Adatkezelési tájékoztató
Red International Zrt. · Hatályos: 2026. április 29. · Verzió: 1.0
1. Az adatkezelő
Cégnév: Red International Szolgáltató Zártkörűen Működő Részvénytársaság
Rövidített név: Red International Zrt.
Székhely: 5000 Szolnok, Óvoda út 6/a fszt. 1.
Cégjegyzékszám: 16-10-001848
Adószám: 27410529-2-16
Elektronikus elérhetőség: info@redzrt.hu
A Red International Zrt. (a továbbiakban: „Adatkezelő") full-service digitális ügynökségként kreatív-, marketing-, fejlesztési és tanácsadási szolgáltatásokat nyújt magyarországi és nemzetközi ügyfelei számára. Ezen tevékenységek részeként üzemelteti a B'Bros CrossFit franchise mobile alkalmazását (iOS / Android) és a bbros.online admin felületet.
A jelen tájékoztató az Adatkezelő által végzett személyesadat-kezelésekre vonatkozik, és összhangban van az Európai Parlament és a Tanács 2016/679 rendeletével (a továbbiakban: GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénnyel (Infotv.), valamint a vonatkozó magyar ágazati jogszabályokkal.
2. Fogalommeghatározások
A jelen tájékoztatóban használt fogalmak (személyes adat, adatkezelés, adatfeldolgozó, érintett, hozzájárulás, harmadik fél stb.) jelentése megegyezik a GDPR 4. cikkében meghatározottakkal.
3. Az adatkezelés alapelvei
Az Adatkezelő a személyes adatokat a GDPR 5. cikkében foglalt alapelveknek megfelelően kezeli, így különösen:
- jogszerűség, tisztességes eljárás és átláthatóság — minden adatkezelést világos jogalap és megfelelő tájékoztatás alapoz meg;
- célhoz kötöttség — csak előre meghatározott, jogszerű célokra gyűjtünk adatot;
- adattakarékosság — csak a cél eléréséhez szükséges minimális adatkört kezeljük;
- pontosság — az adatok pontosságát fenntartjuk, a tévesen rögzített adatokat helyesbítjük;
- korlátozott tárolhatóság — az adatokat csak a szükséges ideig őrizzük meg;
- integritás és bizalmas jelleg — megfelelő technikai és szervezési intézkedésekkel védjük az adatokat a jogosulatlan hozzáféréstől;
- elszámoltathatóság — az Adatkezelő képes igazolni a fenti alapelveknek való megfelelést.
4. Az adatkezelés céljai, jogalapja, kezelt adatok köre és időtartama
Az Adatkezelő az alábbi célokból, az alábbi jogalapokon kezel személyes adatokat:
| Cél | Jogalap | Adatkör | Megőrzési idő |
|---|---|---|---|
| Ügyfélkapcsolat, ajánlatkészítés, szerződéskötés | GDPR 6. cikk (1) b) — szerződés teljesítése, ill. szerződéskötést megelőző lépések | Kapcsolattartó neve, beosztása, e-mail-címe, telefonszáma, cégadatok | Szerződéskötésig + 5 év (Ptk. 6:22. § elévülés); szerződés esetén lásd lejjebb |
| Szolgáltatásnyújtás (digitális ügynökségi munka, kreatív, fejlesztés, kampányok) | GDPR 6. cikk (1) b) — szerződés teljesítése | Megrendelő által átadott adatok, projekt-anyagok, hozzáférési adatok (rendszerekhez) | Szerződés megszűnésétől számított 5 év (általános polgári elévülés) |
