Adatkezelési Tájékoztató
Utolsó frissítés: 2026. április 8.
1. Az adatkezelő adatai
| Cégnév | DMB Soft Kft. |
| Székhely | 2616 Keszeg, Alkotmány út 59., Magyarország |
| info@dmbsoft.hu |
A DMB Soft Kft. (a továbbiakban: Adatkezelő) a kuppo digitális hűségkártya- és kuponkezelő szolgáltatás üzemeltetője. Jelen tájékoztató ismerteti, hogy a szolgáltatás igénybevétele során milyen személyes adatokat gyűjtünk, azokat hogyan és milyen jogalapon kezeljük, kinek adjuk át, meddig őrizzük meg, valamint hogy milyen jogok illetik meg a felhasználókat.
Az adatkezelés az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezéseivel összhangban történik.
2. A kezelt személyes adatok köre
2.1. Fiókadatok (azonosítás és hitelesítés)
A felhasználó bejelentkezéskor az OAuth-azonosítószolgáltatótól (Google, GitHub vagy Facebook) az alábbi adatokat vesszük át:
| Adat | Forrás |
|---|---|
| E-mail-cím | OAuth-szolgáltató |
| Teljes név | OAuth-szolgáltató profil |
| Profilkép URL-je | OAuth-szolgáltató profil |
| Hitelesítési szolgáltató azonosítója | Rendszer |
Névtelen (anonim) vendégként való hozzáférés esetén személyazonosító adat nem kerül megadásra; a vendégfiók egy belső egyedi azonosítóval rendelkezik. Az anonim fiók bármikor összekapcsolható egy OAuth-fiókkal, amelynek során a fenti adatok rögzítésre kerülnek.
2.2. Hűségprogram-adatok
| Adat | Leírás |
|---|---|
| Bélyegzőkártya-pontok és státusz | Melyik kereskedő kampányában hány pontot gyűjtött a felhasználó |
| Beváltott jutalmak | Mikor és melyik kereskedő váltotta be a kártyát |
| Kiadott kuponok | Kupon típusa, kiállítás és lejárat időpontja, beváltás időpontja és a beváltó kereskedő |
| Csatlakozás dátuma | Mikor csatlakozott a felhasználó az adott kereskedőhöz |
| Utolsó aktivitás időpontja | A bélyegzőkártyán utoljára rögzített aktivitás időpontja (inaktivitás-alapú kuponokhoz használjuk) |
2.3. Beleegyezési és beállítási adatok
| Adat | Leírás |
|---|---|
| Adatkezelési tájékoztató elfogadásának időpontja | Mikor fogadta el a felhasználó jelen tájékoztatót |
| Korhatár-nyilatkozat elfogadásának időpontja | Mikor nyilatkozott a felhasználó arról, hogy betöltötte a 16. életévét |
| Marketing-hozzájárulás jelzője | Hozzájárult-e a felhasználó marketingcélú értesítések fogadásához |
2.4. Push-értesítési előfizetési adatok
Amennyiben a felhasználó engedélyezi a push-értesítéseket, a Firebase Cloud Messaging (FCM) szolgáltatástól kapott eszközazonosító tokent (device token) a kereskedőhöz kötve tároljuk. A token nem tartalmaz közvetlenül azonosítható személyes adatot, de egyedi eszközazonosítónak minősül.
2.5. Kereskedői felhasználókra vonatkozó adatok
A kereskedői fiókkal rendelkező felhasználókra (tulajdonosok) a 2.1. pontban felsorolt adatokon túlmenően az alábbi adatok is rögzítésre kerülnek:
- Melyik ügyfélen hajtott végre pontjóváírást vagy beváltást, és mikor
- A kereskedőhöz tartozó kampányok és kuponsablonok (ezek nem tartalmaznak ügyféladatot)
3. Az adatkezelés célja és jogalapja
| Cél | Kezelt adatok | Jogalap (GDPR) |
|---|---|---|
| Fiók létrehozása és azonosítás | E-mail-cím, név, profilkép | Szerződés teljesítése – 6. cikk (1) b) |
| Hűségprogram működtetése | Bélyegzőkártyák, jutalmak, kuponok, csatlakozás dátuma | Szerződés teljesítése – 6. cikk (1) b) |
| Inaktivitás-alapú kuponok automatikus kiállítása | Utolsó aktivitás időpontja | Jogos érdek – 6. cikk (1) f) |
| Beleegyezés és korhatár dokumentálása | Elfogadási időpontok | Jogi kötelezettség – 6. cikk (1) c) |
| Push-értesítések küldése | FCM-token, kereskedő azonosítója | Hozzájárulás – 6. cikk (1) a) |
| Marketing-kommunikáció | E-mail-cím, marketing-hozzájárulás jelzője | Hozzájárulás – 6. cikk (1) a) |
| Kereskedői tevékenység naplózása | Beváltási műveletek adatai | Jogos érdek – 6. cikk (1) f) |
| Rendszerbiztonság és visszaélés-megelőzés | Minden kezelt adat | Jogos érdek – 6. cikk (1) f) |
| Hatósági vagy jogi kötelezettség teljesítése | Szükség szerint meghatározott adatok | Jogi kötelezettség – 6. cikk (1) c) |
Jogos érdek mérlegelése: Az inaktivitás-alapú kuponok automatikus kiállítása és a kereskedői műveletek naplózása esetén az Adatkezelő elvégezte a jogos érdek mérlegelési tesztet. Az érintett érdekei nem szenvednek aránytalan sérelmet, mivel az adatfelhasználás kizárólag az igénybe vett szolgáltatás keretein belül marad, és az érintett bármikor tiltakozhat az adatkezelés ellen (ld. 7. fejezet).
