Adatvédelmi tájékoztató
Hatályos: 2026. 07. 06.
1. Bevezetés
A jelen Adatvédelmi tájékoztató (a továbbiakban: „Tájékoztató") célja, hogy az Social Dream Group Kft. (a továbbiakban: „Adatkezelő" vagy „Társaság") által üzemeltetett studiozone.hu weboldal és a hozzá kapcsolódó foglalási rendszer, hírlevél, kapcsolatfelvételi űrlap és egyéb szolgáltatások használói (a továbbiakban: „Érintett" vagy „Felhasználó") részletes és átlátható tájékoztatást kapjanak személyes adataik kezeléséről.
Az Adatkezelő elkötelezett az Érintettek személyes adatainak védelme mellett, és különösen fontosnak tartja az információs önrendelkezési jog tiszteletben tartását.
Az adatkezelés a hatályos magyar és európai uniós jogszabályok rendelkezéseinek megfelelően történik, kiemelten:
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, „GDPR");
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról („Infotv.");
- 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások egyes kérdéseiről („Eker. tv.");
- 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről („Grtv.");
- 2007. évi CXXVII. törvény az általános forgalmi adóról („Áfa tv.");
- 2000. évi C. törvény a számvitelről („Számv. tv.");
- 2013. évi V. törvény a Polgári Törvénykönyvről („Ptk.").
2. Az Adatkezelő adatai
| Név | Social Dream Group Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság |
| Rövid név | Social Dream Group Kft. |
| Székhely | 2161 Csomád, Szent István utca 48. |
| Levelezési cím | 2161 Csomád, Szent István utca 48. |
| Cégjegyzékszám | 13-09-235210 |
| Adószám | 32606272-2-13 |
| Képviselők | Dóka Bálint és Szabó Csilla Éva ügyvezetők |
| info@studiozone.hu | |
| Telefon | +36 30 341 34 16 |
| Weboldal | studiozone.hu |
Az Adatkezelő nem köteles adatvédelmi tisztviselőt (DPO) kijelölni a GDPR 37. cikke alapján, mivel tevékenysége nem teszi szükségessé. Adatvédelmi ügyekben az info@studiozone.hu címre kell írni.
3. Az adatkezelés alapelvei
Az Adatkezelő a személyes adatok kezelése során az alábbi alapelveket tartja be (GDPR 5. cikk):
- Jogszerűség, tisztességes eljárás és átláthatóság: az adatkezelés mindig jogszerű, az Érintettek számára átlátható módon történik.
- Célhoz kötöttség: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történik.
- Adattakarékosság: kizárólag a célok eléréséhez szükséges adatok kerülnek kezelésre.
- Pontosság: a kezelt adatok pontosak és naprakészek.
- Korlátozott tárolhatóság: a személyes adatok csak a célok eléréséhez szükséges ideig kerülnek tárolásra.
- Integritás és bizalmas jelleg: az adatok biztonságát megfelelő technikai és szervezési intézkedésekkel biztosítjuk.
- Elszámoltathatóság: az Adatkezelő felelős a fenti alapelvek betartásáért és azt képes igazolni.
