Adatvédelmi tájékoztató

Az adatkezelő a spire szolgáltatás üzemeltetője, Reizner Szilárd egyéni vállalkozó. Teljes azonosító adatok (székhely, nyilvántartási szám, adószám, képviselő) az Impresszumban érhetők el.

Kapcsolat adatvédelmi ügyekben

hello@spire.hu

Adatvédelmi tisztviselő (DPO)

Kijelölésére nem vagyunk kötelesek (GDPR 37. cikk), az adatvédelmi kérdéseket közvetlenül az adatkezelő kezeli.

A szolgáltatás igénybevételéhez az alábbi adatokat kezeljük:

Fiókadatok

Név, email cím, jelszó (kizárólag egyirányú kriptográfiai lenyomatként, bcrypt 12-es költségszinten tárolva), valamint — opcionálisan, a felhasználó által megadva — profilkép (avatar) és munkakör. Ha a felhasználó bekapcsolja a kétlépcsős hitelesítést (2FA), a TOTP titkos kulcs titkosítva, a biztonsági helyreállító kódok pedig egyirányú lenyomatként tárolódnak.

Google belépés (OAuth)

Ha a felhasználó Google fiókkal lép be, a Google LLC az általa kezelt profiladatokból átadja: név, email cím, profilkép URL (ha van), Google fiók egyedi azonosítója. A jelszó nem kerül hozzánk.

Munkaterület tartalom

A felhasználók által létrehozott projektek, projekt-szekciók, feladatok és alfeladatok, csapatok, ciklusok, címkék, egyedi mezők, kommentek és azok emoji-reakciói, fájlcsatolmányok, feladat-függőségek, feladat-előzmények (history), webhookok és kedvencek. A szolgáltatás természetéből adódóan ezek személyes adatokat is tartalmazhatnak, amennyiben a felhasználó ilyeneket rögzít.

Session és azonosítás

JWT alapú hozzáférési token (15 perces élettartam) és frissítő token (7 napos élettartam, rotációval) — a böngésző localStorage-ában tárolva, Authorization: Bearer fejléccel küldve minden API kéréshez. A hozzáférési token HttpOnly cookie-ban is tükrözve van a szerver-oldali renderelés (SSR) autentikációhoz, de mutation műveleteket kizárólag a Bearer-fejléc végez. A fiókbiztonsági oldalon a felhasználó megtekintheti az utolsó 50 belépésének időbélyegét, böngésző / OS ujjlenyomatát, IP címét és az abból származtatott hozzávetőleges helymeghatározást.

Technikai adatok

IP cím, User-Agent (böngésző és operációs rendszer típusa), hivatkozó oldal, kérés időbélyege. Szerverlogból kerülnek rögzítésre. Bejelentkezéskor az IP címet továbbítjuk az IPinfo szolgáltatáshoz hozzávetőleges helymeghatározás (város, ország) lekérdezése céljából — ezt a fiókbiztonsági oldalon jelenítjük meg.

Audit napló

A munkaterületen végzett fontosabb műveletek ki / mikor / mit / honnan (IP) információi. Célja a szolgáltatás integritásának biztosítása és a felhasználó későbbi hozzáférés- vizsgálatra vonatkozó igényeinek kiszolgálása.

API tokenek

A felhasználó által programozott hozzáféréshez létrehozott autentikációs tokenek metaadatai: név, előtag (prefix), jogosultsági scope-ok, opcionális lejárati dátum, utolsó használat időbélyege. Maga a token értéke kizárólag egyirányú kriptográfiai lenyomatként (hash) tárolódik.

Kiküldött meghívások

A felhasználó által meghívott harmadik személy email címe és a meghívott szerepkör (member / admin / guest), a meghívás státusza és érvényességének lejárata (legfeljebb 7 nap).

Alkalmazáson belüli értesítések

A felhasználónak kiküldött in-app értesítések rekordjai: típus (pl. hozzárendelés, új komment, státuszváltozás), a kapcsolódó entitás azonosítója, olvasottsági állapot, létrehozás időbélyege.

Felhasználói beállítások

A felületi nyelv (magyar / angol) és az időzóna, amelyet a felhasználó a profilbeállításokban választhat.

Munkaterület beállítások

Az adott munkaterület időzónája (a dátumok és az AI Gyors Rögzítés referenciája), pénzneme (HUF / EUR / USD), logója és egyéb metaadatai, amelyeket a munkaterület tulajdonosa (owner) vagy adminja állíthat.

