Adatkezelési Tájékoztató
Hatályos: 2026. március 20.
1. Bevezetés
Jelen adatkezelési tájékoztató célja, hogy az érintetteket tájékoztassa a GhostlyPost szolgáltatáshoz kapcsolódó személyes adatok kezelésének módjáról, céljáról, jogalapjáról, időtartamáról, valamint az érintettek jogairól.
Az adatkezelő megnevezése és elérhetőségei
| Megnevezés | Hajas Gábor EV (egyéni vállalkozó) |
|---|
| Székhely | 2040 Budaörs, Liliom u. 18. |
|---|
| Adószám | [kitöltés alatt] |
|---|
| Email | [email protected] |
|---|
| Weboldal | ghostlypost.com / ghostlypost.hu |
|---|
Hivatkozott jogszabályok
- GDPR — Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról
- Infotv. — 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
- Számviteli tv. — 2000. évi C. törvény a számvitelről
2. Fogalmak
A GDPR 4. cikke alapján az alábbi fogalmak irányadók:
- Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító (például név, szám, helymeghatározó adat, online azonosító) alapján azonosítható.
- Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
- Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
- Érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy.
- Hozzájárulás: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
- Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége (pl. gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás, lekérdezés, betekintés, felhasználás, közlés, törlés, megsemmisítés).
3. Adatkezelések részletezése
a) Regisztráció és fiókkezelés
| Kezelt adatok | Név, email cím, jelszó (hash-elve), regisztráció dátuma |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése |
|---|
| Megőrzési idő | A fiók törléséig; törlés után azonnali megsemmisítés |
|---|
| Cél | A szolgáltatás nyújtásához szükséges felhasználói fiók létrehozása és kezelése |
|---|
b) Számlázási adatok
| Kezelt adatok | Név/cégnév, adószám, számlázási cím, fizetési tranzakciók adatai |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés c) pont — jogi kötelezettség (Számviteli tv. 169. §) |
|---|
| Megőrzési idő | 8 év a számla kiállításától számítva, korlátozott hozzáféréssel, archív státuszban |
|---|
| Cél | Jogszabályi kötelezettségek teljesítése (számlakibocsátás, adóbevallás) |
|---|
c) Social media integráció (Meta/Facebook)
| Kezelt adatok | Facebook User ID, Page ID, Page Access Token, Facebook oldal neve |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése; és 6. cikk (1) bekezdés a) pont — hozzájárulás (OAuth engedélyezés) |
|---|
| Megőrzési idő | Fiók törlésekor azonnali törlés + token revoke a Meta API-n keresztül |
|---|
| Cél | A felhasználó Facebook/Instagram oldalára történő automatikus posztolás |
|---|
d) Médiafájlok
| Kezelt adatok | Feltöltött képek, videók (felhasználó által) |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése |
|---|
| Megőrzési idő | Fiók törlésekor teljes és végleges törlés |
|---|
| Cél | A social media posztokhoz szükséges vizuális tartalmak tárolása és továbbítása |
|---|
e) AI tartalom generálás (Google Gemini)
| Kezelt adatok | Iparág neve, fókusz tematikák, generált caption szövegek (általában nem tartalmaz személyes adatot) |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése |
|---|
| Almegbízott | Google Ireland Ltd. (EU-US DPF + SCCs) |
|---|
| Megőrzési idő | Fiók törlésekor azonnali törlés |
|---|
| Cél | AI-alapú szöveges tartalom (caption) generálása a felhasználó social media posztjaihoz |
|---|
Fontos: A szolgáltatás fizetős API-t (Vertex AI / Google Cloud) használ. Az adatok NEM kerülnek felhasználásra AI modell tanítására.
