FotóAI – Adatvédelem

1. Az adatkezelés célja és jogalapja

A FotóAI szolgáltatás igénybevétele során többféle személyes adatot kezelünk annak érdekében, hogy magas színvonalú, biztonságos és folyamatosan fejleszthető élményt biztosítsunk. A regisztrációhoz és a fizetéshez elengedhetetlen az email cím, amely Gmail-fiókok esetén a Google OAuth szolgáltatásán keresztül azonosítja a felhasználót. A nem Gmail-fiókkal rendelkező felhasználóknál emailes (magic link) azonosítást kínálunk, amihez a megadott email címre küldünk belépési linket. A Stripe fizetési infrastruktúra a tranzakciók feldolgozása során, a Resend szolgáltatás pedig értesítések küldéséhez fér hozzá az email címhez. A Google OAuth és a Resend mindkét esetben adatfeldolgozóként vesz részt a folyamatban, ilyenkor az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés b) pontja: a szerződés teljesítése vagy a szerződéskötést megelőző lépések megtétele a felhasználó kérésére.

A rendszer működésének monitorozása, az analitika, a marketing és a szolgáltatás fejlesztése során jogos érdek alapján (GDPR 6. cikk (1) bekezdés f) pont) anonim vagy pszeudonimizált adatokat is gyűjtünk. Ide tartozik többek között az oldal használatának statisztikája (pl. Google Analytics vagy hasonló cookie/analitikai megoldások), valamint a böngésző és a telepített alkalmazások által automatikusan továbbított metaadatok (IP cím, készülék, operációs rendszer, látogatott oldalak). A szolgáltatás igénybevételével elfogadja ezen anonim adatgyűjtést, amelyet arra használunk, hogy megértsük a felhasználói útvonalakat, javítsuk az élményt, illetve fenntartsuk a biztonságot.

2. Milyen adatokat kezelünk a regisztráció és belépés során?

• Email cím: A belépés alapjául szolgál, Gmail esetén automatikusan a Google szolgáltatásából kapjuk meg, más email címnél Ön adja meg a felületen. Az email cím segítségével azonosítjuk a fiókot, küldünk belépési linket, illetve a rendszeren belül az Ön előfizetéséhez vagy kreditjeihez kapcsolódó adatokat is ehhez társítjuk.

• OAuth adatok: Amennyiben Google fiókkal jelentkezik be, a Google a nevét, profilképét és az OAuth tokeneket is átadhatja a FotóAI-nak. A tokenek kizárólag arra szolgálnak, hogy igazoljuk az Ön jogosultságát és létrehozzuk a fiókját.

• Magic link adatok: Ha nem Gmailt használ, akkor a Resend által küldött belépési link segítségével azonosítjuk. Ilyenkor a Resend email szolgáltató is megkapja az Ön email címét, továbbá rögzítésre kerül a link kiküldésének időpontja, státusza, esetleges hibája.

• Stripe fizetési adatok: Ha előfizetést vásárol, a Stripe a bankkártya feldolgozásához szükséges adatokat kezeli. A FotóAI részére csak a fizetés státusza és a számlázási információk (email cím, név, számlázási cím) jutnak el, bankkártya számot nem tárolunk.

• Sütik és analitikai adatok: A bejelentkezés után session sütik, illetve a NextAuth által használt token sütik jönnek létre. Ezek nélkül nem tudnánk biztonságosan fenntartani az azonosított állapotot, megelőzni a jogosulatlan hozzáférést vagy törölni a munkamenetét kilépéskor.

3. Adattárolás és megőrzési idő

Az email címeket, felhasználói profilokat, kredit- és előfizetési adatokat mindaddig megőrizzük, amíg aktív a fiók és Ön nem kéri a törlésüket. Ha törlést kér, igyekszünk ésszerű időn belül végrehajtani, figyelembe véve a jogszabályi kötelezettségeket (például számviteli előírásokat). A törlési kérelmet a support@fotoai.hu címen kezdeményezheti.