4. A kezelt személyes adatok köre és az adatkezelési tevékenységek
4.1. Stúdió foglalás
| Kezelt adatok | vezetéknév, keresztnév, e-mail cím, telefonszám, foglalás dátuma és időpontja, választott stúdió, választott szolgáltatás, időtartam, vendégek száma, foglalás célja, megjegyzések, számlázási név és cím, adószám (ha céges), foglaláskori IP cím |
| Cél | a foglalási szerződés létrehozása, teljesítése, kapcsolattartás, számlázás |
| Jogalap | GDPR 6. cikk (1) b) — szerződés teljesítése |
| Időtartam | a foglalás teljesítését követő 5 év (Ptk. szerinti általános elévülés), számlázási adatok tekintetében 8 év (Számv. tv. 169. §) |
4.2. Felhasználói fiók (regisztráció)
| Kezelt adatok | e-mail cím, jelszó (titkosított, bcrypt hash), vezeték- és keresztnév, telefonszám, számlázási adatok, kredit egyenleg, regisztráció időpontja, IP cím, utolsó belépés időpontja |
| Cél | a fiók működtetése, foglalások adminisztrálása, kreditkezelés |
| Jogalap | GDPR 6. cikk (1) b) — szerződés teljesítése |
| Időtartam | a fiók fennállásáig, törlést követően maximum 1 évig (Ptk. szerinti jogviták esetére), kivéve a számlázási adatok, amelyek 8 évig megőrzendők |
4.3. Hírlevél küldés
| Kezelt adatok | e-mail cím, név (ha megadott), feliratkozás időpontja, feliratkozás IP címe, leiratkozási token, megnyitási és kattintási statisztikák (anonimizált) |
| Cél | marketing célú hírlevelek, akciók, új szolgáltatások bemutatása |
| Jogalap | GDPR 6. cikk (1) a) — kifejezett hozzájárulás (Grtv. 6. §) |
| Időtartam | a leiratkozásig vagy a hozzájárulás visszavonásáig. Minden hírlevélben elhelyezett egy „Leiratkozás" link, amely azonnali leiratkozást tesz lehetővé. |
4.4. Kapcsolatfelvételi űrlap
| Kezelt adatok | név, e-mail cím, telefonszám (ha megadott), üzenet tartalma, küldés időpontja, IP cím |
| Cél | a megkeresésre válaszadás, kapcsolattartás |
| Jogalap | GDPR 6. cikk (1) a) — hozzájárulás, illetve f) — jogos érdek (ügyfélkapcsolat) |
| Időtartam | a megválaszolást követő 1 év, vagy a megkeresésből származó ügylet jogi elévüléséig |
4.5. Számlázás
| Kezelt adatok | számlázási név, számlázási cím, adószám (ha céges), e-mail cím (e-számla kézbesítéséhez), számla sorszáma, kibocsátás dátuma, vásárlás tárgya, ellenérték |
| Cél | jogszabályi kötelezettség teljesítése — számla kiállítása és megőrzése |
| Jogalap | GDPR 6. cikk (1) c) — jogi kötelezettség (Áfa tv., Számv. tv.) |
| Időtartam | a kiállítást követő 8 év (Számv. tv. 169. §) |
4.6. Online bankkártyás fizetés
| Kezelt adatok | Az Adatkezelő bankkártya adatokat NEM kezel. Csak a tranzakció azonosítója és állapota kerül tárolásra. A bankkártya adatokat közvetlenül a Stripe Payments Europe Ltd. fogadja PCI DSS Level 1 minősítéssel. |
| Cél | online fizetés lebonyolítása, visszaigazolás |
| Jogalap | GDPR 6. cikk (1) b) — szerződés teljesítése |
| Időtartam | a tranzakciós azonosítók 8 év (számviteli okból) |
4.7. Naplózási (log) adatok
| Kezelt adatok | IP cím, böngésző azonosító, kérés időpontja, kért URL, hibakódok, sessionazonosító |
| Cél | üzemeltetési biztonság, hibakeresés, visszaélések felderítése, DDoS-védelem |
| Jogalap | GDPR 6. cikk (1) f) — jogos érdek |
| Időtartam | maximum 12 hónap |
4.8. Sütik (cookie-k)
A sütikre vonatkozó részletes tájékoztató a jelen Tájékoztató 8. pontjában található.
5. Adatfeldolgozók
Az Adatkezelő a tevékenysége során az alábbi adatfeldolgozókat veszi igénybe. Az adatfeldolgozók kizárólag az Adatkezelő utasítása alapján és nevében járnak el, önálló döntést a kezelt adatokról nem hozhatnak.