f) Messenger bot kommunikáció
| Kezelt adatok | Messenger user ID, üzenetek (parancsok), küldött médiatartalmak |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése |
|---|
| Megőrzési idő | Fiók törlésekor azonnali törlés |
|---|
| Cél | A Messenger-alapú posztolási és vezérlési funkciók biztosítása |
|---|
g) Email küldés (Brevo)
| Kezelt adatok | Email cím, név |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés b) pont — tranzakciós emailek (pl. jelszó-visszaállítás, értesítések); GDPR 6. cikk (1) bekezdés a) pont — hozzájárulás (marketing emailek) |
|---|
| Megőrzési idő | Fiók törlésekor törlés; marketing hozzájárulás visszavonása esetén azonnali törlés a marketing listáról |
|---|
| Cél | Szolgáltatáshoz kapcsolódó tranzakciós és marketing kommunikáció |
|---|
h) Érdeklődő (lead) form
| Kezelt adatok | Név, email cím, telefonszám (opcionális), érdeklődés csomagja, üzenet szövege |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés a) pont — hozzájárulás |
|---|
| Megőrzési idő | 1 év, vagy az érintett kérésére azonnal töröljük |
|---|
| Cél | Érdeklődő megkeresések kezelése, ajánlatkérés feldolgozása |
|---|
i) Naplózás és biztonság
| Kezelt adatok | IP cím, bejelentkezési idő, sikertelen bejelentkezési kísérletek |
|---|
| Jogalap | GDPR 6. cikk (1) bekezdés f) pont — jogos érdek (a szolgáltatás biztonsága) |
|---|
| Megőrzési idő | 90 nap |
|---|
| Cél | A szolgáltatás biztonságának fenntartása, visszaélések megelőzése, jogellenes hozzáférési kísérletek észlelése |
|---|
4. Adatfeldolgozók (almegbízottak)
Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe a szolgáltatás nyújtásához:
| Adatfeldolgozó |
Székhely |
Tevékenység |
EU-n kívüli továbbítás |
Garanciák |
| Meta Platforms Ireland Ltd. |
Dublin, Írország |
Social media API |
Igen (US) |
EU-US DPF + SCCs |
| Google Ireland Ltd. |
Dublin, Írország |
AI tartalom generálás (Gemini) |
Igen (US) |
EU-US DPF + SCCs, Cloud DPA |
| Sendinblue SAS (Brevo) |
Párizs, Franciaország |
Email küldés |
EU szerverek |
DPA |
| Stripe Payments Europe Ltd. |
Dublin, Írország |
Fizetés feldolgozás |
Igen (US) |
EU-US DPF + SCCs |
| Octonull Kft. (Billingo) |
Budapest, Magyarország |
Számlázás |
Nincs |
Magyar jog |
5. Adattovábbítás harmadik országba
Egyes adatfeldolgozók (Meta, Google, Stripe) az Egyesült Államokban működő anyavállalataikon keresztül kezelhetnek személyes adatokat. Az adattovábbítás kizárólag megfelelő garanciák mellett történik, a GDPR 46. cikkének megfelelően:
- EU-US Data Privacy Framework (DPF): Az Európai Bizottság 2023. júliusi megfelelőségi határozata alapján az EU-US DPF keretében tanúsított szervezeteknek történő adattovábbítás megfelelő védelmet biztosít.
- Standard Contractual Clauses (SCCs): Az Európai Bizottság által elfogadott általános szerződési feltételek kiegészítő garanciát nyújtanak az adattovábbításhoz.
Az adatkezelő folyamatosan figyelemmel kíséri a harmadik országba történő adattovábbítás jogszabályi kereteit, és szükség esetén haladéktalanul megteszi a szükséges intézkedéseket az érintettek jogainak védelme érdekében.
6. Cookie-k (sütik)
A GhostlyPost landing oldal (ghostlypost.com / ghostlypost.hu) jelenleg nem használ analytics cookie-kat.
- Session cookie: A webalkalmazás működéséhez elengedhetetlen technikai süti. Jogalap: GDPR 6. cikk (1) bekezdés f) pont — jogos érdek (a szolgáltatás működőképessége). Lejárat: a munkamenet végén.
Amennyiben a jövőben analytics vagy marketing cookie-k bevezetésre kerülnek, az érintettek előzetes, önkéntes hozzájárulása szükséges (GDPR 6. cikk (1) bekezdés a) pont), amelyet egy cookie banner biztosít.
7. Az érintett jogai
Az érintett az alábbi jogokkal élhet személyes adatainak kezelésével kapcsolatban:
- Hozzáférés joga (GDPR 15. cikk): Az érintett jogosult arra, hogy visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult a személyes adatokhoz és az azok kezelésével kapcsolatos információkhoz hozzáférést kapni.
- Helyesbítés joga (GDPR 16. cikk): Az érintett jogosult a pontatlan személyes adatok helyesbítését és a hiányos adatok kiegészítését kérni.
