Adatkezelési Tájékoztató

Hatályos: 2026. március 20.

Tartalomjegyzék

Bevezetés
Fogalmak
Adatkezelések részletezése
Adatfeldolgozók (almegbízottak)
Adattovábbítás harmadik országba
Cookie-k (sütik)
Az érintett jogai
Fiók törlése — adattörlési eljárás
Adatvédelmi incidens kezelése
Jogorvoslati lehetőségek
Hatályba lépés

1. Bevezetés

Jelen adatkezelési tájékoztató célja, hogy az érintetteket tájékoztassa a GhostlyPost szolgáltatáshoz kapcsolódó személyes adatok kezelésének módjáról, céljáról, jogalapjáról, időtartamáról, valamint az érintettek jogairól.

Az adatkezelő megnevezése és elérhetőségei

Megnevezés	Hajas Gábor EV (egyéni vállalkozó)
Székhely	2040 Budaörs, Liliom u. 18.
Adószám	[kitöltés alatt]
Email	[email protected]
Weboldal	ghostlypost.com / ghostlypost.hu

Hivatkozott jogszabályok

GDPR — Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról
Infotv. — 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
Számviteli tv. — 2000. évi C. törvény a számvitelről

2. Fogalmak

A GDPR 4. cikke alapján az alábbi fogalmak irányadók:

Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító (például név, szám, helymeghatározó adat, online azonosító) alapján azonosítható.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
Érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy.
Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége (pl. gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás, lekérdezés, betekintés, felhasználás, közlés, törlés, megsemmisítés).

3. Adatkezelések részletezése

a) Regisztráció és fiókkezelés

Kezelt adatok	Név, email cím, jelszó (hash-elve), regisztráció dátuma
Jogalap	GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
Megőrzési idő	A fiók törléséig; törlés után azonnali megsemmisítés
Cél	A szolgáltatás nyújtásához szükséges felhasználói fiók létrehozása és kezelése

b) Számlázási adatok

Kezelt adatok	Név/cégnév, adószám, számlázási cím, fizetési tranzakciók adatai
Jogalap	GDPR 6. cikk (1) bekezdés c) pont — jogi kötelezettség (Számviteli tv. 169. §)
Megőrzési idő	8 év a számla kiállításától számítva, korlátozott hozzáféréssel, archív státuszban
Cél	Jogszabályi kötelezettségek teljesítése (számlakibocsátás, adóbevallás)

c) Social media integráció (Meta/Facebook)

Kezelt adatok	Facebook User ID, Page ID, Page Access Token, Facebook oldal neve
Jogalap	GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése; és 6. cikk (1) bekezdés a) pont — hozzájárulás (OAuth engedélyezés)
Megőrzési idő	Fiók törlésekor azonnali törlés + token revoke a Meta API-n keresztül
Cél	A felhasználó Facebook/Instagram oldalára történő automatikus posztolás

d) Médiafájlok

Kezelt adatok	Feltöltött képek, videók (felhasználó által)
Jogalap	GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
Megőrzési idő	Fiók törlésekor teljes és végleges törlés
Cél	A social media posztokhoz szükséges vizuális tartalmak tárolása és továbbítása

e) AI tartalom generálás (Google Gemini)

Kezelt adatok	Iparág neve, fókusz tematikák, generált caption szövegek (általában nem tartalmaz személyes adatot)
Jogalap	GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
Almegbízott	Google Ireland Ltd. (EU-US DPF + SCCs)
Megőrzési idő	Fiók törlésekor azonnali törlés
Cél	AI-alapú szöveges tartalom (caption) generálása a felhasználó social media posztjaihoz

Fontos: A szolgáltatás fizetős API-t (Vertex AI / Google Cloud) használ. Az adatok NEM kerülnek felhasználásra AI modell tanítására.

f) Messenger bot kommunikáció

Kezelt adatok	Messenger user ID, üzenetek (parancsok), küldött médiatartalmak
Jogalap	GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
Megőrzési idő	Fiók törlésekor azonnali törlés
Cél	A Messenger-alapú posztolási és vezérlési funkciók biztosítása

g) Email küldés (Brevo)

