Adatvédelmi tájékoztató
Hatályos: 2026. június 26. · Verzió: 1.0
1. Az adatkezelő és elérhetősége
A Zappla online számlázó szolgáltatás (a továbbiakban: Szolgáltatás) vonatkozásában a személyes adatok kezeléséért felelős adatkezelő (a továbbiakban: Szolgáltató / Adatkezelő) az alábbi vállalkozás:
- Név / cégnév:
- [Üzemeltető cég neve]
- Székhely:
- [Székhely címe]
- Adószám:
- [Adószám]
- E-mail:
- info@zappla.hu
- Weboldal:
- https://zappla.hu
Adatvédelmi kérdésekben a következő elérhetőségen fordulhat hozzánk: info@zappla.hu. A Szolgáltató tevékenysége alapján nem köteles adatvédelmi tisztviselő (DPO) kijelölésére; adatvédelmi tisztviselőt nem jelölt ki.
2. A tájékoztató hatálya és a Szolgáltató kettős szerepe
A jelen tájékoztató a Szolgáltatás (webes felület és mobilalkalmazás) használata során megvalósuló adatkezelésre vonatkozik. A tájékoztató a GDPR (az Európai Parlament és a Tanács (EU) 2016/679 rendelete) 13–14. cikke, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) alapján készült. (Ez a tájékoztató a számlázó termékre vonatkozik, és független a marketing weboldal külön adatkezelési tájékoztatójától.)
A Szolgáltató kettős szerepben jár el:
- Adatkezelőként a Felhasználó fiók-, vállalkozási és számlázási adatai, valamint a Szolgáltatás működtetéséhez kapcsolódó adatok tekintetében.
- Adatfeldolgozóként azon ügyfél-, partner- és számlacímzett-adatok tekintetében, amelyeket a Felhasználó visz be a rendszerbe. Ezekre nézve maga a Felhasználó az adatkezelő, a Szolgáltató pedig az ő megbízásából, utasítása szerint kezeli az adatokat (lásd a 13. pontot).
3. A kezelt személyes adatok köre
- Fiókadatok: név, e-mail-cím, nyelv, jelszó (titkosított formában), bejelentkezési és technikai azonosítók.
- Vállalkozási adatok: a Felhasználó vállalkozásának neve, címe, adószáma, bankszámlaszáma, logó, aláírás.
- Számla- és partneradatok: a kiállított számlák adatai, beleértve a vevők/partnerek nevét, címét, adószámát, a számlatételeket és a számla PDF-et.
- Előfizetési és fizetési adatok: a csomag, a számlázási adatok és a fizetés állapota (a kártyaadatokat a fizetési szolgáltató kezeli, azokat nem tároljuk).
- NAV-adatszolgáltatáshoz szükséges technikai azonosítók: titkosítva tárolva.
- Használati és technikai adatok: a Szolgáltatás használatára vonatkozó események, eszköz- és böngészőadatok, IP-cím, naplók.
- Ügyfélszolgálati adatok: a megkeresések, üzenetek és az azokhoz kapcsolódó adatok.