- Törlés joga (GDPR 17. cikk): Az érintett jogosult kérni személyes adatainak törlését. Fiók törlésekor MINDEN személyes adat azonnal törlődik, KIVÉVE a számviteli törvény által előírt kötelezően megőrzött számlázási adatokat (név, cím, adószám), amelyek 8 évig korlátozott, archív hozzáféréssel megőrzésre kerülnek.
- Korlátozás joga (GDPR 18. cikk): Az érintett jogosult kérni az adatkezelés korlátozását meghatározott feltételek fennállása esetén.
- Adathordozhatóság joga (GDPR 20. cikk): Az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és jogosult ezeket az adatokat egy másik adatkezelőnek továbbítani.
- Tiltakozás joga (GDPR 21. cikk): Az érintett jogosult tiltakozni személyes adatainak jogos érdeken alapuló kezelése ellen.
- Hozzájárulás visszavonása (GDPR 7. cikk (3) bekezdés): Az érintett a hozzájárulását bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét.
Joggyakorláshoz kérjük, vegye fel a kapcsolatot az adatkezelővel a [email protected] email címen. A kérelmeket legfeljebb 30 napon belül teljesítjük.
8. Fiók törlése — adattörlési eljárás
A felhasználó bármikor kérheti fiókja törlését a szolgáltatás beállításaiban vagy a [email protected] email címen.
Törlés végrehajtása
A törlési kérelem beérkezésétől számított 72 órán belül végrehajtjuk.
Törölt adatok — MINDEN személyes adat:
- Felhasználói profil (név, email, jelszó hash)
- Feltöltött médiafájlok (képek, videók)
- Facebook/Instagram tokenek — revoke a Meta API-n keresztül
- Messenger bot előzmények
- AI generálási előzmények és beállítások
- Ütemezési és posztolási előzmények
- Az összes egyéb személyes adat és beállítás
Megőrzött adatok (kivétel)
Kizárólag a már kiállított számlák és az azokhoz szükséges minimális adat (név, cím, adószám) kerül megőrzésre 8 évig, a Számviteli törvény 169. § alapján.
- Az archivált számlázási adatok korlátozott, archív hozzáféréssel kerülnek tárolásra
- Kizárólag számviteli célra használhatók
- Az archivált adatokhoz kizárólag a szolgáltató könyvelője fér hozzá
9. Adatvédelmi incidens kezelése
Adatvédelmi incidens esetén az adatkezelő az alábbiak szerint jár el:
- NAIH értesítés (GDPR 33. cikk): Az adatkezelő az adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb 72 órán belül bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett természetes személyek jogaira és szabadságaira nézve.
- Érintettek értesítése (GDPR 34. cikk): Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
10. Jogorvoslati lehetőségek
Az érintett jogainak megsértése esetén az alábbi jogorvoslati lehetőségekkel élhet:
Panasz a felügyeleti hatóságnál
| Hatóság | Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) |
|---|
| Cím | 1055 Budapest, Falk Miksa u. 9-11. |
|---|
| Weboldal | naih.hu |
|---|
| Email | [email protected] |
|---|
Bírósági jogorvoslat
Az érintett a jogainak megsértése esetén bírósághoz is fordulhat. A per az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
11. Hatályba lépés
Jelen adatkezelési tájékoztató 2026. március 20-án lép hatályba.
Az adatkezelő fenntartja a jogot, hogy a jelen tájékoztatót egyoldalúan módosítsa. A módosításokról az érintetteket a szolgáltatáson keresztül értesíti.
Privacy Policy
Effective: 20 March 2026
1. Introduction
This Privacy Policy aims to inform data subjects about the methods, purposes, legal bases, and duration of processing of personal data in connection with the GhostlyPost service, as well as the rights of data subjects.
Data Controller
| Name | Hajas Gábor EV (sole proprietor) |
|---|
| Registered seat | 2040 Budaörs, Liliom u. 18., Hungary |
|---|
| Tax number | [to be filled] |
|---|
| Email | [email protected] |
|---|
| Website | ghostlypost.com / ghostlypost.hu |
|---|
Applicable Legislation
- GDPR — Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data
- Infotv. — Act CXII of 2011 on Informational Self-Determination and Freedom of Information (Hungarian national law)
- Accounting Act — Act C of 2000 on Accounting (Hungarian national law)
2. Definitions
The following definitions apply in accordance with Article 4 of the GDPR:
- Personal data: any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier.