Kezelt adatok	Email cím, név
Jogalap	GDPR 6. cikk (1) bekezdés b) pont — tranzakciós emailek (pl. jelszó-visszaállítás, értesítések); GDPR 6. cikk (1) bekezdés a) pont — hozzájárulás (marketing emailek)
Megőrzési idő	Fiók törlésekor törlés; marketing hozzájárulás visszavonása esetén azonnali törlés a marketing listáról
Cél	Szolgáltatáshoz kapcsolódó tranzakciós és marketing kommunikáció

h) Érdeklődő (lead) form

Kezelt adatok	Név, email cím, telefonszám (opcionális), érdeklődés csomagja, üzenet szövege
Jogalap	GDPR 6. cikk (1) bekezdés a) pont — hozzájárulás
Megőrzési idő	1 év, vagy az érintett kérésére azonnal töröljük
Cél	Érdeklődő megkeresések kezelése, ajánlatkérés feldolgozása

i) Naplózás és biztonság

Kezelt adatok	IP cím, bejelentkezési idő, sikertelen bejelentkezési kísérletek
Jogalap	GDPR 6. cikk (1) bekezdés f) pont — jogos érdek (a szolgáltatás biztonsága)
Megőrzési idő	90 nap
Cél	A szolgáltatás biztonságának fenntartása, visszaélések megelőzése, jogellenes hozzáférési kísérletek észlelése

4. Adatfeldolgozók (almegbízottak)

Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe a szolgáltatás nyújtásához:

Adatfeldolgozó	Székhely	Tevékenység	EU-n kívüli továbbítás	Garanciák
Meta Platforms Ireland Ltd.	Dublin, Írország	Social media API	Igen (US)	EU-US DPF + SCCs
Google Ireland Ltd.	Dublin, Írország	AI tartalom generálás (Gemini)	Igen (US)	EU-US DPF + SCCs, Cloud DPA
Sendinblue SAS (Brevo)	Párizs, Franciaország	Email küldés	EU szerverek	DPA
Stripe Payments Europe Ltd.	Dublin, Írország	Fizetés feldolgozás	Igen (US)	EU-US DPF + SCCs
Octonull Kft. (Billingo)	Budapest, Magyarország	Számlázás	Nincs	Magyar jog

5. Adattovábbítás harmadik országba

Egyes adatfeldolgozók (Meta, Google, Stripe) az Egyesült Államokban működő anyavállalataikon keresztül kezelhetnek személyes adatokat. Az adattovábbítás kizárólag megfelelő garanciák mellett történik, a GDPR 46. cikkének megfelelően:

EU-US Data Privacy Framework (DPF): Az Európai Bizottság 2023. júliusi megfelelőségi határozata alapján az EU-US DPF keretében tanúsított szervezeteknek történő adattovábbítás megfelelő védelmet biztosít.
Standard Contractual Clauses (SCCs): Az Európai Bizottság által elfogadott általános szerződési feltételek kiegészítő garanciát nyújtanak az adattovábbításhoz.

Az adatkezelő folyamatosan figyelemmel kíséri a harmadik országba történő adattovábbítás jogszabályi kereteit, és szükség esetén haladéktalanul megteszi a szükséges intézkedéseket az érintettek jogainak védelme érdekében.

6. Cookie-k (sütik)

A GhostlyPost landing oldal (ghostlypost.com / ghostlypost.hu) jelenleg nem használ analytics cookie-kat.

Session cookie: A webalkalmazás működéséhez elengedhetetlen technikai süti. Jogalap: GDPR 6. cikk (1) bekezdés f) pont — jogos érdek (a szolgáltatás működőképessége). Lejárat: a munkamenet végén.

Amennyiben a jövőben analytics vagy marketing cookie-k bevezetésre kerülnek, az érintettek előzetes, önkéntes hozzájárulása szükséges (GDPR 6. cikk (1) bekezdés a) pont), amelyet egy cookie banner biztosít.