5.1. Tárhelyszolgáltató
| Név | PWS Solutions |
| Cím | 5600 Békéscsaba, Pátkai Ervin utca 2. |
| info@pws.hu | |
| Tevékenysége | weboldal és adatbázis tárolása, biztonsági mentések, üzemeltetés |
5.2. E-mail küldő szolgáltató
| Név | Emailit (SMTP relay szolgáltató) |
| Tevékenysége | tranzakciós e-mailek (foglalási visszaigazolás, jelszó-visszaállítás, számla-értesítés) és hírlevelek kiküldése |
| Tovább kezelt adatok | e-mail cím, név, üzenet tartalma, küldési és kézbesítési naplók |
5.3. Bankkártyás fizetés
| Név | Stripe Payments Europe Ltd. |
| Cím | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Írország |
| Tevékenysége | online bankkártyás fizetések feldolgozása |
| Honlap | stripe.com/hu/privacy |
5.4. Számlázási rendszer
| Név | KBOSS.hu Kft. (Számlázz.hu) |
| Cím | 1031 Budapest, Záhony utca 7. |
| Cégjegyzékszám | 01-09-303201 |
| Adószám | 13421739-2-41 |
| Tevékenysége | elektronikus számlák kiállítása és tárolása |
| Honlap | szamlazz.hu/szamla/adatvedelem |
5.5. Statisztikai szolgáltatások
| Név | Google LLC (Google Analytics 4, Google Tag Manager) |
| Cím | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA |
| EU képviselő | Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Írország |
| Tevékenysége | weboldal-látogatottság anonimizált mérése, statisztika |
| Adatvédelem | policies.google.com/privacy |
| Garancia harmadik országba | EU-USA Data Privacy Framework |
6. Adattovábbítás harmadik országba
Az Adatkezelő személyes adatot kizárólag az alábbi feltételek mellett továbbít az Európai Gazdasági Térségen kívülre:
- Az Európai Bizottság megfelelőségi határozatával rendelkező országba (pl. USA — EU-USA Data Privacy Framework hatálya alatt működő szervezet);
- A GDPR 46. cikke szerinti megfelelő garanciák megléte mellett (pl. EU általános szerződéses feltételek, „SCC");
- Az Érintett kifejezett, tájékozott hozzájárulása alapján.
Jelenleg ilyen továbbítás csak a Google szolgáltatások (Analytics, Tag Manager) felé történik, amelyek az EU-USA Data Privacy Framework keretében bonyolítják az adattovábbítást.
7. Az Érintettek jogai
Az Érintett a GDPR alapján az alábbi jogokkal rendelkezik:
7.1. A hozzáférés joga (GDPR 15. cikk)
Az Érintett jogosult arra, hogy az Adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult arra, hogy hozzáférést kapjon a személyes adatokhoz és az adatkezelés körülményeihez.
7.2. A helyesbítéshez való jog (GDPR 16. cikk)
Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat, illetve kérje a hiányos személyes adatok kiegészítését.
7.3. A törléshez való jog („elfeledtetéshez való jog", GDPR 17. cikk)
Az Érintett jogosult arra, hogy kérésére az Adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből gyűjtötték;
- az Érintett visszavonja az adatkezelés alapját képező hozzájárulását, és nincs más jogalap;
- az Érintett tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell.
A törlés nem érinti azokat az adatokat, amelyek megőrzésére az Adatkezelőnek jogszabályi kötelezettsége van (pl. számlázási adatok 8 évig).
7.4. Az adatkezelés korlátozásához való jog (GDPR 18. cikk)
Az Érintett jogosult kérni, hogy az Adatkezelő korlátozza az adatkezelést, ha pl. vitatja az adatok pontosságát.
7.5. Az adathordozhatósághoz való jog (GDPR 20. cikk)
Az Érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. JSON, CSV) megkapja, illetve ezeket egy másik adatkezelőnek továbbítsa.
7.6. A tiltakozáshoz való jog (GDPR 21. cikk)
Az Érintett tiltakozhat személyes adatainak kezelése ellen, ha az jogos érdeken alapul, illetve a közvetlen üzletszerzés (marketing) céljából történő adatkezelés ellen bármikor tiltakozhat.
