Adatvédelmi tájékoztató
Tájékoztató a Claros szolgáltatással összefüggő személyesadat-kezelésről az (EU) 2016/679 rendelet (GDPR) 13–14. cikke alapján.
Hatályos: 2026. július 9-től
1. Az adatkezelő
Adatkezelő: [Szolgáltató neve — kitöltendő] (székhely: [Székhely — kitöltendő]; nyilvántartási szám: [Cégjegyzékszám / nyilvántartási szám — kitöltendő]; adószám: [Adószám — kitöltendő]; e-mail: claros.work@gmail.com; honlap: https://www.claros.hu) — a továbbiakban: „Szolgáltató".
A Szolgáltató adatvédelmi tisztviselő kijelölésére nem köteles és adatvédelmi tisztviselőt nem jelölt ki. Adatvédelmi kérdésekben a fenti e-mail-címen érhető el.
2. A tájékoztató hatálya és a szerepek
Ez a tájékoztató a claros.hu weboldal látogatóira, a beta várólistára feliratkozókra és a Claros praxiskezelő szolgáltatást használó szakmai felhasználókra (pszichológusokra, mentálhigiénés szakemberekre) vonatkozik.
A szakmai felhasználó által a Clarosban rögzített kliens- és páciensadatok tekintetében a GDPR 4. cikk 7. pontja szerinti adatkezelő maga a szakmai felhasználó (illetve praxisa); a Szolgáltató e körben a GDPR 28. cikke szerinti adatfeldolgozóként jár el, a felek között az ÁSZF elválaszthatatlan mellékletét képező Adatfeldolgozási megállapodás (elérhető: /dpa) szerint. A kliensek és páciensek az adataikkal kapcsolatos kérelmeiket elsődlegesen a kezelő szakemberhez nyújthatják be.
A szakmai felhasználó felel a rá irányadó egészségügyi és szakmai dokumentációs jogszabályok betartásáért, ideértve különösen az egészségügyről szóló 1997. évi CLIV. törvényt (Eütv.), az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényt (Eüak.), valamint a pszichológusi titoktartás szakmai-etikai szabályait. Az egészségügyi adatok kezelésének jogalapját (pl. GDPR 9. cikk (2) h) pont, illetve kifejezett hozzájárulás) a szakmai felhasználó biztosítja.
3. A kezelt adatok köre, célja, jogalapja és megőrzési ideje
A Szolgáltató saját adatkezelőként az alábbi adatkezeléseket végzi:
- Fiókkezelés és a szolgáltatás nyújtása — kezelt adatok: név, e-mail-cím, telefonszám, praxisnév és -cím, beállítások, hitelesítési adatok. Jogalap: GDPR 6. cikk (1) b) — szerződés teljesítése. Megőrzés: a fiók törléséig.
- Beta várólista és kapcsolatfelvétel — kezelt adatok: e-mail-cím, üzenet tartalma. Jogalap: GDPR 6. cikk (1) a) — hozzájárulás, amely bármikor visszavonható. Megőrzés: a hozzájárulás visszavonásáig, de legfeljebb a beta időszak lezárását követő 6 hónapig.
- Számlázás és előfizetés-kezelés — kezelt adatok: számlázási név, cím, adószám, előfizetési és fizetési státusz. Jogalap: GDPR 6. cikk (1) c) — jogi kötelezettség (a számvitelről szóló 2000. évi C. törvény 169. §). Megőrzés: a számla kiállításától számított 8 év.
- Biztonsági naplózás és visszaélés-megelőzés — kezelt adatok: IP-címből képzett lenyomat (hash), eseménytípus, időbélyeg, biztonsági eseménynapló. Jogalap: GDPR 6. cikk (1) f) — a Szolgáltató jogos érdeke a szolgáltatás és a felhasználói fiókok védelme. Megőrzés: sebességkorlátozási rekordok legfeljebb 7 nap, biztonsági eseménynaplók legfeljebb 12 hónap.