7. Az érintett jogai

Az érintett az alábbi jogokkal élhet személyes adatainak kezelésével kapcsolatban:

Hozzáférés joga (GDPR 15. cikk): Az érintett jogosult arra, hogy visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult a személyes adatokhoz és az azok kezelésével kapcsolatos információkhoz hozzáférést kapni.
Helyesbítés joga (GDPR 16. cikk): Az érintett jogosult a pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését kérni.
Törlés joga (GDPR 17. cikk): Az érintett jogosult kérni személyes adatainak törlését. Fiók törlésekor MINDEN személyes adat azonnal törlődik, KIVÉVE a számviteli törvény által előírt kötelezően megőrzött számlázási adatokat (név, cím, adószám), amelyek 8 évig korlátozott, archív hozzáféréssel megőrzésre kerülnek.
Korlátozás joga (GDPR 18. cikk): Az érintett jogosult kérni az adatkezelés korlátozását meghatározott feltételek fennállása esetén.
Adathordozhatóság joga (GDPR 20. cikk): Az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és jogosult ezeket az adatokat egy másik adatkezelőnek továbbítani.
Tiltakozás joga (GDPR 21. cikk): Az érintett jogosult tiltakozni személyes adatainak jogos érdeken alapuló kezelése ellen.
Hozzájárulás visszavonása (GDPR 7. cikk (3) bekezdés): Az érintett a hozzájárulását bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.

Joggyakorláshoz kérjük, vegye fel a kapcsolatot az adatkezelővel a [email protected] email címen. A kérelmeket legfeljebb 30 napon belül teljesítjük.

8. Fiók törlése — adattörlési eljárás

A felhasználó bármikor kérheti fiókja törlését a szolgáltatás beállításaiban vagy a [email protected] email címen.

Törlés végrehajtása

A törlési kérelem beérkezésétől számított 72 órán belül végrehajtjuk.

Törölt adatok — MINDEN személyes adat:

Felhasználói profil (név, email, jelszó hash)
Feltöltött médiafájlok (képek, videók)
Facebook/Instagram tokenek — revoke a Meta API-n keresztül
Messenger bot előzmények
AI generálási előzmények és beállítások
Ütemezési és posztolási előzmények
Az összes egyéb személyes adat és beállítás

Megőrzött adatok (kivétel)

Kizárólag a már kiállított számlák és az azokhoz szükséges minimális adat (név, cím, adószám) kerül megőrzésre 8 évig, a Számviteli törvény 169. § alapján.

Az archivált számlázási adatok korlátozott, archív hozzáféréssel kerülnek tárolásra
Kizárólag számviteli célra használhatók
Az archivált adatokhoz kizárólag a szolgáltató könyvelője fér hozzá

9. Adatvédelmi incidens kezelése

Adatvédelmi incidens esetén az adatkezelő az alábbiak szerint jár el:

NAIH értesítés (GDPR 33. cikk): Az adatkezelő az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett természetes személyek jogaira és szabadságaira nézve.
Érintettek értesítése (GDPR 34. cikk): Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

10. Jogorvoslati lehetőségek

Az érintett jogainak megsértése esetén az alábbi jogorvoslati lehetőségekkel élhet:

Panasz a felügyeleti hatóságnál

Hatóság	Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím	1055 Budapest, Falk Miksa u. 9-11.
Weboldal	naih.hu
Email	[email protected]

Bírósági jogorvoslat

Az érintett a jogainak megsértése esetén bírósághoz is fordulhat. A per az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

11. Hatályba lépés

Jelen adatkezelési tájékoztató 2026. március 20-án lép hatályba.

Az adatkezelő fenntartja a jogot, hogy a jelen tájékoztatót egyoldalúan módosítsa. A módosításokról az érintetteket a szolgáltatáson keresztül értesíti.

Privacy Policy

Effective: 20 March 2026

Table of Contents

Introduction
Definitions
Data Processing Activities
Data Processors (Sub-processors)
International Data Transfers
Cookies
Data Subject Rights
Account Deletion — Data Erasure Procedure
Data Breach Management
Legal Remedies
Effective Date

1. Introduction

This Privacy Policy aims to inform data subjects about the methods, purposes, legal bases, and duration of processing of personal data in connection with the GhostlyPost service, as well as the rights of data subjects.

