Adatkezelési tájékoztató

A jelen Adatkezelési tájékoztató (a továbbiakban: Tájékoztató) az Európai Parlament és a Tanács 2016/679. számú általános adatvédelmi rendelete (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek megfelelően tartalmazza a KIKER Service Kft. mint Adatkezelő által a https://kikerservice.hu weboldal és az ESIR (Electrical Safety Inspection Reporter) szolgáltatás (a továbbiakban együttesen: Szolgáltatás) működtetése során kezelt személyes adatok kezelésére vonatkozó információkat.

1. Az Adatkezelő adatai

Adatkezelő neve	KIKER Service Kft.
Székhely	5435 Martfű, Krúdy Gyula utca 18.
Cégjegyzékszám	16-09-018434
Adószám	26648099-2-16
Képviselő	Kerekes László
E-mail (adatvédelmi ügyek)	info@kikerservice.hu
Telefon (adatvédelmi ügyek)	+36 30 089 4700
Weboldal	https://kikerservice.hu

Az Adatkezelő adatvédelmi tisztviselő (DPO) kinevezésére a GDPR 37. cikke alapján nem kötelezett. Az adatvédelmi ügyekben az érintettek a fenti elérhetőségeken fordulhatnak az Adatkezelő képviselőjéhez.

2. Fogalommeghatározások

• Érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy.
• Személyes adat: az érintettre vonatkozó bármely információ.
• Adatkezelés: a személyes adatokon végzett bármely művelet (gyűjtés, rögzítés, tárolás, betekintés, közlés, törlés stb.).
• Adatfeldolgozó: az a természetes vagy jogi személy, aki az Adatkezelő nevében személyes adatokat kezel.
• Felhasználó: a Szolgáltatást regisztrációval vagy regisztráció nélkül igénybe vevő természetes vagy jogi személy.
• JKV: villamos felülvizsgálati jegyzőkönyv (VBF, VV, MSZ 274, EPH, PV stb. típusú).
• Megrendelő: az a természetes vagy jogi személy, aki a Felhasználótól villamos biztonsági felülvizsgálatot rendel meg, és akinek adatai a JKV-ben szerepelnek.

3. A Tájékoztató hatálya

A jelen Tájékoztató kiterjed:

• a https://kikerservice.hu weboldal látogatóira,
• a Szolgáltatást regisztrációval igénybe vevő Felhasználókra (villanyszerelő, felülvizsgáló vállalkozások és magánszemélyek),
• a Felhasználók által rögzített Megrendelőkre, akiknek adatait a Felhasználó a Szolgáltatáson keresztül kezeli,
• a Felhasználók által a Szolgáltatásba feltöltött vizsgálati jegyzőkönyvek tartalmazta érintett személyekre.

4. A kezelt adatok köre, jogalapja és célja

4.1. Regisztrációs és fiók-adatok

Adat	Jogalap	Cél	Megőrzési idő
Felhasználó neve	szerződés teljesítése (GDPR 6. cikk (1) b))	fiók-azonosítás	szerződés alatt + 5 év
E-mail cím	szerződés teljesítése	belépés, értesítés	szerződés alatt + 5 év
Jelszó (hash-elt, bcrypt)	szerződés teljesítése	hitelesítés	szerződés alatt + 5 év
2FA azonosító (TOTP-secret vagy e-mail)	szerződés teljesítése	kétfaktoros hitelesítés	szerződés alatt + 5 év
Telefonszám (opcionális)	hozzájárulás (GDPR 6. cikk (1) a))	ügyfélszolgálati kapcsolat	hozzájárulás visszavonásáig
Felhasználó arculata (logó, vízjel, aláírás)	szerződés teljesítése	JKV-személyre szabás	szerződés alatt + 5 év

Jogalap részletes magyarázat: A regisztrációval a Felhasználó és az Adatkezelő között szolgáltatási szerződés jön létre. A fenti adatok kezelése a szerződés teljesítéséhez elengedhetetlen.