Értesítési beállítások

Email- és alkalmazáson belüli értesítések be- és kikapcsolása eseménytípusonként (pl. hozzárendelés, komment, státuszváltozás, meghívó).

AI Gyors Rögzítés bemenete

A felhasználó által szöveges vagy (böngésző Web Speech API-n keresztül) hanggal megadott szabadszöveg, amelyből strukturált feladat generálódik. Az AI szolgáltatónak (lásd 6. szakasz) átküldjük emellett a munkaterület többi tagjának nevét és email címét, valamint a projektek listáját is — név-egyeztetés és projekt-hozzárendelés céljából. A felhasználó a generált feladatot véglegesítés előtt manuálisan szerkesztheti vagy elvetheti.

Hibajelentési adatok

Kliens- és szerveroldali futásidejű hibák esetén a stack trace, a felhasználó belső azonosítója (nem email), a böngésző és operációs rendszer típusa, valamint a hiba előtti néhány felhasználói művelet leírása (breadcrumb). Hiba esetén a kliensoldalon Session Replay is aktiválódik — a hibát megelőző néhány másodperc DOM-változásai, kattintásai és navigációja rögzítésre kerül. A szöveges beviteli mezők tartalma alapértelmezetten maszkolva kerül továbbításra; a képernyőn megjelenített szövegek (pl. feladat-címek, kommentek) azonban rögzülhetnek. Email cím és jelszó nem kerül továbbításra.

Az adatkezelés céljait és jogalapjait az alábbi táblázat mutatja be. A GDPR 6. cikk (1) bekezdésének betűjele a jogalap típusát azonosítja.

Fiók létrehozása, belépés

Cél: a szolgáltatás igénybevételének biztosítása. Jogalap: szerződés teljesítése (6.§ 1. b), a felhasználó kérésére történő előzetes lépések.

Munkaterület tartalom tárolása

Cél: a szolgáltatás alapvető működése (feladatkezelés). Jogalap: szerződés teljesítése (6.§ 1. b).

Tranzakciós email (regisztráció, jelszó-reset, értesítések, meghívók)

Cél: a felhasználó értesítése a fiókját vagy munkaterületét érintő eseményekről. Jogalap: szerződés teljesítése (6.§ 1. b). Marketing célú emailt jelenleg nem küldünk.

AI Gyors Rögzítés

Cél: a felhasználó által kezdeményezett szöveg-értelmezés és feladat-generálás. Jogalap: szerződés teljesítése (6.§ 1. b) — a funkciót kifejezetten a felhasználó indítja el.

Audit napló, hibajelentés, szerverlog

Cél: a szolgáltatás biztonságos működésének fenntartása, visszaélések megelőzése, hibaelhárítás. Jogalap: az adatkezelő jogos érdeke (6.§ 1. f) — a felhasználó és az adatkezelő közös érdeke, hogy a szolgáltatás biztonságos és stabil legyen.

Számviteli bizonylatok

A szolgáltatás jelenlegi béta fázisában díjfizetés nem történik, így számviteli bizonylatot sem állítunk ki. A fizetős üzemmód bevezetésekor a számlázáshoz kapcsolódó adatkezelési jogalapként a számvitelről szóló 2000. évi C. törvény szerinti jogi kötelezettség teljesítése (GDPR 6.§ 1. c) fog szolgálni, a bizonylatok megőrzése 8 év.

Fiók- és munkaterület adatok

A fiók / munkaterület törléséig. Törlés kezdeményezése után a felhasználói profil anonimizálásra kerül; a munkaterület tartalom a munkaterület-tulajdonosi adminisztratív döntés szerint megsemmisül vagy átruházódik.

Adatbázis biztonsági mentések

Napi rendszerességgel, automatikusan készített teljes adatbázis-dump, 7 napig visszaállítható formában. 7 nap elteltével a régi mentések automatikusan törlődnek.

Audit napló

A csomagtól függően 30 nap / 90 nap / 1 év (lásd Árazás).

Hibajelentések

Legfeljebb 90 napig (Sentry alapértelmezett retention).

Szerverlogok

30 nap.

AI prompt adatok

Szerveroldalon nem kerülnek tartós tárolásra — csak a válasz előállításához szükséges átmeneti időre. Az AI szolgáltató saját megőrzési politikája irányadó (lásd 6. szakasz).