Data Controller

Name	Hajas Gábor EV (sole proprietor)
Registered seat	2040 Budaörs, Liliom u. 18., Hungary
Tax number	[to be filled]
Email	[email protected]
Website	ghostlypost.com / ghostlypost.hu

Applicable Legislation

GDPR — Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data
Infotv. — Act CXII of 2011 on Informational Self-Determination and Freedom of Information (Hungarian national law)
Accounting Act — Act C of 2000 on Accounting (Hungarian national law)

2. Definitions

The following definitions apply in accordance with Article 4 of the GDPR:

Personal data: any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier.
Controller: the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
Processor: a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
Data subject: any identified or identifiable natural person whose personal data is processed.
Consent: any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
Processing: any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation, retrieval, consultation, use, disclosure, erasure or destruction.

3. Data Processing Activities

a) Registration and Account Management

Data processed	Name, email address, password (hashed), registration date
Legal basis	GDPR Article 6(1)(b) — performance of a contract
Retention	Until account deletion; immediate erasure upon deletion
Purpose	Creation and management of user accounts necessary for providing the service

b) Billing Data

Data processed	Name/company name, tax number, billing address, payment transaction data
Legal basis	GDPR Article 6(1)(c) — legal obligation (Hungarian Accounting Act, Section 169)
Retention	8 years from invoice issuance, with restricted access in archived status
Purpose	Fulfillment of legal obligations (invoicing, tax reporting)

c) Social Media Integration (Meta/Facebook)

Data processed	Facebook User ID, Page ID, Page Access Token, Facebook page name
Legal basis	GDPR Article 6(1)(b) — performance of a contract; and Article 6(1)(a) — consent (OAuth authorization)
Retention	Immediate deletion upon account deletion + token revocation via Meta API
Purpose	Automated posting to the user's Facebook/Instagram pages

d) Media Files

Data processed	Uploaded images, videos (by the user)
Legal basis	GDPR Article 6(1)(b) — performance of a contract
Retention	Complete and permanent deletion upon account deletion
Purpose	Storage and transmission of visual content for social media posts

e) AI Content Generation (Google Gemini)

Data processed	Industry name, focus topics, generated caption texts (typically does not contain personal data)
Legal basis	GDPR Article 6(1)(b) — performance of a contract
Sub-processor	Google Ireland Ltd. (EU-US DPF + SCCs)
Retention	Immediate deletion upon account deletion
Purpose	AI-based text content (caption) generation for the user's social media posts

Important: The service uses a paid API (Vertex AI / Google Cloud). The data is NOT used for AI model training.

f) Messenger Bot Communication

Data processed	Messenger user ID, messages (commands), sent media content
Legal basis	GDPR Article 6(1)(b) — performance of a contract
Retention	Immediate deletion upon account deletion
Purpose	Providing Messenger-based posting and control features

g) Email Sending (Brevo)

Data processed	Email address, name
Legal basis	GDPR Article 6(1)(b) — transactional emails (e.g., password reset, notifications); GDPR Article 6(1)(a) — consent (marketing emails)
Retention	Deletion upon account deletion; immediate removal from marketing list upon withdrawal of consent
Purpose	Transactional and marketing communications related to the service

h) Lead Form

Data processed	Name, email address, phone number (optional), package of interest, message text
Legal basis	GDPR Article 6(1)(a) — consent
Retention	1 year, or immediately upon the data subject's request
Purpose	Handling inquiries and processing quote requests

i) Logging and Security

Data processed	IP address, login time, failed login attempts
Legal basis	GDPR Article 6(1)(f) — legitimate interest (service security)
Retention	90 days
Purpose	Maintaining service security, preventing abuse, detecting unauthorized access attempts

4. Data Processors (Sub-processors)

The controller engages the following data processors to provide the service:

Processor	Registered seat	Activity	Transfer outside EU	Safeguards
Meta Platforms Ireland Ltd.	Dublin, Ireland	Social media API	Yes (US)	EU-US DPF + SCCs
Google Ireland Ltd.	Dublin, Ireland	AI content generation (Gemini)	Yes (US)	EU-US DPF + SCCs, Cloud DPA
Sendinblue SAS (Brevo)	Paris, France	Email delivery	EU servers	DPA
Stripe Payments Europe Ltd.	Dublin, Ireland	Payment processing	Yes (US)	EU-US DPF + SCCs
Octonull Kft. (Billingo)	Budapest, Hungary	Invoicing	None	Hungarian law

5. International Data Transfers

Certain data processors (Meta, Google, Stripe) may process personal data through their parent companies operating in the United States. Data transfers are carried out exclusively with appropriate safeguards in accordance with Article 46 of the GDPR:

EU-US Data Privacy Framework (DPF): Based on the European Commission's July 2023 adequacy decision, data transfers to organizations certified under the EU-US DPF provide adequate protection.
Standard Contractual Clauses (SCCs): The standard contractual clauses adopted by the European Commission provide supplementary safeguards for data transfers.