4.2. Vállalkozói és számlázási adatok

Adat	Jogalap	Cél	Megőrzési idő
Cégnév / vállalkozó neve	jogi kötelezettség (Sztv.)	számlázás	8 év (Sztv. 169. §)
Adószám	jogi kötelezettség	számlázás	8 év
Cégjegyzékszám / nyilvántartási szám	jogi kötelezettség	számlázás	8 év
Székhely / lakcím	jogi kötelezettség	számlázás	8 év
Bankkártya adatok	szerződés teljesítése	díjfizetés	NEM tároljuk (Stripe kezeli)
Számla-azonosító, fizetési state	jogi kötelezettség	számlázás	8 év

Bankkártya-tokenizálás: Az Adatkezelő nem tárolja és nem látja a Felhasználók bankkártya-adatait. Ezeket teljes egészében a Stripe Payments Europe Ltd. (lásd 6. pont) kezeli, PCI-DSS Level 1 tanúsítás mellett. Az Adatkezelő csak a Stripe által visszaküldött anonim tokent és a fizetés sikerességét/sikertelenségét ismeri.

4.3. Felülvizsgálói adatok

A Szolgáltatás keretében minden Felhasználó rögzítheti a felülvizsgálati tevékenységét végző szakemberek adatait:

Adat	Jogalap	Cél	Megőrzési idő
Felülvizsgáló neve	szerződés teljesítése	JKV-aláírás	JKV-megőrzési idő (10 év)
OKJ-bizonyítvány száma	jogi kötelezettség (OTSZ)	JKV-érvényesség	JKV-megőrzési idő (10 év)
Bizonyítvány érvényessége	jogi kötelezettség	JKV-érvényesség	JKV-megőrzési idő (10 év)
Aláírás-kép (szignó)	szerződés teljesítése	JKV-hitelesítés	JKV-megőrzési idő (10 év)
Kapcsolat (e-mail, telefon)	jogos érdek (GDPR 6. cikk (1) f))	belső munkaszervezés	szerződés alatt + 5 év

4.4. Megrendelő (Ügyfél) adatai

A Felhasználó által a Szolgáltatásba rögzített Megrendelők (azaz azon ügyfelek, akiknek a Felhasználó villamos felülvizsgálatot végez):

Adat	Jogalap	Cél	Megőrzési idő
Megrendelő neve	szerződés teljesítése	JKV-tartalom	10 év (OTSZ)
Cégnév + adószám (cég esetén)	szerződés teljesítése	JKV-tartalom	10 év
Lakcím / székhely	szerződés teljesítése	JKV-tartalom	10 év
E-mail (opcionális)	szerződés teljesítése	JKV-küldés	10 év
Telefon (opcionális)	szerződés teljesítése	kapcsolattartás	10 év
Vizsgált létesítmény címe	szerződés teljesítése	JKV-tartalom	10 év
Vizsgált létesítmény tulajdonosa	szerződés teljesítése	JKV-tartalom	10 év

Felhasználó mint közös adatkezelő: A Megrendelők adatai a Felhasználó tevékenysége során kerülnek a Szolgáltatásba. A GDPR 26. cikk értelmében a Felhasználó és az Adatkezelő ezen adatok tekintetében közös adatkezelőnek minősülhetnek; a felelősség- és kötelezettség-megosztást a Felhasználó és az Adatkezelő között létrejött Adatfeldolgozási szerződés (DPA) szabályozza, amely a regisztrációval automatikusan létrejön.

4.5. JKV-tartalom

A vizsgálati jegyzőkönyv (JKV) az alábbiakat tartalmazhatja:

• a 4.4. pontban felsorolt Megrendelő-adatok,
• mérési eredmények (műszaki adatok, nem személyes adatok),
• megállapítások (műszaki szöveg),
• fényképek a helyszínről (esetleges arckép, rendszámtábla NEM kívánt, az Adatkezelő minden Felhasználót felhív, hogy ilyen tartalom esetén anonimizálja a képet),
• aláírások (felülvizsgáló + esetleg Megrendelő digitális aláírása).

Jogalap: szerződés teljesítése + jogi kötelezettség (OTSZ által előírt JKV-tartalom). Megőrzési idő: 10 év a vizsgálat dátumától.