- Controller: the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
- Processor: a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
- Data subject: any identified or identifiable natural person whose personal data is processed.
- Consent: any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.
- Processing: any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation, retrieval, consultation, use, disclosure, erasure or destruction.
3. Data Processing Activities
a) Registration and Account Management
| Data processed | Name, email address, password (hashed), registration date |
|---|
| Legal basis | GDPR Article 6(1)(b) — performance of a contract |
|---|
| Retention | Until account deletion; immediate erasure upon deletion |
|---|
| Purpose | Creation and management of user accounts necessary for providing the service |
|---|
b) Billing Data
| Data processed | Name/company name, tax number, billing address, payment transaction data |
|---|
| Legal basis | GDPR Article 6(1)(c) — legal obligation (Hungarian Accounting Act, Section 169) |
|---|
| Retention | 8 years from invoice issuance, with restricted access in archived status |
|---|
| Purpose | Fulfillment of legal obligations (invoicing, tax reporting) |
|---|
c) Social Media Integration (Meta/Facebook)
| Data processed | Facebook User ID, Page ID, Page Access Token, Facebook page name |
|---|
| Legal basis | GDPR Article 6(1)(b) — performance of a contract; and Article 6(1)(a) — consent (OAuth authorization) |
|---|
| Retention | Immediate deletion upon account deletion + token revocation via Meta API |
|---|
| Purpose | Automated posting to the user's Facebook/Instagram pages |
|---|
d) Media Files
| Data processed | Uploaded images, videos (by the user) |
|---|
| Legal basis | GDPR Article 6(1)(b) — performance of a contract |
|---|
| Retention | Complete and permanent deletion upon account deletion |
|---|
| Purpose | Storage and transmission of visual content for social media posts |
|---|
e) AI Content Generation (Google Gemini)
| Data processed | Industry name, focus topics, generated caption texts (typically does not contain personal data) |
|---|
| Legal basis | GDPR Article 6(1)(b) — performance of a contract |
|---|
| Sub-processor | Google Ireland Ltd. (EU-US DPF + SCCs) |
|---|
| Retention | Immediate deletion upon account deletion |
|---|
| Purpose | AI-based text content (caption) generation for the user's social media posts |
|---|
Important: The service uses a paid API (Vertex AI / Google Cloud). The data is NOT used for AI model training.
f) Messenger Bot Communication
| Data processed | Messenger user ID, messages (commands), sent media content |
|---|
| Legal basis | GDPR Article 6(1)(b) — performance of a contract |
|---|
| Retention | Immediate deletion upon account deletion |
|---|
| Purpose | Providing Messenger-based posting and control features |
|---|
g) Email Sending (Brevo)
| Data processed | Email address, name |
|---|
| Legal basis | GDPR Article 6(1)(b) — transactional emails (e.g., password reset, notifications); GDPR Article 6(1)(a) — consent (marketing emails) |
|---|
| Retention | Deletion upon account deletion; immediate removal from marketing list upon withdrawal of consent |
|---|
| Purpose | Transactional and marketing communications related to the service |
|---|
h) Lead Form
| Data processed | Name, email address, phone number (optional), package of interest, message text |
|---|
| Legal basis | GDPR Article 6(1)(a) — consent |
|---|
| Retention | 1 year, or immediately upon the data subject's request |
|---|
| Purpose | Handling inquiries and processing quote requests |
|---|
i) Logging and Security
| Data processed | IP address, login time, failed login attempts |
|---|
| Legal basis | GDPR Article 6(1)(f) — legitimate interest (service security) |
|---|
| Retention | 90 days |
|---|
| Purpose | Maintaining service security, preventing abuse, detecting unauthorized access attempts |
|---|
4. Data Processors (Sub-processors)
The controller engages the following data processors to provide the service:
| Processor |
Registered seat |
Activity |
Transfer outside EU |
Safeguards |
| Meta Platforms Ireland Ltd. |
Dublin, Ireland |
Social media API |
Yes (US) |
EU-US DPF + SCCs |
| Google Ireland Ltd. |
Dublin, Ireland |
AI content generation (Gemini) |
Yes (US) |
EU-US DPF + SCCs, Cloud DPA |
| Sendinblue SAS (Brevo) |
Paris, France |
Email delivery |
EU servers |
DPA |
| Stripe Payments Europe Ltd. |
Dublin, Ireland |
Payment processing |
Yes (US) |
EU-US DPF + SCCs |
| Octonull Kft. (Billingo) |
Budapest, Hungary |
Invoicing |
None |
Hungarian law |
5. International Data Transfers
Certain data processors (Meta, Google, Stripe) may process personal data through their parent companies operating in the United States. Data transfers are carried out exclusively with appropriate safeguards in accordance with Article 46 of the GDPR:
- EU-US Data Privacy Framework (DPF): Based on the European Commission's July 2023 adequacy decision, data transfers to organizations certified under the EU-US DPF provide adequate protection.
