal tetején található „Utoljára frissítve" dátumot, és ha a változás olyan adatkezelési tevékenységet érint, amely az Ön hozzájárulásán alapul, megújított hozzájárulást kérünk. Javasoljuk, hogy időnként tekintse át ezt az oldalt.

13. Kapcsolat

A jelen adatvédelmi tájékoztatóval vagy a személyes adataival kapcsolatos bármely kérdés esetén kérjük, lépjen velünk kapcsolatba:

  • E-mail: [email protected]
  • Postacím: Geiger Tamás e.v., 1044 Budapest, Váci út 83/A 2/208, Magyarország