7.7. A hozzájárulás visszavonásához való jog
Az Érintett a hozzájárulását bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
7.8. Az automatizált döntéshozatallal kapcsolatos jogok (GDPR 22. cikk)
Az Adatkezelő nem alkalmaz olyan automatizált döntéshozatalt (beleértve a profilalkotást), amely az Érintettre joghatással járna vagy hasonlóan jelentős mértékben érintené.
7.9. Az érintetti jogok gyakorlása
Az Érintett a fenti jogait az info@studiozone.hu címen küldött elektronikus levélben gyakorolhatja, vagy a postai címen levélben. Az Adatkezelő a megkeresést 30 napon belül teljesíti, vagy indokoltan elutasítja. A megkeresés kapcsán szükséges lehet az Érintett személyazonosságának ellenőrzése.
A jogok gyakorlása ingyenes, kivéve, ha a kérés egyértelműen megalapozatlan vagy túlzó (különösen ismétlődő jellege miatt).
8. Sütik (cookie-k)
A weboldal kis méretű szöveges fájlokat (sütiket) helyez el a látogatók eszközén a működés és a felhasználói élmény biztosítása érdekében.
8.1. Az alkalmazott sütik típusai
a) Szigorúan szükséges sütik (hozzájárulás nem szükséges)
| SZSESSID | Munkamenet-azonosító (kosár, bejelentkezés, foglalás folyamata). Lejárat: 7 nap. |
| cookie_consent | A süti-beállítás emlékezése. Lejárat: 12 hónap. |
| csrf_token | CSRF védelmi token. Lejárat: a munkamenet végéig. |
b) Statisztikai sütik (hozzájárulás szükséges)
| _ga, _gid, _ga_* | Google Analytics — anonim látogatottság mérése. Lejárat: 2 év. |
| _gat | Google Analytics — kérés-korlátozás. Lejárat: 1 perc. |
c) Marketing sütik (hozzájárulás szükséges)
| Google Tag Manager | Marketing és remarketing címkék kezelése. |
| _fbp (Facebook Pixel) | Hirdetés célzás és konverzió-mérés (ha aktív). |
8.2. Hozzájárulás kezelése
A weboldal első látogatásakor egy süti-tájékoztató sáv jelenik meg, ahol az Érintett választhat: elfogad mindent, csak a szükségeseket, vagy egyedileg testreszabja a hozzájárulását. A választást a böngészőben elmentjük 12 hónapig.
A hozzájárulás bármikor módosítható vagy visszavonható a süti-beállítások újraindításával (a lábléc „Süti-beállítások" linkjére kattintva).
8.3. Sütik tiltása a böngészőben
Minden modern böngészőben lehetőség van a sütik kezelésére (törlés, letiltás). A részletes leírást a böngésző súgója tartalmazza. Felhívjuk a figyelmet, hogy a szigorúan szükséges sütik tiltása esetén bizonyos funkciók (pl. bejelentkezés, foglalás) nem fognak megfelelően működni.
9. Adatbiztonság
Az Adatkezelő a tudomány és a technológia jelenlegi állása szerinti megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok védelmére. Az alkalmazott védelmi intézkedések különösen:
9.1. Technikai intézkedések
- HTTPS/TLS titkosítás minden adatátvitelre (Let's Encrypt vagy hasonló érvényes SSL-tanúsítvány);
- Jelszavak iparági szabványnak megfelelő hash-eléssel (bcrypt) tárolva, sózással;
- SQL-injection elleni védelem (prepared statements, paraméteres lekérdezések);
- XSS (cross-site scripting) elleni védelem (htmlspecialchars, CSP fejlécek);
- CSRF (cross-site request forgery) elleni védelem (tokenes védelem minden űrlapon);
- X-Frame-Options, X-Content-Type-Options biztonsági HTTP fejlécek;
- HttpOnly és Secure flag a session cookie-knál, SameSite=Lax beállítás;
- Brute force védelem (rate limiting) bejelentkezés és jelszó-visszaállítás esetén;
- Rendszeres biztonsági mentések (napi szinten, titkosítva tárolva);
- Rendszeres biztonsági frissítések a szerveren és az alkalmazásban.