4. Adattovábbítás és adatfeldolgozók
Az Adatkezelő az alábbi adatfeldolgozókat és harmadik feleket veszi igénybe:
| Adatfeldolgozó / Harmadik fél | Székhely | Továbbított adatok | Szerep |
|---|---|---|---|
| Supabase, Inc. | Egyesült Államok (EU-s szervereken tárolja az adatokat) | Minden felhasználói és alkalmazásadat | Adatbázis és hitelesítési infrastruktúra (adatfeldolgozó) |
| Google LLC | Egyesült Államok | Hitelesítési token, e-mail, név, profilkép; FCM push-token | OAuth-azonosítószolgáltató, push-értesítési csatorna |
| GitHub, Inc. | Egyesült Államok | Hitelesítési token, e-mail, név, profilkép | OAuth-azonosítószolgáltató |
| Meta Platforms, Inc. | Egyesült Államok | Hitelesítési token, e-mail, név, profilkép | OAuth-azonosítószolgáltató (Facebook) |
| Google Firebase | Egyesült Államok | FCM eszközazonosító token, értesítés tartalma | Push-értesítési kézbesítési infrastruktúra |
| Google Firebase Hosting | Egyesült Államok | Nem tartalmaz személyes adatot (statikus alkalmazáskód) | Statikus webalkalmazás-tárhelyszolgáltatás |
A Supabase az adatokat az Európai Unión belüli adatközpontokban tárolja. A harmadik országba (Egyesült Államok) irányuló adattovábbítás az Európai Bizottság által jóváhagyott megfelelőségi mechanizmusok (EU–USA Adatvédelmi Keretrendszer, illetve EU-s általános szerződési feltételek – SCC) alapján történik.
Az Adatkezelő személyes adatot hatóságok részére kizárólag jogszabályi kötelezettség alapján, az előírt mértékben ad át.
5. Adatbiztonsági intézkedések
- Az adatok átvitele TLS 1.2 vagy magasabb verziójú titkosítási protokollon keresztül történik.
- Az adatbázishoz való hozzáférést sorfeltételű biztonsági (Row Level Security – RLS) szabályok védik: minden felhasználó kizárólag saját adataihoz fér hozzá.
- A felhasználóközötti adatmódosítások kizárólag az Adatkezelő által ellenőrzött, emelt jogosultságú adatbázis-eljárásokon (SECURITY DEFINER RPC) keresztül hajthatók végre, amelyek minden esetben ellenőrzik a hívó jogosultságát.
- Az adminisztrátori és kereskedői szerepkörökhöz kötött funkciók hozzáférése szerepkör-ellenőrzéssel védett.
- A Firebase Cloud Messaging-hez használt szolgáltatásfiók-hitelesítő adatok titkosított környezeti változóként kerülnek tárolásra, és nem kerülnek bele az alkalmazás forráskódjába.
6. Adatmegőrzés
| Adatkategória | Megőrzési idő |
|---|---|
| Fiókadatok (e-mail, név, profilkép) | A fiók törléséig |
| Bélyegzőkártya- és jutalomadatok | A fiók törléséig |
| Kiadott kuponok | A fiók törléséig (lejárt és beváltott kuponok rekordjai is a fiók törléséig megmaradnak) |
| Beleegyezési időbélyegek | A fiók törléséig (jogi dokumentáláshoz szükségesek) |
| Push-értesítési tokenek | A fiók törléséig; eszköz regisztrációjának megszűnésekor automatikusan törlésre kerülnek |
| Inaktív (eszközről törölt) push-tokenek | Az első sikertelen kézbesítési kísérlet alkalmával automatikusan törlésre kerülnek |
| Kampányok és kuponsablonok | Végleges törlés helyett törölt jelzővel látjuk el (soft delete); aktív felhasználói adatoktól elválasztva kezeljük |
A fiók törlésekor az összes fent felsorolt személyes adat megsemmisítésre kerül (ld. 7.3. pont).
7. Az érintett jogai
A GDPR 15–22. cikke alapján Önt az alábbi jogok illetik meg:
7.1. Hozzáférési jog
Kérheti, hogy tájékoztassuk, milyen személyes adatait kezeljük, azokat milyen célból, milyen jogalapon és meddig tároljuk.