- Standard Contractual Clauses (SCCs): The standard contractual clauses adopted by the European Commission provide supplementary safeguards for data transfers.
The controller continuously monitors the legal framework governing international data transfers and takes immediate action when necessary to protect the rights of data subjects.
6. Cookies
The GhostlyPost landing page (ghostlypost.com / ghostlypost.hu) currently does not use analytics cookies.
- Session cookie: An essential technical cookie required for the operation of the web application. Legal basis: GDPR Article 6(1)(f) — legitimate interest (service functionality). Expiry: end of session.
If analytics or marketing cookies are introduced in the future, prior voluntary consent of data subjects will be required (GDPR Article 6(1)(a)), provided through a cookie consent banner.
7. Data Subject Rights
Data subjects may exercise the following rights regarding the processing of their personal data:
- Right of access (GDPR Article 15): The data subject has the right to obtain confirmation as to whether personal data concerning them is being processed and, where that is the case, access to the personal data and related information.
- Right to rectification (GDPR Article 16): The data subject has the right to obtain the rectification of inaccurate personal data and the completion of incomplete data.
- Right to erasure (GDPR Article 17): The data subject has the right to obtain the erasure of their personal data. Upon account deletion, ALL personal data is immediately erased, EXCEPT billing data required to be retained under the Accounting Act (name, address, tax number), which is retained for 8 years with restricted, archived access.
- Right to restriction (GDPR Article 18): The data subject has the right to obtain restriction of processing under certain conditions.
- Right to data portability (GDPR Article 20): The data subject has the right to receive their personal data in a structured, commonly used, machine-readable format and has the right to transmit that data to another controller.
- Right to object (GDPR Article 21): The data subject has the right to object to processing of their personal data based on legitimate interest.
- Withdrawal of consent (GDPR Article 7(3)): The data subject has the right to withdraw their consent at any time. Withdrawal does not affect the lawfulness of processing based on consent before its withdrawal.
To exercise your rights, please contact the controller at [email protected]. Requests will be fulfilled within 30 days.
8. Account Deletion — Data Erasure Procedure
Users may request account deletion at any time through the service settings or by emailing [email protected].
Execution Timeline
Account deletion is executed within 72 hours of receiving the request.
Erased Data — ALL personal data:
- User profile (name, email, password hash)
- Uploaded media files (images, videos)
- Facebook/Instagram tokens — revoked via Meta API
- Messenger bot history
- AI generation history and settings
- Scheduling and posting history
- All other personal data and settings
Retained Data (exception)
Only issued invoices and the minimum data required for them (name, address, tax number) are retained for 8 years, in accordance with Section 169 of the Hungarian Accounting Act.
- Archived billing data is stored with restricted, archived access
- Used exclusively for accounting purposes
- Accessible only by the service provider's accountant
9. Data Breach Management
In the event of a personal data breach, the controller acts as follows:
- Supervisory authority notification (GDPR Article 33): The controller notifies the National Authority for Data Protection and Freedom of Information (NAIH) without undue delay, and where feasible, within 72 hours of becoming aware of the breach, unless the breach is unlikely to result in a risk to the rights and freedoms of natural persons.
- Data subject notification (GDPR Article 34): Where a personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller communicates the breach to the data subject without undue delay.
10. Legal Remedies
In the event of a violation of their rights, data subjects may avail themselves of the following remedies:
Complaint to the Supervisory Authority
| Authority | National Authority for Data Protection and Freedom of Information (NAIH) |
|---|
| Address | 1055 Budapest, Falk Miksa u. 9-11., Hungary |
|---|
| Website | naih.hu |
|---|
| Email | [email protected] |
|---|
Judicial Remedy
Data subjects may also bring proceedings before a court in case of violation of their rights. Proceedings may be brought before the court of the data subject's place of residence or domicile.
