Adatvédelmi tájékoztató
Hatályos: 2026. · Az EU 2016/679 rendelete (GDPR) és az Infotv. szerint.
A jelen tájékoztató a Virtual Director Kft. (a továbbiakban: „Szolgáltató") által üzemeltetett Social Media Director szolgáltatással összefüggő személyesadat-kezelést ismerteti.
1. Az adatkezelő
Virtual Director Kft. (székhely: 6792 Zsombó, Kossuth Lajos utca 103.; cégjegyzékszám: 06-09-030284; adószám: 32755235-2-06), e-mail: molnar.zoltan@virtualdirector.hu. Adatvédelmi tisztviselő kijelölésére a Szolgáltató nem kötelezett; adatvédelmi kérdésekben a fenti e-mailen kereshető.
2. A Szolgáltató kettős szerepe
A Social Media Director egy többfelhasználós (multi-tenant) SaaS, ezért a Szolgáltató két különböző szerepben kezel személyes adatot:
- Adatkezelőként az előfizetők (fiók-tulajdonosok és felhasználóik) adatai felett — erre a jelen tájékoztató vonatkozik.
- Adatfeldolgozóként azon adatok felett, amelyeket az előfizető (a „Tenant") visz be vagy kezel a rendszeren keresztül a saját közönségéről, a feltöltött képeken szereplő személyekről, illetve a közösségi fiókjaihoz tartozó személyekről. Ezeknél az adatkezelő maga a Tenant, a Szolgáltató kizárólag az ő utasítására, az Adatfeldolgozói szerződés (DPA) szerint jár el.
3. Kezelt adatok, célok, jogalapok, megőrzés
| Adatkör | Cél | Jogalap | Megőrzés |
|---|---|---|---|
| Fiókadatok (név, e-mail, jelszó-hash, cégnév) | Regisztráció, belépés, a szolgáltatás nyújtása | Szerződés teljesítése — 6. cikk (1) b) | A fiók megszűnését követő ésszerű ideig |
| Kapcsolt közösségi fiókok adatai: Facebook-oldal- és Instagram-azonosítók, nevek, valamint a Meta hozzáférési tokenek (titkosítva tárolva) | A közzétételhez és statisztikához szükséges kapcsolat fenntartása | Szerződés teljesítése — 6. cikk (1) b) | A csatorna leválasztásáig / a fiók megszűnéséig |
| Tartalom: poszt-szövegek, AI-promptok, feltöltött és AI-generált képek, ütemezési adatok | Poszt készítése, jóváhagyása, ütemezése, közzététele | Szerződés teljesítése — 6. cikk (1) b) | A fiók megszűnéséig / törlési kérelemig |
| Közzétett posztok azonosítói, teljesítmény-/engagement-statisztikák (a platform API-jából) | Elemzés, riportok, AI-értékelés | Szerződés teljesítése — 6. cikk (1) b) | A fiók megszűnéséig / törlési kérelemig |
| Egyenleg- és AI-használati tranzakciók | Hibrid díjazás elszámolása | Szerződés teljesítése — 6. cikk (1) b) | A számviteli kötelezettség keretében |
| Számlázási adatok, fizetési előzmény | Díjfizetés, számlázás, számviteli kötelezettség | Jogi kötelezettség — 6. cikk (1) c) | A számviteli tv. szerint 8 év |
| Használati naplók, IP-cím | Biztonság, visszaélés-megelőzés, hibakeresés | Jogos érdek — 6. cikk (1) f) | Rövid, a cél eléréséig |
| Marketing-célú megkeresés (ha van) | Hírlevél, terméktájékoztatás | Hozzájárulás — 6. cikk (1) a) | A hozzájárulás visszavonásáig |
4. A közösségi platformok adatainak felhasználása
A Szolgáltató a kapcsolt platformokról (Meta / Facebook / Instagram) megszerzett adatokat — ideértve a hozzáférési tokeneket, oldal-/profil-azonosítókat és a teljesítmény-statisztikákat — kizárólag a szolgáltatás nyújtására használja a Felhasználó számára. Ezeket az adatokat nem értékesíti, és nem használja a szolgáltatástól független célra, összhangban a Meta Platform Terms adatfelhasználási korlátozásaival. A hozzáférési tokeneket titkosítva tárolja; a csatorna leválasztásakor vagy a Metánál történő visszavonáskor a tárolt token törlésre kerül.