9.2. Szervezési intézkedések
- Hozzáférés-szabályozás: csak az arra jogosult személyek férhetnek hozzá személyes adatokhoz;
- Szerepkör-alapú jogosultságkezelés az admin felületen;
- Naplózás (audit log) a kritikus műveletekről;
- Adatkezelési nyilvántartás vezetése (GDPR 30. cikk);
- Adatfeldolgozói szerződések kötése minden adatfeldolgozóval (GDPR 28. cikk);
- Munkavállalók/közreműködők tájékoztatása az adatvédelmi szabályokról és titoktartási kötelezettségük;
- Adatvédelmi incidens kezelésére vonatkozó eljárás kidolgozása.
10. Adatvédelmi incidens
Adatvédelmi incidens (adatszivárgás, illetéktelen hozzáférés stb.) esetén az Adatkezelő azt indokolatlan késedelem nélkül, de legkésőbb 72 órán belül bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), kivéve, ha az incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Magas kockázatú incidens esetén az Adatkezelő az Érintetteket is tájékoztatja.
Az Adatkezelő adatvédelmi incidens-nyilvántartást vezet.
11. Gyermekek adatainak védelme
A weboldal szolgáltatásai elsősorban 18 év feletti felhasználóknak szólnak. 16 év alatti gyermekek esetében a hírlevélre való feliratkozáshoz vagy egyéb hozzájárulás-alapú adatkezeléshez a törvényes képviselő (szülő) hozzájárulása szükséges.
Ha tudomásunkra jut, hogy gyermek hozzájárulás nélkül adta meg adatait, azokat haladéktalanul töröljük.
12. Profilalkotás és automatizált döntéshozatal
Az Adatkezelő nem alkalmaz olyan automatizált döntéshozatalt — ideértve a profilalkotást is —, amely az Érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené (GDPR 22. cikk).
A Google Analytics által végzett anonimizált viselkedési statisztika nem minősül profilalkotásnak GDPR értelemben.
13. Jogorvoslati lehetőségek
13.1. Panasz az Adatkezelőnél
Ha az Érintett úgy érzi, hogy az Adatkezelő megsértette személyes adatainak védelmére vonatkozó jogát, először javasolt közvetlenül az Adatkezelőhöz fordulni az info@studiozone.hu címen. Az Adatkezelő 30 napon belül érdemi választ ad.
13.2. Hatósági panasz (NAIH)
| Hatóság neve | Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) |
| Cím | 1055 Budapest, Falk Miksa utca 9-11. |
| Postacím | 1363 Budapest, Pf.: 9. |
| Telefon | +36-1-391-1400 |
| Fax | +36-1-391-1410 |
| ugyfelszolgalat@naih.hu | |
| Honlap | www.naih.hu |
13.3. Bírósági jogérvényesítés
Az Érintett a jogainak megsértése esetén bírósághoz is fordulhat. A per — az Érintett választása szerint — a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
14. A Tájékoztató módosítása
Az Adatkezelő fenntartja a jogot, hogy a jelen Tájékoztatót egyoldalúan módosítsa. A módosítások a weboldalon történő közzététellel lépnek hatályba. Jelentős változás esetén — különösen akkor, ha az érinti az adatkezelés célját vagy jogalapját — az Adatkezelő külön értesíti az Érintetteket.
A jelen Tájékoztató aktuális verziója mindig elérhető a studiozone.hu/adatvedelem címen.
15. Kapcsolat
Adatvédelmi kérdésekben az Adatkezelő az alábbi elérhetőségeken áll rendelkezésre:
Social Dream Group Kft.
2161 Csomád, Szent István utca 48.
E-mail: info@studiozone.hu
Telefon: +36 30 341 34 16