| B'Bros mobile app és admin felület üzemeltetése (tagsági fiókkezelés, óra-foglalás, eredmény-rögzítés, ranglista, hirdetmények, push értesítések) | GDPR 6. cikk (1) b) — szerződés (tagsági szolgáltatás); push értesítés esetén GDPR 6. cikk (1) a) — hozzájárulás | Felhasználó neve, e-mail-címe, edzői szint, célok, heti edzéscél, terem-tagság, óra-foglalások, WOD-eredmények (idő / súly / ismétlés), egyéni csúcsok (PR), eszköz-azonosító push értesítéshez (Expo push token, eszköz típusa, OS verziója) | Fiók fennállásáig; a fiók in-app törlésével minden adat véglegesen elvész (cascade delete a Supabase-en) |
| Számlázás, könyvelés | GDPR 6. cikk (1) c) — jogi kötelezettség (Számv. tv. 169. §) | Cégnév, cím, adószám, számlatétel, fizetési adatok | 8 év (Számv. tv. 169. § (2)) |
| Weboldal-üzemeltetés, technikai sütik (bbros.online admin) | GDPR 6. cikk (1) f) — jogos érdek (működőképes felület) | Supabase Auth session cookie, anonimizált IP-cím, böngésző-azonosító | Session végéig, ill. max. 30 nap |
| Statisztikai és marketingsütik (Google Analytics, Meta Pixel stb.) | GDPR 6. cikk (1) a) — kifejezett hozzájárulás (sütibanner-opt-in) | Eszközazonosító, viselkedési adatok, hivatkozó URL | A süti élettartama szerint (max. 24 hónap), vagy a hozzájárulás visszavonásáig |
| Hírlevél, marketingkommunikáció | GDPR 6. cikk (1) a) — hozzájárulás; Grtv. 6. § (1) | Név, e-mail-cím, érdeklődési kör (opcionális) | Hozzájárulás visszavonásáig (leiratkozás) |
| Álláshirdetésre jelentkezők adatai | GDPR 6. cikk (1) a) — hozzájárulás (pályázat benyújtása) | Önéletrajz, motivációs levél, kapcsolattartási adatok | Pályázat lezárásától 6 hónap; jövőbeni pozíciókhoz tárolás csak külön hozzájárulással |
| Panaszkezelés, jogi igények kezelése | GDPR 6. cikk (1) c) és f) | Kapcsolattartási adatok, panasz tárgya, kommunikáció | Fgytv. 17/A. § alapján 5 év |
| Közösségi média (LinkedIn-, Facebook-, Instagram-oldal kezelése) | GDPR 6. cikk (1) f) — jogos érdek (márkaépítés, kommunikáció); közös adatkezelés a platformokkal | Profilnév, hozzászólás, üzenet, reakció | A platform és a felhasználó beállításai szerint |
Külön kiemelés a marketingsütikre vonatkozóan: a Red International Zrt. weboldalain a statisztikai és marketing célú sütik (pl. Google Analytics, Meta Pixel, LinkedIn Insight Tag) kizárólag az érintett kifejezett, előzetes, sütibanneren megadott hozzájárulása alapján aktiválódnak. A hozzájárulás bármikor, ugyanolyan egyszerűen visszavonható, mint amilyen egyszerűen megadásra került.
A B'Bros mobile alkalmazás külön kiemelése: az app nem használ harmadik féltől származó analytics SDK-t (Google Analytics, Mixpanel, Amplitude stb.), reklám-azonosítót (IDFA), tracking-et más cégek termékeivel, sem location-t (GPS), kontaktokat, fotókat. A push token kizárólag az értesítések célzott eljuttatásához szolgál, és az érintett a fiók törlésével vagy az iOS/Android értesítési beállításaiban azonnal visszavonhatja a hozzájárulást.