A GDPR 15–22. cikkei alapján a felhasználót az alábbi jogok illetik meg, amelyek gyakorlásáért díj nem számítható fel (kivéve megalapozatlan vagy ismétlődő kérelem esetén). A kérelmekre legfeljebb 30 napon belül válaszolunk.

• Tájékoztatás (13–14. cikk) — jelen dokumentum ezt biztosítja.
• Hozzáférés (15. cikk) — másolat kérése a kezelt adatokról.
• Helyesbítés (16. cikk) — pontatlan adatok javítása közvetlenül a fiókbeállításokban.
• Törlés, „elfeledtetéshez való jog” (17. cikk) — önkiszolgálóan a Beállítások → Biztonság oldalon.
• Korlátozás (18. cikk) — kifogás vagy vitás adat esetén email útján kérhető.
• Adathordozhatóság (20. cikk) — teljes körű JSON export önkiszolgálóan, Beállítások → Biztonság oldalon.
• Tiltakozás (21. cikk) — jogos érdeken alapuló adatkezelés ellen email útján.
• Hozzájárulás visszavonása (7. cikk (3)) — ahol az adatkezelés hozzájáruláson alapul, bármikor visszavonható.

Adatvédelmi kérések: hello@spire.hu. A saját adatok exportja és a fiók törlése önkiszolgálóan is elérhető bejelentkezés után a Beállítások → Biztonság oldalon.

A szolgáltatás nyújtása érdekében az alábbi harmadik fél adatfeldolgozókat vesszük igénybe. Velük GDPR 28. cikk szerinti adatfeldolgozói szerződés van érvényben.

A spire nem végez a GDPR 22. cikke szerinti automatizált döntéshozatalt vagy profilalkotást, amely az érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Az AI Gyors Rögzítés eredménye kizárólag javaslat, amelyet a felhasználó mindig manuálisan megerősít vagy módosít a feladat véglegesítése előtt.

• Titkosítás átvitel közben: HTTPS/TLS kötelező minden API- és webes végponton.
• Jelszótárolás: bcrypt, 12-es költségszinttel. A jelszó nyílt szöveges változata soha nem kerül tárolásra és nem jelenik meg naplókban.
• Munkaterület-izoláció: minden adatbázis- lekérdezés szigorú tenant szűréssel történik; cross-workspace hozzáférés middleware szinten és integrációs tesztekkel is ellenőrzött.
• Session-biztonság: rövid élettartamú JWT access token (15 perc) Bearer-fejléccel küldve, 7 napos rotált refresh tokennel; minden refresh használatnál új token generálódik, a régi invalidálódik. Kijelentkezéskor és jelszómódosításkor a kiadott tokenek szerveroldali blacklist-re kerülnek.
• 2FA: választható kétlépcsős hitelesítés (TOTP) a fiókbeállításokban.
• Naplózás: minden érdemi művelet auditálva, jogosulatlan hozzáférési kísérletek figyelve.
• Fizikai biztonság: Hetzner nürnbergi adatközpont ISO/IEC 27001 tanúsítvánnyal.
• Biztonsági mentés: napi rendszerességgel a Hetzner tárhelyen, 7 napos megőrzéssel. Földrajzilag elkülönített offsite backup bevezetése a szolgáltatás növekedésével tervezett.

A szolgáltatás jelenleg kizárólag a működéshez feltétlenül szükséges sütiket használja (bejelentkezési session, nyelvi / sötét mód preferencia). Nyomkövető vagy marketing célú sütiket nem alkalmazunk. Részletes lista: Cookie tájékoztató.

A felhasználó panaszát elsősorban az adatkezelőhöz (hello@spire.hu) nyújthatja be. Ha az adatkezelés vonatkozásában úgy ítéli meg, hogy jogai sérülnek, a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) panaszt tehet:

NAIH

1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 1 391 1400
Email: ugyfelszolgalat@naih.hu
Weboldal: naih.hu

A felhasználó emellett bírósághoz is fordulhat. A pert — választása szerint — a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindíthatja (GDPR 79. cikk, Infotv. 23. §).

A jelen tájékoztatót az adatkezelő jogosult egyoldalúan módosítani, ha a szolgáltatás vagy a jogszabályi környezet változása ezt indokolja. Lényeges módosításról a felhasználót előzetesen, email üzenetben vagy az alkalmazáson belüli értesítésben tájékoztatjuk. A hatályba lépés napja a tájékoztató alján szerepel.