4.6. Fizetési adatok

A 4.2. pontban részletezett számlázási adatok mellett az alábbi tranzakciós metaadatokat kezeljük:

Adat	Jogalap	Cél	Megőrzési idő
Fizetési időpont	jogi kötelezettség	számvitel	8 év
Fizetett összeg + áfa	jogi kötelezettség	számvitel	8 év
Stripe tranzakció-azonosító	jogi kötelezettség	számvitel	8 év
Számla PDF	jogi kötelezettség	számvitel	8 év

4.7. Technikai, naplózási és cookie-adatok

Adat	Jogalap	Cél	Megőrzési idő
IP-cím (hash-elt)	jogos érdek	biztonság, visszaélés-szűrés	12 hónap
User-Agent	jogos érdek	hibakeresés	12 hónap
Belépési időbélyeg	jogos érdek	audit log	12 hónap
Session-cookie	szerződés teljesítése	belépés-állapot	session végéig
CSRF-token cookie	jogos érdek	biztonság	session végéig
Theme-cookie (dark/light)	hozzájárulás	preferencia-tárolás	13 hónap
Cookie-banner válasz	jogi kötelezettség	hozzájárulás bizonyítása	13 hónap

A cookie-k részletes leírását a Cookie-tájékoztató tartalmazza.

4.8. Marketing-célú adatkezelés (ha igénybe veszi)

A Felhasználó külön hozzájárulása alapján:

Adat	Jogalap	Cél	Megőrzési idő
E-mail cím (hírlevél)	hozzájárulás (GDPR 6. cikk (1) a))	termékhírek küldése	hozzájárulás visszavonásáig
Név (megszólításhoz)	hozzájárulás	személyre szabott megszólítás	hozzájárulás visszavonásáig

A hozzájárulás bármikor visszavonható az e-mailek alján található leiratkozási link-en, vagy az info@kikerservice.hu címre küldött e-mailben. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.

5. Az adatkezelés időtartama

Az adatkezelés időtartama az egyes adatkategóriáknál (4. pont) feltüntetett megőrzési idő szerint alakul. Az alábbi szempontok érvényesülnek:

• Számviteli bizonylatok: 8 év (Sztv. 169. § (2) bek.)
• JKV-iratok: 10 év a vizsgálat dátumától (54/2014. (XII. 5.) BM rendelet OTSZ + szakmai gyakorlat)
• Fiók-adatok: szerződés időtartama alatt + 5 év (általános polgári elévülés, Ptk. 6:22. §)
• Inaktív fiók: 24 hónap inaktivitás után az Adatkezelő automatikus értesítést követően törli a fiókot, a vele kapcsolatos nem-kötelező adatokat
• Marketing-feliratkozás: hozzájárulás visszavonásáig
• Audit log: 12 hónap, ezt követően automatikus törlés
• Cookie: maximum 13 hónap (EDPB iránymutatás szerint)

Az időtartam letelte után az Adatkezelő az adatokat véglegesen, visszaállíthatatlanul törli, kivéve ha más jogszabály (pl. közhitelű nyilvántartás) az adott adat hosszabb megőrzését írja elő.

6. Adatfeldolgozók

Az Adatkezelő az alábbi Adatfeldolgozókat veszi igénybe. Minden Adatfeldolgozóval írásbeli Adatfeldolgozási szerződés (DPA) van érvényben.

6.1. Forpsi.hu / INTERNET CZ, a.s. (Csehország)

• Funkció: szerver-hosting, domain, e-mail infrastruktúra
• Székhely: Ktiš 2, 384 03 Ktiš, Csehország
• Adatok: minden tárolt adat (a Forpsi VPS-en fut a Szolgáltatás)
• Adattovábbítás EU-n kívülre: NEM
• Adatvédelmi információk: www.forpsi.hu

6.2. Off-site backup (tervezett: Hetzner Storage Box, Németország/Finnország)

• Funkció: off-site backup, biztonsági másolat
• Adatok: titkosított backup-fájlok (napi rotáció, 4 hét heti megőrzés)
• Adattovábbítás EU-n kívülre: NEM

6.3. Stripe Payments Europe Ltd. (Írország)

• Funkció: bankkártya-feldolgozás, fizetési tranzakciók
• Székhely: 1 Grand Canal Street Lower, Dublin 2, Írország
• Adatok: bankkártya-adatok (kizárólag Stripe-on), fizetési metaadatok, számlázási név + cím
• Adattovábbítás EU-n kívülre: RÉSZBEN (Stripe Inc., US — EU-US Data Privacy Framework alapján)
• Tanúsítványok: PCI-DSS Level 1
• Adatvédelmi információk: stripe.com/privacy

6.4. Billingo Technologies Zrt. (Magyarország)

• Funkció: elektronikus számlázás, NAV-bejelentés
• Székhely: 1133 Budapest, Árbóc utca 6.
• Adatok: számlázási név, adószám, cím, tételek
• Adattovábbítás EU-n kívülre: NEM
• Adatvédelmi információk: billingo.hu/adatkezelesi-tajekoztato

6.5. Google LLC — Google Calendar API (USA) — opcionális

A Google Calendar 2-irányú szinkronizáció kizárólag azon Felhasználók esetében működik, akik a Beállítások → Integrációk menüpontban kifejezetten engedélyezik.