11. Effective Date
This Privacy Policy becomes effective on 20 March 2026.
The controller reserves the right to unilaterally amend this policy. Data subjects will be notified of any changes through the service.
Datenschutzerklärung
Gültig ab: 20. März 2026
1. Einleitung
Diese Datenschutzerklärung dient dazu, betroffene Personen über die Methoden, Zwecke, Rechtsgrundlagen und die Dauer der Verarbeitung personenbezogener Daten im Zusammenhang mit dem GhostlyPost-Dienst sowie über die Rechte der betroffenen Personen zu informieren.
Verantwortlicher
| Name | Hajas Gábor EV (Einzelunternehmer) |
|---|
| Sitz | 2040 Budaörs, Liliom u. 18., Ungarn |
|---|
| Steuernummer | [wird ergänzt] |
|---|
| E-Mail | [email protected] |
|---|
| Webseite | ghostlypost.com / ghostlypost.hu |
|---|
Anwendbare Rechtsvorschriften
- DSGVO — Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
- Infotv. — Gesetz CXII von 2011 über informationelle Selbstbestimmung und Informationsfreiheit (ungarisches nationales Recht)
- Rechnungslegungsgesetz — Gesetz C von 2000 über die Rechnungslegung (ungarisches nationales Recht)
2. Begriffsbestimmungen
Es gelten die folgenden Begriffsbestimmungen gemäß Artikel 4 der DSGVO:
- Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung identifiziert werden kann.
- Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Betroffene Person: jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
- Einwilligung: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person, mit der sie durch eine Erklärung oder eine sonstige eindeutig bestätigende Handlung zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
- Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, das Löschen oder die Vernichtung.
3. Datenverarbeitungstätigkeiten
a) Registrierung und Kontoverwaltung
| Verarbeitete Daten | Name, E-Mail-Adresse, Passwort (gehasht), Registrierungsdatum |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
|---|
| Speicherdauer | Bis zur Kontolöschung; sofortige Löschung bei Kontolöschung |
|---|
| Zweck | Erstellung und Verwaltung von Benutzerkonten, die für die Diensterbringung erforderlich sind |
|---|
b) Abrechnungsdaten
| Verarbeitete Daten | Name/Firmenname, Steuernummer, Rechnungsadresse, Zahlungstransaktionsdaten |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (Ungarisches Rechnungslegungsgesetz, § 169) |
|---|
| Speicherdauer | 8 Jahre ab Rechnungsausstellung, mit eingeschränktem Zugang im Archivstatus |
|---|
| Zweck | Erfüllung gesetzlicher Pflichten (Rechnungsstellung, Steuererklärung) |
|---|
c) Social-Media-Integration (Meta/Facebook)
| Verarbeitete Daten | Facebook-Benutzer-ID, Seiten-ID, Seitenzugriffstoken, Facebook-Seitenname |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung; und Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (OAuth-Autorisierung) |
|---|
| Speicherdauer | Sofortige Löschung bei Kontolöschung + Token-Widerruf über die Meta-API |
|---|
| Zweck | Automatische Veröffentlichung auf den Facebook/Instagram-Seiten des Nutzers |
|---|
d) Mediendateien
| Verarbeitete Daten | Hochgeladene Bilder, Videos (durch den Nutzer) |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
|---|
| Speicherdauer | Vollständige und endgültige Löschung bei Kontolöschung |
|---|
| Zweck | Speicherung und Übermittlung visueller Inhalte für Social-Media-Beiträge |
|---|
e) KI-Inhaltsgenerierung (Google Gemini)
| Verarbeitete Daten | Branchenname, Fokusthemen, generierte Bildunterschriften (enthalten in der Regel keine personenbezogenen Daten) |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
|---|
| Unterauftragnehmer | Google Ireland Ltd. (EU-US DPF + SCCs) |
|---|
| Speicherdauer | Sofortige Löschung bei Kontolöschung |
|---|
| Zweck | KI-basierte Generierung von Textinhalten (Bildunterschriften) für die Social-Media-Beiträge des Nutzers |
|---|
Wichtig: Der Dienst verwendet eine kostenpflichtige API (Vertex AI / Google Cloud). Die Daten werden NICHT für das Training von KI-Modellen verwendet.