7.2. Helyesbítési jog
Kérheti pontatlan személyes adatainak kijavítását. Felhívjuk a figyelmét, hogy a nevet és profilképet az OAuth-szolgáltató tárolja; ezek módosítása az adott szolgáltató felületén végezhető el.
7.3. Törlési jog (az „elfeledtetéshez való jog”)
Ügyfélfiókok esetén: A fiók törlése a kuppo alkalmazáson belül, a fiókbeállítások menüpontból önkiszolgáló módon kezdeményezhető. A törlés során az alábbi adatok kerülnek megsemmisítésre:
- Push-értesítési tokenek
- Felhasználói beállítások és beleegyezési rekordok
- Felhasználói szerepkör
- Bélyegzőkártya-rekordok (a hozzájuk tartozó jutalmakkal együtt)
- Kereskedő-előfizetői kapcsolati rekordok
- Hitelesítési fiókrekord
Kereskedői és adminisztrátor fiókok esetén: Az önkiszolgáló törlés nem elérhető, mivel az érintett fiókhoz aktív kereskedői kampányok és ügyféladatok kapcsolódhatnak. A törlési kérelmet az info@dmbsoft.hu e-mail-címen lehet benyújtani.
Facebook bejelentkezéssel regisztrált felhasználók: részletes lépésről lépésre útmutatóért lásd a külön Facebook adatok törlésére vonatkozó tájékoztató oldalt.
7.4. Az adatkezelés korlátozásához való jog
Kérheti, hogy bizonyos adatainak kezelését korlátozzuk (pl. vitás adatok esetén, amíg az ügy kivizsgálás alatt áll).
7.5. Adathordozhatósági jog
Kérheti, hogy a rá vonatkozó, általa megadott adatokat strukturált, géppel olvasható formátumban bocsássuk rendelkezésére.
7.6. Tiltakozási jog
Tiltakozhat az olyan adatkezelések ellen, amelyek jogalapja az Adatkezelő jogos érdeke (GDPR 6. cikk (1) f)). Ilyen esetben az adatkezelést megszüntetjük, kivéve, ha kényszerítő erejű jogos okok indokolják annak folytatását.
7.7. Hozzájárulás visszavonása
A hozzájáruláson alapuló adatkezelések (push-értesítések, marketing-kommunikáció) esetén hozzájárulását bármikor visszavonhatja az alkalmazás beállításaiban. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
7.8. Jogorvoslati lehetőségek
Jogai sérelme esetén panaszt tehet a felügyeleti hatóságnál:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Cím: 1055 Budapest, Falk Miksa utca 9–11. Postacím: 1363 Budapest, Pf. 9. E-mail: ugyfelszolgalat@naih.hu Honlap: naih.hu
Az adatkezeléssel kapcsolatos kérelmeket az Adatkezelő az alábbi e-mail-címen fogadja: info@dmbsoft.hu. Az Adatkezelő a GDPR 12. cikkében előírt határidőn belül (főszabály szerint 30 napon belül) válaszol.
8. Gyermekek adatvédelme
A kuppo szolgáltatás kizárólag 16 éves vagy annál idősebb felhasználók számára igénybe vehető. Az Adatkezelő tudatosan nem gyűjt 16 év alatti személyek adatait. Ha tudomásunkra jut, hogy 16 év alatti személy adatait kezeljük, azokat haladéktalanul töröljük. A korhatárt az első bejelentkezéskor megjelenő nyilatkozat elfogadásával igazolja a felhasználó, amelynek időbélyege rögzítésre kerül (ld. 2.3. pont).
9. Sütik és helyi tárolás
A kuppo webalkalmazás hitelesítési célból munkamenet-tokeneket tárol a böngésző helyi tárolójában (localStorage). Az alkalmazás nem alkalmaz harmadik fél által elhelyezett marketing- vagy analitikai sütiket. A szolgáltatás technikai működéséhez szükséges, munkamenet-kezelési célú tárolók nem igényelnek külön cookie-hozzájárulást.
10. A tájékoztató módosítása
Az Adatkezelő fenntartja a jogot jelen tájékoztató módosítására. A módosításokról az Adatkezelő legalább 14 nappal korábban értesíti a felhasználókat az alkalmazásban megjelenő értesítés útján. Az értesítés megjelenését követően a szolgáltatás további igénybevétele a módosított tájékoztató elfogadásának minősül. Lényeges módosítások esetén az Adatkezelő az alkalmazásba való következő bejelentkezéskor ismételten beleegyezést kér.
11. Kapcsolat
Adatkezeléssel kapcsolatos kérdéseivel és kéréseivel kérjük, forduljon az Adatkezelőhöz:
DMB Soft Kft. 2616 Keszeg, Alkotmány út 59., Magyarország E-mail: info@dmbsoft.hu