Adatkezelési tájékoztató

Az adatkezelő

Bárányfelhő Svábhegyi Református Óvoda
Székhely: 1125 Budapest, Felhő u. 8.
OM-azonosító: 203510
Fenntartó: Budapest-Svábhegyi Református Egyházközség
E-mail: baranyfelho@refovi.hu
Telefon: +36 30 122 1388

Az adatvédelmi követelményeket az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) határozza meg. Az adatkezelés részletes szabályait a Bárányfelhő Svábhegyi Református Óvoda Adatvédelmi és adatbiztonsági szabályzata tartalmazza, amely a portál láblécében elérhető.

Milyen adatokat kezelünk?

• Fiók adatok: e-mail cím, megjelenítendő név (keresztnév/becenév).
• Jelentkezési adatok (csak ha jelentkezést indít): a gyermek neve, születési helye és ideje, állampolgársága, lakcíme, TAJ száma, keresztelés ténye, családi körülmények; a szülők neve, elérhetősége, felekezeti hovatartozása; szabad szöveges indoklás.
• Beszélgetések: az Ön által írt és kapott üzenetek a chatben.
• Technikai adatok: bejelentkezési session (cookie), kérés időpontja és IP-címe (csak átmenetileg, visszaélés-megelőzés céljából).

Miért és mennyi ideig?

Bejelentkezés / fiók

Cél: a portálhoz való hozzáférés. Időtartam: amíg a fiók aktív; inaktív 12 hónap után automatikus törlésre kerül.

Jelentkezési piszkozat

Cél: a beiratkozási szándék rögzítése. Időtartam: a portálon csak addig marad, amíg a jelentkezést be nem küldi. A beküldés után a jelentkezés bekerül az óvoda nyilvántartásába, és a portálról törlésre kerül. Onnantól az óvoda papíron / belső nyilvántartásában tárolja.

Chat üzenetek

Cél: kérdések megválaszolása az érdeklődők és szülők számára. Időtartam: a beszélgetés végéig + 90 nap, vagy a fiók törléséig (amelyik előbb bekövetkezik).

Visszaélés-megelőzés (IP, rate-limit)

Cél: spam és brute-force támadások megakadályozása. Időtartam: legfeljebb 1 óra.

A jogalap

• Hozzájárulás (GDPR 6. cikk 1. bekezdés a)) — a fiók létrehozása és a jelentkezés rögzítése előtt kifejezett checkboxos hozzájárulás szükséges.
• Jogi kötelezettség (GDPR 6. cikk 1. bekezdés c)) — az óvodai felvételi eljárásra vonatkozó hatályos jogszabályok teljesítése.
• Jogos érdek (GDPR 6. cikk 1. bekezdés f)) — visszaélés-megelőzés, biztonsági naplózás.
• Gyermekek adatai (GDPR 8. cikk): a 16 év alatti gyermekek adatait kizárólag a szülő/gondviselő hozzájárulása alapján kezeljük.

Adatfeldolgozók

Az alábbi szolgáltatók működnek közre az adatok kezelésében, a GDPR 28. cikke szerinti adatfeldolgozói szerződés (DPA) alapján. Az EU-n kívüli adatfeldolgozók esetében az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCC) biztosítják a megfelelő adatvédelmi szintet.

Hetzner Online GmbH — szerver-hosting

Industriestr. 25, 91710 Gunzenhausen, Németország · EU adatközpont (Nürnberg) · adatvédelmi tájékoztató

Neon Inc. — Postgres adatbázis

28 Liberty Street, Floor 50, New York, NY 10005, USA · EU central régió (Frankfurt) · adatok titkosítva nyugalomban és átvitel közben (SSL + channel binding) · adatvédelmi tájékoztató

Resend, Inc. — e-mail küldés

2261 Market Street #5039, San Francisco, CA 94114, USA · bejelentkezési linkek küldésére · csak e-mail címet és üzenet tartalmát kezeli · adatvédelmi tájékoztató

Cloudflare, Inc. — DNS, Tunnel, biztonság

101 Townsend Street, San Francisco, CA 94107, USA · hálózati metaadatokat (IP, kérés időpontja) láthat — fő szerepe a támadások szűrése · adatvédelmi tájékoztató

GitHub, Inc. (Microsoft) — forráskód-tárolás, Docker image

88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA · csak a portál kódját és konténer-image-ét tárolja, semmilyen szülői adatot nem · adatvédelmi tájékoztató

Az Ön jogai (GDPR 15–22. cikk)

Hozzáférés (cikk 15)

Tájékoztatást kérhet arról, milyen adatokat, mely célokra, mennyi ideig kezelünk, valamint másolatot kérhet az adatairól.

Helyesbítés (cikk 16)

Kérheti a pontatlan adatok módosítását.

Törlés (cikk 17)

Kérheti az adatok törlését, ha (a) visszavonja a hozzájárulását, (b) tiltakozik a jogos érdek alapján végzett kezelés ellen, vagy (c) ha bíróság / felügyeleti hatóság megállapította a kezelés jogellenességét.

Korlátozás (cikk 18)

Kérheti az adatkezelés korlátozását, pl. ha vitatja az adatok pontosságát, vagy ha az adatkezelés jogellenes de Ön nem akarja a törlést.

Tiltakozás (cikk 21)

Bármikor tiltakozhat az érdekmérlegelés (cikk 6 (1) f)) jogalapján végzett adatkezelés ellen.

Adathordozhatóság (cikk 20)

Csak hozzájárulás vagy szerződés alapján kezelt adatokra vonatkozik. Ezeket gépi olvasható (pl. JSON) formátumban kérheti, illetve más adatkezelőhöz továbbítását.

Hozzájárulás visszavonása (cikk 7.3)

A jövőre nézve bármikor visszavonható, a visszavonás nem érinti a megelőző adatkezelés jogszerűségét.

Panaszjog (cikk 77)

Panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH, naih.hu) vagy bírósághoz fordulhat.

Cookies (sütik)

A portál csak technikailag szükséges sütiket használ:

• better-auth.session_token — bejelentkezési session, 30 napos élettartam, httpOnly + secure.
• refovi-cookie-consent-v1 — a süti-tájékoztató elfogadásának rögzítése (localStorage).

Analitikai vagy marketing sütit nem használunk — nincs Google Analytics, Facebook Pixel vagy hasonló.

Biztonsági intézkedések

• Minden kapcsolat HTTPS-titkosítással (TLS 1.3) történik.
• Az adatbázis adatai nyugalmi állapotban is titkosítva vannak (encryption at rest).
• Az adminisztrátori felülethez csak az óvoda vezetősége fér hozzá.
• Rate-limit szűr a brute-force és spam támadások ellen.
• A szerver Cloudflare Tunnel mögött helyezkedik el — nincs nyilvánosan elérhető IP-port.

Adatvédelmi incidens

Adatvédelmi incidens észlelésekor 72 órán belül értesítjük az érintetteket és a NAIH-ot. Az incidenst az admin@zarchit.com címen lehet bejelenteni.