f) Messenger-Bot-Kommunikation
| Verarbeitete Daten | Messenger-Benutzer-ID, Nachrichten (Befehle), gesendete Medieninhalte |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
|---|
| Speicherdauer | Sofortige Löschung bei Kontolöschung |
|---|
| Zweck | Bereitstellung von Messenger-basierten Veröffentlichungs- und Steuerungsfunktionen |
|---|
g) E-Mail-Versand (Brevo)
| Verarbeitete Daten | E-Mail-Adresse, Name |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — transaktionale E-Mails (z. B. Passwort-Zurücksetzung, Benachrichtigungen); Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Marketing-E-Mails) |
|---|
| Speicherdauer | Löschung bei Kontolöschung; sofortige Entfernung von der Marketingliste bei Widerruf der Einwilligung |
|---|
| Zweck | Transaktionale und Marketing-Kommunikation im Zusammenhang mit dem Dienst |
|---|
h) Kontaktformular (Lead-Formular)
| Verarbeitete Daten | Name, E-Mail-Adresse, Telefonnummer (optional), gewünschtes Paket, Nachrichtentext |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO — Einwilligung |
|---|
| Speicherdauer | 1 Jahr oder sofort auf Anfrage der betroffenen Person |
|---|
| Zweck | Bearbeitung von Anfragen und Angebotsanforderungen |
|---|
i) Protokollierung und Sicherheit
| Verarbeitete Daten | IP-Adresse, Anmeldezeit, fehlgeschlagene Anmeldeversuche |
|---|
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Dienstsicherheit) |
|---|
| Speicherdauer | 90 Tage |
|---|
| Zweck | Aufrechterhaltung der Dienstsicherheit, Missbrauchsprävention, Erkennung unbefugter Zugriffsversuche |
|---|
4. Auftragsverarbeiter (Unterauftragnehmer)
Der Verantwortliche setzt die folgenden Auftragsverarbeiter zur Erbringung des Dienstes ein:
| Auftragsverarbeiter |
Sitz |
Tätigkeit |
Übermittlung außerhalb der EU |
Garantien |
| Meta Platforms Ireland Ltd. |
Dublin, Irland |
Social-Media-API |
Ja (USA) |
EU-US DPF + SCCs |
| Google Ireland Ltd. |
Dublin, Irland |
KI-Inhaltsgenerierung (Gemini) |
Ja (USA) |
EU-US DPF + SCCs, Cloud DPA |
| Sendinblue SAS (Brevo) |
Paris, Frankreich |
E-Mail-Versand |
EU-Server |
DPA |
| Stripe Payments Europe Ltd. |
Dublin, Irland |
Zahlungsabwicklung |
Ja (USA) |
EU-US DPF + SCCs |
| Octonull Kft. (Billingo) |
Budapest, Ungarn |
Rechnungsstellung |
Keine |
Ungarisches Recht |
5. Internationale Datenübermittlung
Bestimmte Auftragsverarbeiter (Meta, Google, Stripe) können personenbezogene Daten über ihre in den Vereinigten Staaten ansässigen Muttergesellschaften verarbeiten. Datenübermittlungen erfolgen ausschließlich mit angemessenen Garantien gemäß Artikel 46 der DSGVO:
- EU-US-Datenschutzrahmen (DPF): Auf der Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom Juli 2023 bieten Datenübermittlungen an Organisationen, die im Rahmen des EU-US-DPF zertifiziert sind, ein angemessenes Schutzniveau.
- Standardvertragsklauseln (SCCs): Die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln bieten ergänzende Garantien für Datenübermittlungen.
Der Verantwortliche überwacht kontinuierlich den Rechtsrahmen für internationale Datenübermittlungen und ergreift bei Bedarf unverzüglich Maßnahmen zum Schutz der Rechte der betroffenen Personen.
6. Cookies
Die GhostlyPost-Landingpage (ghostlypost.com / ghostlypost.hu) verwendet derzeit keine Analyse-Cookies.
- Session-Cookie: Ein technisch notwendiges Cookie, das für den Betrieb der Webanwendung erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Funktionsfähigkeit des Dienstes). Ablauf: Ende der Sitzung.
Sollten in Zukunft Analyse- oder Marketing-Cookies eingeführt werden, ist die vorherige freiwillige Einwilligung der betroffenen Personen erforderlich (Art. 6 Abs. 1 lit. a DSGVO), die über ein Cookie-Consent-Banner eingeholt wird.