5. Adatfeldolgozók és címzettek
Az Adatkezelő a tevékenysége során az alábbi adatfeldolgozókat veszi igénybe. Minden adatfeldolgozóval a GDPR 28. cikke szerinti írásbeli adatfeldolgozói szerződés van érvényben:
| Adatfeldolgozó / címzett | Székhely | Tevékenység | Harmadik országba történő továbbítás |
|---|---|---|---|
| Hostinger International Ltd. | Litvánia (EU) | Webtárhely-, VPS- és domainszolgáltatás (bbros.online) | Nincs (EU) |
| Supabase Inc. | USA (San Francisco) — adattárolás EU-régióban (Frankfurt) | B'Bros mobile app és admin: adatbázis (Postgres), authentikáció, edge functions, push key tárolás | USA — EU-US Data Privacy Framework + SCC |
| Expo (650 Industries, Inc.) | USA | B'Bros mobile app build infrastruktúra (EAS), push notification proxy az Apple APNs / Google FCM felé | USA — EU-US Data Privacy Framework + SCC |
| Apple Inc. | USA | iOS App Store disztribúció + Apple Push Notification Service (APNs) — csak iOS készüléket használó tagok esetén | USA — EU-US Data Privacy Framework |
| Google Ireland Ltd. (Google Workspace, Analytics) | Írország (EU); szervei részben USA | E-mail- és irodai együttműködési platform; weboldal-analitika | USA — EU-US Data Privacy Framework |
| Meta Platforms Ireland Ltd. | Írország (EU) | Facebook/Instagram hirdetések, Meta Pixel/CAPI | USA — EU-US Data Privacy Framework |
| Könyvelő iroda | Magyarország | Könyvelési és bérszámfejtési szolgáltatás | Nincs |
| Tárhely- és e-mail-marketing-szolgáltató (pl. Mailchimp / MailerLite — ha használt) | EU / USA | Hírlevélküldés, marketingautomatizáció | USA esetén DPF / SCC |
| Egyéb projektspecifikus alvállalkozók (pl. fordító, fotós, fejlesztő) | Eseti | A megrendelt projektben részvétel | Eseti, írásbeli adatfeldolgozói szerződéssel |
Hatóságok és bíróságok: jogszabályi kötelezettség alapján, megkeresés esetén az adatok átadhatók (pl. NAV, rendőrség, bíróság, NAIH).
Megrendelői felé történő adattovábbítás: amennyiben az Adatkezelő egy konkrét ügyfél megbízásából kezel személyes adatokat (pl. weboldal-fejlesztés során a felhasználói lista átadása), úgy az Adatkezelő ebben a viszonylatban a megbízó adatfeldolgozójaként jár el, és az adattovábbítás kereteit külön szerződés rögzíti.
6. Adattovábbítás harmadik országba
Az Adatkezelő egyes adatfeldolgozói (különösen a Supabase, Expo, Apple, Google és a Meta) az adatok egy részét az Európai Gazdasági Térségen kívülre, jellemzően az Amerikai Egyesült Államokba is továbbíthatják. Ezekben az esetekben az adattovábbítás jogalapja:
- az Európai Bizottság megfelelőségi határozata az EU-US Data Privacy Framework keretében (GDPR 45. cikk), illetve
- ennek hiányában az Európai Bizottság által elfogadott általános adatvédelmi szerződési feltételek (Standard Contractual Clauses, GDPR 46. cikk (2) c)).
A vonatkozó garanciák másolata a 12. pontban jelzett elérhetőségen igényelhető.
7. Az érintett jogai
Az érintettet a GDPR III. fejezete alapján az alábbi jogok illetik meg, amelyeket az Adatkezelőnek megküldött kérelemmel gyakorolhat (a 12. pontban megadott elérhetőségeken):
- Hozzáférési jog (GDPR 15. cikk) — tájékoztatást kérhet arról, hogy kezelünk-e Önre vonatkozó adatot, és ha igen, ezekről másolatot kérhet.
- Helyesbítéshez való jog(GDPR 16. cikk) — pontatlan vagy hiányos adatainak kijavítását, kiegészítését kérheti. A B'Bros mobile appban a név mező közvetlenül szerkeszthető a Profile képernyőn.