A pénzügyi tranzakciók adatait a vonatkozó számviteli és adózási szabályok szerint 8 évig meg kell őriznünk. Ez kizárólag a számlázással kapcsolatos adatokat jelenti (nevét, email címét, számlázási címet), a bankkártya adatokhoz nem férünk hozzá.

A Google OAuth tokeneket úgy tároljuk, hogy rendszeres időközönként frissüljenek, illetve a fiókból történő kijelentkezéskor érvénytelenítjük a session cookie-kat. Az analitikai adatokat addig őrizzük, amíg relevánsak az üzleti döntések meghozatalához (általában 12 hónap).

4. Harmadik felek és adattovábbítás

• Google (OAuth és Gmail): Amikor Gmail fiókot használ, a Google OAuth szolgáltatásán keresztül zajlik a belépés. A Google adatkezelési feltételei vonatkoznak arra, hogy milyen információt oszt meg velünk (szokásosan név, profilkép és email cím).

• Resend: A nem Gmail felhasználóknak küldött magic linkek a Resend email szolgáltatáson keresztül érkeznek. A Resend a feldolgozás során adatfeldolgozói szerepkörben jár el.

• Stripe: Minden előfizetés és kreditvásárlás a Stripe platformon keresztül történik. Mi nem tárolunk teljes bankkártya adatokat; a tranzakciót a Stripe biztosítja.

• Analitikai és log megoldások: A szolgáltatás minőségének javításáért és az esetleges hibák nyomonkövetéséért webanalitikai (pl. Google Analytics) és log-kezelő (pl. Vercel, Logtail) rendszereket használunk. Ezek tipikusan anonim vagy pszeudonimizált adatokat kezelnek.

• Ügyfélszolgálati eszközök: Amennyiben igénybe vesszük a Crisp vagy más chat/eseménykövető megoldást, a felhasználói beszélgetések és metaadataik az adott eszköz adatfeldolgozási feltételei szerint kerülnek tárolásra.

Az EU-n kívülre történő adattovábbítás esetén kizárólag olyan szolgáltatókkal dolgozunk, amelyek rendelkeznek érvényes megfelelőségi döntéssel (pl. EU–USA adatvédelmi keret), vagy megfelelő adattovábbítási szerződéssel (Standard Contractual Clauses) biztosítják a GDPR szerinti védelmet.

5. Felhasználói jogok és jogorvoslat

Önt megilleti a hozzáféréshez, helyesbítéshez, törléshez, korlátozáshoz, tiltakozáshoz és az adathordozáshoz való jog. Ezeket a kérelmeket a support@fotoai.hu email címen, vagy a weboldal ügyfélszolgálati felületén keresztül nyújthatja be. A kérésekre legfeljebb 30 napon belül válaszolunk.

Ha nem elégedett a válasszal, panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH).

6. Biztonsági intézkedések

Kötelezővé tettük a HTTPS titkosítást. Rendszeresen auditáljuk a GitHub repót és a Vercel hosztolási környezetet, hogy csökkentsük a jogosulatlan hozzáférés kockázatát. A NextAuth JWT tokenek és session sütik lejárati ideje rövid, és a felhasználó kijelentkezésekor töröljük őket. A Google OAuth tokeneket sem tároljuk szükségtelenül, kilépéskor érvénytelenítjük.

A Stripe és a Resend integrációk auditált API kulcsokat használnak. Ezeket titkosított környezetben tároljuk (Vercel env, GitHub Actions secret), és a jogosultságokat a lehető legkisebbre korlátozzuk.

7. Kapcsolat

Bármilyen adatvédelmi kérdéssel kapcsolatban írjon a support@fotoai.hu címre. A FotóAI fenntartja a jogot, hogy az Adatkezelési Tájékoztatót módosítsa. A változásokról a weboldalon tájékoztatást nyújtunk, és kiemelten figyelünk rá, hogy új funkciók bevezetésekor külön is értesítsük a felhasználókat.