• Adatok: Google Calendar event-ek (cím, időpont, leírás, helyszín — csak a Szolgáltatás által létrehozott/sync-elt event-ek)
• Adattovábbítás EU-n kívülre: IGEN (Google LLC, US — EU-US Data Privacy Framework alapján)
• Visszavonás: bármikor, a Beállítások → Integrációk → Google Calendar kapcsolat-bontás gombbal

6.6. Cloudflare Inc. (USA) — opcionális

• Funkció: CDN, DDoS-védelem, Web Application Firewall
• Székhely: 101 Townsend St, San Francisco, CA 94107, USA
• Adatok: IP-cím, kérés-metaadatok (cache-eléshez)
• Adattovábbítás EU-n kívülre: IGEN (US — EU-US Data Privacy Framework alapján)
• Adatvédelmi információk: cloudflare.com/privacypolicy

6.7. Mailgun Technologies Inc. (USA) — opcionális

• Funkció: tranzakciós e-mail-küldés (regisztráció-megerősítés, jelszó-visszaállítás, számla-küldés)
• Adatok: címzett e-mail, levél tartalma, küldés-időbélyeg
• Adattovábbítás EU-n kívülre: IGEN (US — EU-US Data Privacy Framework alapján)

7. Adatbiztonsági intézkedések

Az Adatkezelő az alábbi technikai és szervezési intézkedésekkel védi a személyes adatokat:

Technikai intézkedések

• TLS 1.2/1.3 titkosítás minden adatátvitel során (a szerver–böngésző kommunikációban)
• HSTS (HTTP Strict Transport Security) max-age 1 év
• Adatbázisok és fájlok titkosított tárolása a szerveren (LUKS / dm-crypt)
• Jelszó hash-elés bcrypt algoritmussal (cost factor ≥ 12)
• Kétfaktoros hitelesítés (2FA) elérhető, admin szerepkörnél kötelező
• CSRF token minden form-művelet előtt
• Content Security Policy (CSP) XSS-védelem
• Napi rendszeres backup lokális + off-site
• Naplózás (audit log) 12 hónapra
• Frissítés-menedzsment: kritikus biztonsági frissítések 48 órán belül
• Tűzfal és behatolás-érzékelés

Szervezési intézkedések

• Hozzáférés-szabályozás: csak a feladat ellátásához szükséges minimum hozzáférés (least privilege)
• Titoktartási nyilatkozat minden munkavállalónál és alvállalkozónál
• Adatfeldolgozási szerződések (DPA) minden Adatfeldolgozóval
• Incidens-kezelési protokoll: 72 órán belüli NAIH-értesítés a jogszabályi kötelezettségnek megfelelően
• Évenkénti biztonsági felülvizsgálat

Adatvédelmi incidens

Adatvédelmi incidens esetén az Adatkezelő:

1. A felfedezést követő 72 órán belül értesíti a NAIH-ot (GDPR 33. cikk).
2. Ha az incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve, az érintetteket közvetlenül értesíti (GDPR 34. cikk).
3. Az incidenseket belső nyilvántartásba veszi (GDPR 33. cikk (5)).

8. Az érintett jogai

Az érintettnek (Felhasználó, Megrendelő, JKV-érintett) az alábbi jogai vannak (GDPR III. fejezet):

8.1. Hozzáférési jog (Art. 15)

Az érintett jogosult tájékoztatást kérni arról, hogy az Adatkezelő kezeli-e a személyes adatait, és ha igen, a kezelt adatokról másolatot kérni.

8.2. Helyesbítéshez való jog (Art. 16)

Pontatlan adat helyesbítését, hiányos adat kiegészítését kérheti.

8.3. Törléshez való jog ("elfeledtetéshez") (Art. 17)

Az érintett kérheti adatainak törlését, ha:

• az adatkezelés célja megszűnt,
• visszavonta a hozzájárulását,
• tiltakozik az adatkezelés ellen,
• az adatkezelés jogellenes,
• jogi kötelezettség teljesítéséhez szükséges törlés.