- Törléshez való jog („elfeledtetés")(GDPR 17. cikk) — a GDPR-ban felsorolt esetekben kérheti adatainak törlését. A B'Bros mobile app Profile képernyőjén a „Fiók törlése" gombbal egy lépésben megsemmisítheti az összes adatát (cascade delete: profil, foglalások, eredmények, push tokenek). Ez a jog korlátozott, ha az adatkezelést jogi kötelezettség (pl. számviteli törvény) írja elő.
- Adatkezelés korlátozásához való jog (GDPR 18. cikk).
- Adathordozhatósághoz való jog (GDPR 20. cikk) — a hozzájárulás vagy szerződés alapján kezelt, automatizált módon feldolgozott adatait gépi olvasásra alkalmas formátumban (pl. JSON, CSV) kérheti.
- Tiltakozáshoz való jog (GDPR 21. cikk) — jogos érdeken alapuló adatkezelés ellen tiltakozhat. Közvetlen üzletszerzés (marketing) esetén a tiltakozás abszolút jog: bármikor, indokolás nélkül leiratkozhat.
- Hozzájárulás visszavonásának joga (GDPR 7. cikk (3)) — a hozzájáruláson alapuló adatkezelést bármikor visszavonhatja (pl. push értesítések kikapcsolása az iOS/Android beállításokban), ez a visszavonást megelőző adatkezelés jogszerűségét nem érinti.
- Automatizált döntéshozatal és profilalkotás elleni jog (GDPR 22. cikk) — az Adatkezelő nem hoz olyan, kizárólag automatizált adatkezelésen alapuló döntést, amely az érintettre joghatással járna.
8. Jogorvoslati lehetőségek
Amennyiben az érintett úgy ítéli meg, hogy az Adatkezelő megsértette a személyes adatainak védelmével kapcsolatos jogait, az alábbi fórumokhoz fordulhat:
- Adatkezelőnél: a 12. pontban megadott elérhetőségen jelezheti panaszát; az Adatkezelő törekszik az ügy gyors, közvetlen rendezésére.
- Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH): 1055 Budapest, Falk Miksa utca 9-11. — Postacím: 1363 Budapest, Pf. 9. — Telefon: +36 (1) 391-1400 — E-mail: ugyfelszolgalat@naih.hu — Honlap: naih.hu
- Bíróság: az érintett a lakóhelye vagy tartózkodási helye szerinti törvényszékhez fordulhat (a per a választása szerint a NAIH eljárása mellett vagy attól függetlenül is megindítható).
9. Adatbiztonsági intézkedések
Az Adatkezelő a GDPR 32. cikkében előírtaknak megfelelően a kockázat mértékéhez igazodó technikai és szervezési intézkedéseket alkalmaz, többek között:
- titkosított adatátvitel (HTTPS/TLS) a weboldalon, az appban és az e-mail-kommunikációban;
- jelszóvédelem és kétfaktoros hitelesítés (2FA) a kritikus rendszerekhez (Google Workspace, Hostinger VPS, fejlesztői platformok); a B'Bros admin felület ezen felül a Supabase Auth + super-admin allowlist által dupla védelem alatt áll;
- hozzáférés-szabályozás a „kell-tudni" elv alapján — minden munkatárs csak a feladatához szükséges adatkört látja; a B'Bros DB-n Postgres Row Level Security (RLS) garantálja, hogy a tagok csak a saját adataikat lássák;
- rendszeres biztonsági mentés és tűzfal-konfiguráció a saját üzemeltetésű szervereken;
- naplózás és incidens-monitoring;
- munkavállalói titoktartási kötelezettség és rendszeres adatvédelmi képzés;
- adatfeldolgozói szerződések minden külső szolgáltatóval, megfelelő al-adatfeldolgozói feltételekkel.