The controller continuously monitors the legal framework governing international data transfers and takes immediate action when necessary to protect the rights of data subjects.

6. Cookies

The GhostlyPost landing page (ghostlypost.com / ghostlypost.hu) currently does not use analytics cookies.

Session cookie: An essential technical cookie required for the operation of the web application. Legal basis: GDPR Article 6(1)(f) — legitimate interest (service functionality). Expiry: end of session.

If analytics or marketing cookies are introduced in the future, prior voluntary consent of data subjects will be required (GDPR Article 6(1)(a)), provided through a cookie consent banner.

7. Data Subject Rights

Data subjects may exercise the following rights regarding the processing of their personal data:

Right of access (GDPR Article 15): The data subject has the right to obtain confirmation as to whether personal data concerning them is being processed and, where that is the case, access to the personal data and related information.
Right to rectification (GDPR Article 16): The data subject has the right to obtain the rectification of inaccurate personal data and the completion of incomplete data.
Right to erasure (GDPR Article 17): The data subject has the right to obtain the erasure of their personal data. Upon account deletion, ALL personal data is immediately erased, EXCEPT billing data required to be retained under the Accounting Act (name, address, tax number), which is retained for 8 years with restricted, archived access.
Right to restriction (GDPR Article 18): The data subject has the right to obtain restriction of processing under certain conditions.
Right to data portability (GDPR Article 20): The data subject has the right to receive their personal data in a structured, commonly used, machine-readable format and has the right to transmit that data to another controller.
Right to object (GDPR Article 21): The data subject has the right to object to processing of their personal data based on legitimate interest.
Withdrawal of consent (GDPR Article 7(3)): The data subject has the right to withdraw their consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.

To exercise your rights, please contact the controller at [email protected]. Requests will be fulfilled within 30 days.

8. Account Deletion — Data Erasure Procedure

Users may request account deletion at any time through the service settings or by emailing [email protected].

Execution Timeline

Account deletion is executed within 72 hours of receiving the request.

Erased Data — ALL personal data:

User profile (name, email, password hash)
Uploaded media files (images, videos)
Facebook/Instagram tokens — revoked via Meta API
Messenger bot history
AI generation history and settings
Scheduling and posting history
All other personal data and settings

Retained Data (exception)

Only issued invoices and the minimum data required for them (name, address, tax number) are retained for 8 years, in accordance with Section 169 of the Hungarian Accounting Act.

Archived billing data is stored with restricted, archived access
Used exclusively for accounting purposes
Accessible only by the service provider's accountant

9. Data Breach Management

In the event of a personal data breach, the controller acts as follows:

Supervisory authority notification (GDPR Article 33): The controller notifies the National Authority for Data Protection and Freedom of Information (NAIH) without undue delay, and where feasible, within 72 hours of becoming aware of the breach, unless the breach is unlikely to result in a risk to the rights and freedoms of natural persons.
Data subject notification (GDPR Article 34): Where a personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller communicates the breach to the data subject without undue delay.

10. Legal Remedies

In the event of a violation of their rights, data subjects may avail themselves of the following remedies:

Complaint to the Supervisory Authority

Authority	National Authority for Data Protection and Freedom of Information (NAIH)
Address	1055 Budapest, Falk Miksa u. 9-11., Hungary
Website	naih.hu
Email	[email protected]

Judicial Remedy

Data subjects may also bring proceedings before a court in case of violation of their rights. Proceedings may be brought before the court of the data subject's place of residence or domicile.

11. Effective Date

This Privacy Policy becomes effective on 20 March 2026.

The controller reserves the right to unilaterally amend this policy. Data subjects will be notified of any changes through the service.