7. Rechte der betroffenen Person
Betroffene Personen können im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten folgende Rechte ausüben:
- Auskunftsrecht (Art. 15 DSGVO): Die betroffene Person hat das Recht, eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und gegebenenfalls Zugang zu den personenbezogenen Daten und den damit verbundenen Informationen zu erhalten.
- Recht auf Berichtigung (Art. 16 DSGVO): Die betroffene Person hat das Recht, die Berichtigung unrichtiger personenbezogener Daten und die Vervollständigung unvollständiger Daten zu verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Die betroffene Person hat das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Bei Kontolöschung werden ALLE personenbezogenen Daten sofort gelöscht, AUSGENOMMEN Abrechnungsdaten, die gemäß dem Rechnungslegungsgesetz aufzubewahren sind (Name, Adresse, Steuernummer), die 8 Jahre lang mit eingeschränktem, archiviertem Zugang aufbewahrt werden.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Die betroffene Person hat das Recht, die Einschränkung der Verarbeitung unter bestimmten Bedingungen zu verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.
- Widerspruchsrecht (Art. 21 DSGVO): Die betroffene Person hat das Recht, gegen die Verarbeitung ihrer personenbezogenen Daten auf der Grundlage berechtigter Interessen Widerspruch einzulegen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf der Einwilligung vor ihrem Widerruf beruht.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an den Verantwortlichen unter [email protected]. Anfragen werden innerhalb von 30 Tagen bearbeitet.
8. Kontolöschung — Datenlöschungsverfahren
Nutzer können jederzeit die Löschung ihres Kontos beantragen, entweder über die Diensteinstellungen oder per E-Mail an [email protected].
Durchführungszeitraum
Die Kontolöschung wird innerhalb von 72 Stunden nach Eingang des Antrags durchgeführt.
Gelöschte Daten — ALLE personenbezogenen Daten:
- Benutzerprofil (Name, E-Mail, Passwort-Hash)
- Hochgeladene Mediendateien (Bilder, Videos)
- Facebook/Instagram-Token — Widerruf über die Meta-API
- Messenger-Bot-Verlauf
- KI-Generierungsverlauf und Einstellungen
- Planungs- und Veröffentlichungsverlauf
- Alle sonstigen personenbezogenen Daten und Einstellungen
Aufbewahrte Daten (Ausnahme)
Lediglich ausgestellte Rechnungen und die dafür erforderlichen Mindestdaten (Name, Adresse, Steuernummer) werden für 8 Jahre aufbewahrt, gemäß § 169 des ungarischen Rechnungslegungsgesetzes.
- Archivierte Abrechnungsdaten werden mit eingeschränktem, archiviertem Zugang gespeichert
- Werden ausschließlich für Buchhaltungszwecke verwendet
- Zugänglich nur für den Buchhalter des Dienstanbieters
9. Verwaltung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten handelt der Verantwortliche wie folgt:
- Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Der Verantwortliche meldet die Datenschutzverletzung ohne unangemessene Verzögerung, möglichst innerhalb von 72 Stunden nach Bekanntwerden, an die Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH), es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
- Benachrichtigung der betroffenen Person (Art. 34 DSGVO): Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, teilt der Verantwortliche der betroffenen Person die Verletzung ohne unangemessene Verzögerung mit.
10. Rechtsbehelfe
Im Falle einer Verletzung ihrer Rechte können betroffene Personen die folgenden Rechtsbehelfe in Anspruch nehmen:
Beschwerde bei der Aufsichtsbehörde
| Behörde | Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) |
|---|
| Adresse | 1055 Budapest, Falk Miksa u. 9-11., Ungarn |
|---|
| Webseite | naih.hu |
|---|
| E-Mail | [email protected] |
|---|
Gerichtlicher Rechtsbehelf
Betroffene Personen können im Falle einer Verletzung ihrer Rechte auch vor Gericht klagen. Ein Verfahren kann vor dem Gericht am Wohnsitz oder gewöhnlichen Aufenthalt der betroffenen Person eingeleitet werden.
11. Inkrafttreten
Diese Datenschutzerklärung tritt am 20. März 2026 in Kraft.
Der Verantwortliche behält sich das Recht vor, diese Erklärung einseitig zu ändern. Die betroffenen Personen werden über Änderungen über den Dienst informiert.