10. Adatvédelmi incidens kezelése
Adatvédelmi incidens (pl. jogosulatlan hozzáférés, adatszivárgás, adatvesztés) esetén az Adatkezelő:
- az incidenst belső incidensnaplóban dokumentálja;
- amennyiben az incidens valószínűsíthetően kockázattal jár az érintettekre nézve, azt a tudomásszerzéstől számított 72 órán belül bejelenti a NAIH-nak (GDPR 33. cikk);
- ha az incidens magas kockázattal jár, indokolatlan késedelem nélkül tájékoztatja az érintetteket is (GDPR 34. cikk).
11. Sütik (cookie-k) használata
Az Adatkezelő weboldalain a következő sütikategóriákat használja:
- Feltétlenül szükséges sütik: a weboldal alapvető működéséhez nélkülözhetetlenek (pl. munkamenet, biztonsági tokenek; bbros.online esetén Supabase Auth session cookie). Jogalap: jogos érdek; hozzájárulás nem szükséges.
- Statisztikai sütik: anonim látogatottsági adatok elemzése (pl. Google Analytics 4 IP-anonimizálással). Jogalap: hozzájárulás.
- Marketingsütik: célzott hirdetések kiszolgálása (pl. Meta Pixel, LinkedIn Insight). Jogalap: hozzájárulás.
A nem szükséges sütik csak akkor aktiválódnak, ha azokhoz a felhasználó a sütibanneren keresztül kifejezetten hozzájárul. A hozzájárulás bármikor visszavonható a sütibeállítások újranyitásával vagy a böngésző beállításai révén.
A B'Bros mobile alkalmazás nem használ sütiket — a munkamenet AsyncStorage-ben tárolt JWT-vel azonosul, a session szerveroldalon a Supabase-ben él.
12. Kapcsolattartás, kérelmek benyújtása
Az érintetti jogokkal kapcsolatos kérelmeket, panaszokat, valamint az adatkezeléssel összefüggő kérdéseket az alábbi elérhetőségeken lehet benyújtani:
Postacím: Red International Zrt., 5000 Szolnok, Óvoda út 6/a fszt. 1.
E-mail: info@redzrt.hu
Az Adatkezelő a kérelmet az adatkezelés körülményeitől függően azonosítás után dolgozza fel. A jogosulatlan adatkiadás megelőzése érdekében szükség esetén további igazolást kérhetünk.
13. Adatvédelmi tisztviselő
A Red International Zrt. tevékenysége a GDPR 37. cikk (1) bekezdése alapján nem teszi kötelezővé adatvédelmi tisztviselő (DPO) kinevezését, mivel az Adatkezelő nem végez nagyszabású, rendszeres és szisztematikus megfigyelést, és nem kezel nagy mennyiségben különleges adatot. Az adatvédelmi kérdésekben az Adatkezelő képviseletére jogosult személy jár el, akinek elérhetősége a 12. pontban található. Az Adatkezelő fenntartja a jogot DPO későbbi önkéntes kinevezésére.
14. A tájékoztató módosítása
Az Adatkezelő fenntartja a jogot a jelen tájékoztató egyoldalú módosítására — például jogszabályváltozás, új szolgáltatás bevezetése vagy adatfeldolgozó váltása esetén. A mindenkor hatályos verzió a Red International Zrt. honlapján és a bbros.online/privacy oldalon érhető el; lényeges változás esetén a regisztrált felhasználókat e-mailben is értesítjük. Javasoljuk a tájékoztató rendszeres áttekintését.
English summary (for App Store reviewers)
The B'Bros mobile app is operated by Red International Zrt., a Hungarian limited company based in Szolnok (5000 Szolnok, Óvoda út 6/a fszt. 1.; company register no. 16-10-001848; tax ID 27410529-2-16).
We collect only the data needed to run a CrossFit gym membership: email, name, fitness level / goals, workout results, class bookings, and an Expo push token for notifications. We do not track location, contacts, photos, browsing history, or use third-party analytics or advertising SDKs. Data is stored in Supabase (EU region, Frankfurt). Users can delete their account and all data in-app at any time (Profile → „Fiók törlése"). Contact: info@redzrt.hu.