4. Az adatkezelés céljai és jogalapjai
Az egyes adatkezelési célokat és azok jogalapját az alábbi táblázat foglalja össze:
| Cél | Adatkör | Jogalap |
|---|---|---|
| Fiók létrehozása és a Szolgáltatás nyújtása | fiók- és vállalkozási adatok | szerződés teljesítése — GDPR 6. cikk (1) b) |
| Számlakiállítás, bizonylatolás, NAV Online Számla adatszolgáltatás | számla- és partneradatok, technikai azonosítók | jogi kötelezettség — GDPR 6. cikk (1) c) (Áfa tv., Számv. tv.) |
| Számlák és bizonylatok megőrzése | számla- és bizonylatadatok | jogi kötelezettség — 2000. évi C. tv. 169. § |
| Díjfizetés és előfizetés kezelése | előfizetési és fizetési adatok | szerződés teljesítése — GDPR 6. cikk (1) b) |
| Ügyfélszolgálat, hibaelhárítás, csalásmegelőzés, biztonság, termékfejlesztés | kapcsolati, használati és technikai adatok | jogos érdek — GDPR 6. cikk (1) f) |
| Hírlevél, termékhírek (ha igényli) | e-mail-cím | hozzájárulás — GDPR 6. cikk (1) a) |
5. Címzettek és adatfeldolgozók
A Szolgáltatás működtetéséhez a Szolgáltató az alábbi adatfeldolgozókat (illetve a fizetésnél önálló adatkezelőt) veszi igénybe. Mindegyikükkel a GDPR 28. cikke szerinti adatfeldolgozói szerződés (vagy azzal egyenértékű feltételek) van érvényben:
| Adatfeldolgozó | Cél | Régió | Garancia |
|---|---|---|---|
| Supabase | adatbázis, hitelesítés, tárolás | EU (eu-west-1) | 28. cikk szerinti szerződés |
| Vercel | hosztolás, CDN, futtatás | EU / USA | 28. cikk + SCC / EU-USA adatvédelmi keret |
| Stripe | fizetés feldolgozása | EU / USA | önálló adatkezelő + SCC / adatvédelmi keret |
| Resend | tranzakciós és értesítő e-mailek | EU / USA | 28. cikk + SCC / adatvédelmi keret |
| PostHog | termékhasználati analitika | EU | 28. cikk szerinti szerződés |
| Sentry | hibakövetés, diagnosztika | EU / USA | 28. cikk + SCC |
| Anthropic / Vercel AI Gateway | ügyfélszolgálati AI-támogatás (belső) | EU / USA | 28. cikk + SCC; minimalizált adat |
Ezen felül címzett a Nemzeti Adó- és Vámhivatal (NAV) az Online Számla rendszer felé teljesített kötelező adatszolgáltatás keretében (lásd a 11. pontot). Az adatfeldolgozók aktuális listáját a Szolgáltató naprakészen tartja; a lista lényeges változásáról a jelen tájékoztató frissítésével tájékoztat.
6. Harmadik országba történő adattovábbítás
Az adatok elsődlegesen az Európai Unión belül (eu-west-1 régió) kerülnek tárolásra. Egyes adatfeldolgozók (pl. a fizetési, e-mail-, hibakövetési és AI-szolgáltatók) anyavállalata az Egyesült Államokban található, ezért előfordulhat harmadik országba történő adattovábbítás. Ezt a Szolgáltató kizárólag megfelelő garanciák mellett teszi: az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCC, GDPR 46. cikk), és — ahol alkalmazható — az EU–USA adatvédelmi keret (Data Privacy Framework) alapján. A garanciákról további tájékoztatás a fenti adatvédelmi elérhetőségen kérhető.
7. Megőrzési idők
| Adatkör | Megőrzési idő | Jogalap / indok |
|---|---|---|
| Számlák és számviteli bizonylatok | legalább 8 év | 2000. évi C. tv. 169. § (jogi kötelezettség) |
| Fiók- és vállalkozási adatok | az előfizetés/fiók fennállásáig, majd az igények elévüléséig (általában 5 év) | szerződés / jogos érdek |
| Előfizetési és fizetési nyilvántartás | a számviteli megőrzés szerint | jogi kötelezettség |
| Ügyfélszolgálati levelezés | az ügy lezárását követő ésszerű ideig | jogos érdek |
| Használati analitika | korlátozott ideig; aggregált (személyazonosításra alkalmatlan) formában tovább | jogos érdek |
| Hibanaplók | rövid ideig (jellemzően néhány hét–hónap) | jogos érdek |
| Hírlevél-hozzájárulás | a hozzájárulás visszavonásáig | hozzájárulás |
8. Az érintett jogai
Az érintettet a GDPR alapján az alábbi jogok illetik meg:
- tájékoztatáshoz és hozzáféréshez való jog (15. cikk);
- helyesbítéshez való jog (16. cikk);
- törléshez való jog (17. cikk) — azzal a korlátozással, hogy a jogszabály szerint kötelezően megőrzendő adatok (pl. számlák) a megőrzési idő végéig nem törölhetők;
- az adatkezelés korlátozásához való jog (18. cikk);
- adathordozhatósághoz való jog (20. cikk);
- tiltakozáshoz való jog a jogos érdeken alapuló adatkezelés ellen (21. cikk);
- hozzájárulás visszavonásának joga (a hozzájáruláson alapuló adatkezelésnél).
