Adatvédelmi tájékoztató

Az adatkezelés célja

Személyes adatokat kizárólag két jogszerű célra gyűjtünk: (1) hogy önkéntesen feliratkozott e-mail-értesítések útján tájékoztassunk a Cabana Gențiana újjáépítésének előrehaladásáról, és (2) hogy lehetővé tegyük az adományozást a projekt javára, amint a nonprofit egyesület hivatalosan bejegyzésre kerül és teljes jogi biztonsággal fogadhat forrásokat. Adataidat nem használjuk magatartási profilalkotásra, nem adjuk el és nem osztjuk meg harmadik féllel reklámcélból. Minden értesítés tartalmaz egy egyértelmű leiratkozási linket, és kérésre legfeljebb 30 napon belül teljesen töröljük az adataidat.

Gyűjtött adatok

Az adatgyűjtést a célhoz szükséges minimumra korlátozzuk. Az alábbiakban minden olyan adatkategória szerepel, amelyet rólad tárolunk, abban a sorrendben, ahogyan a rendszerbe kerülnek. Más típusú adatot további kifejezett hozzájárulás nélkül nem gyűjtünk.

• E-mail-cím — amikor feliratkozol az értesítési listára, vagy adományozási szándéknyilatkozatot küldesz. Csak a projekt-frissítések küldésére és a szándéknyilatkozat megerősítésére használjuk, soha nem kéretlen marketingre.
• Keresztnév, vezetéknév, tervezett összeg EUR-ban és opcionális üzenet — amikor kitöltöd a pre-pledge űrlapot. Ezek az adatok segítenek felmérni a közösség támogatását és újra felvenni veled a kapcsolatot, amikor az adományozás hivatalosan elérhetővé válik.
• Az IP-cím SHA-256 kriptográfiai hash-e — egy szerveroldali titkos sóból származtatva, kizárólag az automatikus visszaélések korlátozására (rate limiting) használjuk. A nyers IP-t soha nem tároljuk az adatbázisban, és a hashből nem rekonstruálható.

Jogalap

Adataidat az Általános Adatvédelmi Rendelet (az Európai Unió 2016/679 számú rendelete, a továbbiakban: „GDPR”) két jogalapja szerint kezeljük. Értesítésekhez és szándéknyilatkozatokhoz — a szabadon kifejezett hozzájárulásod alapján (GDPR 6. cikk (1) bekezdés a) pont), amelyet az űrlap kitöltésével és elküldésével adsz meg. A visszaélések korlátozására használt IP-hashhez — jogos érdekünk fűződik ahhoz, hogy a szolgáltatást automatizált támadásokkal szemben megvédjük, és valamennyi felhasználó számára biztosítsuk az elérhetőséget (GDPR 6. cikk (1) bekezdés f) pont). Bármikor visszavonhatod a hozzájárulásodat indoklás nélkül e-mailben vagy a minden értesítésben szereplő leiratkozási linken keresztül.

Tárolási időszak

Alkalmazzuk az adatminimalizálás elvét: az adatokat csak addig őrizzük meg, amíg jogszerű indokunk van rá. Az értesítésekhez használt e-mail-címeket a leiratkozásig vagy kérésre történő kifejezett törlésig őrizzük. A szándéknyilatkozatokat (pre-pledge) az újjáépítési projekt befejezéséig vagy legfeljebb az elküldésüktől számított öt évig tároljuk. A rate limitinghez használt IP-hasheket forgatjuk és hat hónap után automatikusan töröljük. A projekt lezárásakor minden adatot véglegesen törlünk 90 napon belül, kivéve a pénzügyi dokumentumokat, amelyeket a törvény szerint 10 évig meg kell őriznünk.

A jogaid

A GDPR szerint a következő jogokkal élhetsz: hozzáférési jog (megtudni, milyen adatokat tartunk rólad), helyesbítéshez való jog (helytelen adatok javítása), törléshez való jog — „elfeledtetéshez való jog” (GDPR 17. cikk), az adatkezelés korlátozásához való jog, adathordozhatósághoz való jog (az adatok strukturált, gépileg olvasható formátumban való megkapása), tiltakozáshoz való jog és a hozzájárulás bármikori visszavonásához való jog. Ezen felül panaszt is tehetsz a román Személyes Adatok Védelmét Felügyelő Nemzeti Hatóságnál (ANSPDCP, www.dataprotection.ro). Küldd el a kérelmet e-mailben — legfeljebb 30 naptári napon belül válaszolunk.

Adatfeldolgozók

Korlátozott számú külső szolgáltatót („adatfeldolgozók” a GDPR 28. cikke értelmében) veszünk igénybe a weboldal üzemeltetéséhez. Mindegyiket GDPR-megfelelőség alapján választottuk, és szerződésben vállalják, hogy az adatokat kizárólag a fent leírt célokra dolgozzák fel.

• Resend (https://resend.com) — tranzakciós e-maileket küld, például feliratkozási megerősítéseket és projekt-értesítéseket. Továbbított adatok: e-mail-címed, neved és az üzenet tartalma. Tárolás az Európai Unióban lévő szervereken.
• Stripe Payments Europe Limited (https://stripe.com) — bankkártyás fizetéseket dolgoz fel, amint az adományok aktívak. Továbbított adatok: név, e-mail, adományozott összeg. A Stripe EU-ban engedélyezett fizetési szolgáltató, PCI DSS Level 1 tanúsítvánnyal.
• Fly.io (https://fly.io) — a webalkalmazást, a PostgreSQL-adatbázist és a naplózási rendszert futtatja. Minden adat a frankfurti régióban (EU) marad, az európai adatlokalizációs elvnek megfelelően.

Sütik

Kizárólag technikailag szükséges sütiket használunk — főként az admin-munkamenethez, a CSRF-védelemhez és a nyelvi beállítás (RO/EN/DE/HU) tárolásához. Nem használunk követő, marketing vagy profilalkotási sütiket. Nem integrálunk reklámhálózatokat vagy közösségi-média pixeleket. Az aggregált elemzéshez a PostHog Cloud (EU-régió) süti nélküli verzióját használjuk, amely nem helyez el sütit, nem ír a localStorage-be és nem azonosítja az egyes felhasználókat; a böngésző Do-Not-Track fejlécét tiszteletben tartjuk. Az opcionális funkciók, például a munkamenet-rögzítés, csak ezen az oldalon kifejezett közlés és külön hozzájárulás után aktiválhatók.

Kapcsolat

A személyes adataiddal kapcsolatos bármely kérésért — hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás vagy hozzájárulás visszavonása — írj nekünk a fenti „A személyes adatok kezelője” pontban megadott e-mail-címre. A kérelem beérkezésétől számított legfeljebb 30 naptári napon belül válaszolunk, írásban vagy más tartós adathordozón. Ha válaszunk nem elégíti ki, közvetlenül a román Személyes Adatok Védelmét Felügyelő Nemzeti Hatósághoz (ANSPDCP) fordulhatsz vagy a GDPR 77–79. cikke alapján bírósági keresetet indíthatsz ellenünk. Az akadálymentes csatornákon érkező kérelmekhez ésszerű alkalmazkodást biztosítunk.