Kivétel: az Adatkezelő nem törli az adatokat, ha azokat jogszabályi kötelezettség (pl. számviteli vagy OTSZ-megőrzés) miatt köteles megőrizni.

8.4. Az adatkezelés korlátozásához való jog (Art. 18)

Az érintett kérheti az adatkezelés korlátozását vitatott pontosság, jogellenesség stb. esetén.

8.5. Adathordozhatósághoz való jog (Art. 20)

Az érintett kérheti adatainak strukturált, géppel olvasható formában (JSON / CSV) történő kiadását, vagy közvetlen továbbítását másik Adatkezelőhöz.

8.6. Tiltakozási jog (Art. 21)

Az érintett tiltakozhat a jogos érdek alapú adatkezelés ellen. Az Adatkezelő ekkor megszünteti az adatkezelést, kivéve ha kényszerítő erejű jogos érdek elsőbbsége indokolt.

8.7. Hozzájárulás visszavonása (Art. 7 (3))

Hozzájáruláson alapuló adatkezelés esetén az érintett bármikor visszavonhatja a hozzájárulását, közvetlenül és ingyenesen. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.

8.8. Panaszhoz való jog (Art. 77)

Az érintett panaszt nyújthat be a felügyeleti hatósághoz:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9–11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 1 391 1400
E-mail: ugyfelszolgalat@naih.hu
Web: www.naih.hu

8.9. Bírósági jogorvoslat (Art. 79)

Az érintett az Adatkezelő ellen polgári pert indíthat. A per illetékessége az érintett lakóhelye szerinti bíróság vagy az Adatkezelő székhelye szerinti bíróság.

9. A jogok gyakorlásának módja

Az érintett a fenti jogait az alábbi módokon gyakorolhatja:

• E-mail: info@kikerservice.hu
• Postai levél: 5435 Martfű, Krúdy Gyula utca 18.
• Telefon: +36 30 089 4700
• Beállítások-felületen (regisztrált Felhasználók esetén): a Beállítások → Fiók → "Adat-export kérése" / "Fiók törlése" gomb

Az Adatkezelő a kérelemre 30 napon belül válaszol. Bonyolult vagy nagy mennyiségű adatkérés esetén ez egyszer 60 nappal meghosszabbítható, az érintett értesítése mellett.

Az érintett azonosítása érdekében az Adatkezelő kérheti a személyazonosság igazolását, hogy az adatok ne kerülhessenek illetéktelenhez.

10. Automatizált döntéshozatal és profilozás

Az Adatkezelő nem végez automatizált egyedi döntéshozatalt vagy profilozást (GDPR 22. cikk), amely az érintettre nézve joghatással járna.

11. Gyermekek adatainak kezelése

A Szolgáltatás nem irányul 16 év alatti személyekre, és az Adatkezelő tudatosan nem gyűjt 16 év alatti személyektől adatokat. Amennyiben az Adatkezelő tudomására jut, hogy 16 év alatti személy adatait kezeli a hozzájárulás megfelelő szülői képviselete nélkül, az adatokat haladéktalanul törli.

12. Cookie-k

A Szolgáltatás cookie-kat használ a működéséhez és a felhasználói élmény javításához. A cookie-k részletes leírását, a használt típusokat, valamint a hozzájárulás visszavonásának módját a Cookie-tájékoztató tartalmazza.

13. A Tájékoztató módosítása

Az Adatkezelő fenntartja a jogot, hogy a jelen Tájékoztatót egyoldalúan módosítsa, különösen ha:

• jogszabályi változás kötelezi,
• a Szolgáltatás bővülése új adatkategóriát érint,
• új Adatfeldolgozót vesz igénybe.

Lényeges módosítás esetén az Adatkezelő a hatálybalépés előtt legalább 30 nappal értesíti a Felhasználókat e-mailben és a Szolgáltatás felületén megjelenő értesítéssel.

14. Egyéb rendelkezések

A jelen Tájékoztatóban nem szabályozott kérdésekben a magyar jog, különösen a GDPR, az Infotv. és a Ptk. rendelkezései az irányadóak. Az értelmezéssel kapcsolatos kérdésekben a magyar nyelvű változat az irányadó.

---

A jelen Adatkezelési tájékoztató 2026. április 28.-tól hatályos.

Verzió: 1.0 · Utolsó frissítés: 2026. június 8. · Adatkezelő: KIKER Service Kft.