Kérelmét a fenti adatvédelmi elérhetőségen (info@zappla.hu) nyújthatja be; a Szolgáltató a kérelmet a jogszabályi határidőn belül (főszabály szerint egy hónapon belül) teljesíti. Ha úgy ítéli meg, hogy az adatkezelés jogát sérti, panasszal fordulhat a felügyeleti hatósághoz, illetve bírósághoz:
Cím: 1055 Budapest, Falk Miksa utca 9–11. (postacím: 1363 Budapest, Pf. 9.)
Telefon: +36 (1) 391-1400 · E-mail: ugyfelszolgalat@naih.hu · https://www.naih.hu
Az érintett a lakóhelye vagy tartózkodási helye szerinti törvényszékhez is fordulhat.
9. Adatbiztonság és incidenskezelés
A Szolgáltató a GDPR 32. cikke szerinti megfelelő technikai és szervezési intézkedéseket alkalmaz (többek között titkosítás, hozzáférés-korlátozás, naplózás, biztonsági mentés). A NAV-hoz kapcsolódó technikai azonosítók titkosítva tárolódnak. Adatvédelmi incidens esetén a Szolgáltató a jogszabályi határidőkön belül — indokolatlan késedelem nélkül, és lehetőség szerint 72 órán belül — értesíti a felügyeleti hatóságot (NAIH), valamint — ha az incidens az érintettek jogaira nézve magas kockázattal jár — az érintetteket is (GDPR 33–34. cikk).
10. Automatizált döntéshozatal és mesterséges intelligencia
A Szolgáltató nem hoz az érintettre nézve joghatással járó vagy őt hasonlóan jelentős mértékben érintő, kizárólag automatizált döntést a GDPR 22. cikke értelmében. Az ügyfélszolgálati munkát mesterséges intelligencia (AI) támogathatja (pl. válaszjavaslat, összegzés); ezt operátori (emberi) felülvizsgálat mellett alkalmazzuk, és az AI számára átadott adatokat a szükséges minimumra korlátozzuk.
13. Adatfeldolgozói tevékenység (a Felhasználó ügyféladatai)
A Felhasználó által a rendszerbe bevitt ügyfél-, partner- és számlacímzett-adatok tekintetében a Felhasználó az adatkezelő, a Szolgáltató pedig — az ő megbízásából — adatfeldolgozó. A Szolgáltató e körben a GDPR 28. cikke szerint:
- az adatokat kizárólag a Felhasználó dokumentált utasítása szerint kezeli;
- biztosítja a feldolgozásban résztvevők titoktartását;
- megfelelő technikai és szervezési biztonsági intézkedéseket alkalmaz;
- al-adatfeldolgozókat a jelen tájékoztatóban felsorolt körben, megfelelő garanciák mellett vesz igénybe, és változásukról tájékoztat;
- segíti a Felhasználót az érintetti kérelmek teljesítésében és az adatvédelmi kötelezettségek (biztonság, incidens) teljesítésében;
- a szerződés megszűnésekor — a kötelező megőrzési idő figyelembevételével — az adatokat törli vagy a Felhasználónak visszaadja, és lehetővé teszi az ellenőrzést.
14. A tájékoztató módosítása
A Szolgáltató a jelen tájékoztatót jogosult egyoldalúan módosítani különösen jogszabályváltozás, a Szolgáltatás vagy az adatfeldolgozói kör változása esetén. A mindenkor hatályos változat a weboldalon érhető el; lényeges változásról a Szolgáltató ésszerű időben tájékoztatást ad. A tájékoztató verzióját és hatálybalépését a dokumentum fejléce tartalmazza.
15. Kapcsolat
Adatvédelmi kérdéseivel, kérelmeivel forduljon hozzánk bizalommal: info@zappla.hu. A Szolgáltató postai elérhetősége a fenti adatkezelői blokkban szerepel.