5. Képek és a képeken szereplő személyek
A Felhasználó által feltöltött képek azonosítható személyeket is ábrázolhatnak (a képmás személyes adatnak minősül). Ezen adatok tekintetében a Felhasználó az adatkezelő, és szavatolja, hogy a képek felhasználásához megfelelő jogalappal és szükség szerint az érintettek hozzájárulásával rendelkezik. Az AI-alapú kép- és szöveggenerálás során a promptok és a feltöltött tartalom az OpenAI mint adatfeldolgozó felé továbbításra kerül (lásd 6. pont).
6. Adatfeldolgozók (sub-processzorok)
A Szolgáltató a szolgáltatás nyújtásához az alábbi adatfeldolgozókat veszi igénybe:
| Adatfeldolgozó | Tevékenység | Hely / garancia |
|---|---|---|
| RackForest Zrt. | Szerver-tárhely (alkalmazás, adatbázis) | EU / Magyarország |
| OpenAI, L.L.C. / OpenAI Ireland Ltd. | AI poszt- és képgenerálás (promptok feldolgozása) | EU / USA (SCC). Az API-adatokon nem tanít. |
| Meta Platforms Ireland Ltd. | A közzététel és a statisztika lekérése a Facebook/Instagram felé (Graph API) | EU / USA (DPF, SCC) |
| Cloudflare, Inc. | DNS, CDN, marketing-oldal tárhely, R2 objektumtárhely (feltöltött és generált képek) | USA (EU-US DPF) |
| Microsoft Ireland Operations Ltd. | Tranzakciós e-mail (Microsoft 365) | EU |
| Google LLC | Titkosított biztonsági mentés (offsite backup) | USA (EU-US DPF) |
| Stripe Payments Europe / Stripe, Inc. | Bankkártyás fizetés, előfizetés-kezelés | EU / USA (DPF, SCC) |
| KBOSS.hu Kft. (Számlázz.hu) | NAV-konform számlázás | EU / Magyarország |
A bankkártyaadatokat kizárólag a Stripe kezeli (PCI-DSS), azokhoz a Szolgáltató nem fér hozzá.
7. Adattovábbítás harmadik országba
Az USA-ban (is) működő feldolgozók (OpenAI, Meta, Stripe, Cloudflare, Google) az EU–USA Adatvédelmi Keret (Data Privacy Framework) és/vagy az Európai Bizottság általános szerződési feltételei (SCC) alapján biztosítanak megfelelő garanciát.
8. Az érintett jogai
- tájékoztatáshoz és hozzáféréshez,
- helyesbítéshez,
- törléshez („elfeledtetés"),
- az adatkezelés korlátozásához,
- adathordozhatósághoz,
- tiltakozáshoz (jogos érdeken alapuló kezelés és közvetlen üzletszerzés esetén),
- hozzájárulás bármikori visszavonásához.
A jogok az molnar.zoltan@virtualdirector.hu címen gyakorolhatók; a Szolgáltató a kérelmet indokolatlan késedelem nélkül, legkésőbb 1 hónapon belül teljesíti. A fiók és adatok törléséről külön az Adat- és fióktörlés rendelkezik.
9. Adatbiztonság
A Szolgáltató a GDPR 32. cikke szerinti intézkedéseket alkalmaz, így különösen: tenant-szintű adatelkülönítés (izoláció), titkosított adattovábbítás (HTTPS/TLS), jelszavak egyirányú tárolása (hash), a Meta hozzáférési tokenek titkosított tárolása, napi titkosított biztonsági mentés, hozzáférés-korlátozás.
10. Adatvédelmi incidens
Adatvédelmi incidens esetén a Szolgáltató indokolatlan késedelem nélkül, lehetőség szerint 72 órán belül értesíti a felügyeleti hatóságot, illetve — magas kockázat esetén — az érintetteket.
11. Jogorvoslat
Panasz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH, 1055 Budapest, Falk Miksa utca 9-11., ugyfelszolgalat@naih.hu) tehető, illetve bírósághoz lehet fordulni.