- Ügyfélszolgálati megkeresések — kezelt adatok: e-mail-cím, a megkeresés tárgya és tartalma. Jogalap: GDPR 6. cikk (1) b), illetve f). Megőrzés: a megkeresés lezárását követő 12 hónap.
- Kétfaktoros hitelesítés — kezelt adatok: a hitelesítő alkalmazás regisztrációjához szükséges technikai adatok. Jogalap: GDPR 6. cikk (1) f) — a fiókbiztonsághoz fűződő jogos érdek. Megőrzés: a faktor törléséig vagy a fiók megszűnéséig.
4. Kliens- és klinikai adatok — zero-knowledge titkosítás
A szakmai felhasználó által rögzített praxis- és kliensadatok (különösen az egészségügyi adatnak minősülő, a GDPR 9. cikke szerinti különleges kategóriájú adatok) végponti, ún. zero-knowledge titkosítással tárolódnak: a titkosítás és a visszafejtés kizárólag a felhasználó eszközén történik, a titkosító kulcs a Szolgáltatóhoz nem kerül át. A Szolgáltató e tartalmakhoz hozzáférni nem képes.
A titkosított tartalmakban a Szolgáltató az érintetteket azonosítani nem képes (GDPR 11. cikk); ezért a kliensek és páciensek érintetti kérelmeit kizárólag a kezelő szakember tudja teljesíteni. A titkosított adatok tárolása az Európai Unió területén (eu-west-1 régió) történik.
A helyreállítási kulcs (recovery phrase) megőrzése a felhasználó felelőssége; annak elvesztése esetén a titkosított adatok sem a felhasználó, sem a Szolgáltató által nem állíthatók helyre.
A Claros nem alkalmas sürgősségi vagy krízishelyzeti kommunikáció kezelésére, és nem helyettesíti az egészségügyi dokumentációra vonatkozó jogszabályi kötelezettségek teljesítését.
5. Adatfeldolgozók és címzettek
A Szolgáltató az alábbi adatfeldolgozókat veszi igénybe. A lista tervezett bővítéséről vagy cseréjéről a szakmai felhasználókat legalább 30 nappal korábban értesítjük; a felhasználó a változással szemben kifogást emelhet, és kifogása esetén a szerződést hátrányos jogkövetkezmény nélkül felmondhatja. Személyes adatot harmadik félnek ezen felül csak jogszabályi kötelezettség alapján vagy a felhasználó utasítására továbbítunk; személyes adatot nem értékesítünk és hirdetési célra nem használunk.
- Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) — tárhely- és alkalmazásüzemeltetés.
- Supabase Inc. (970 Toa Payoh North #07-04, Szingapúr) — hitelesítés és adatbázis-szolgáltatás; az adatok tárolása az EU-ban (eu-west-1 régió) történik.
- Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin, Írország) — előfizetési díjak fizetésének feldolgozása; a bankkártyaadatokat kizárólag a Stripe kezeli.
- Resend (Plus Five Five, Inc., USA) — tranzakciós e-mailek küldése.
- Zendesk, Inc. (989 Market St, San Francisco, USA) — ügyfélszolgálati megkeresések kezelése.
- Cloudflare, Inc. (101 Townsend St, San Francisco, USA) — automatizált visszaélések elleni védelem (Turnstile).
- Google Ireland Ltd. (Gordon House, Barrow Street, Dublin, Írország) — Google Naptár-integráció, kizárólag akkor, ha a felhasználó azt maga kapcsolja be.
- KBOSS.hu Kft. (szamlazz.hu) — a felhasználó saját számlázási integrációja; e körben a KBOSS.hu Kft. a felhasználó által igénybe vett szolgáltató.
6. Harmadik országba történő adattovábbítás
Egyes adatfeldolgozók az Európai Gazdasági Térségen kívül, elsősorban az Amerikai Egyesült Államokban működnek. Az ilyen továbbítások az EU–USA adatvédelmi keret (EU–U.S. Data Privacy Framework) szerinti megfelelőségi határozat, ennek hiányában a GDPR 46. cikk (2) c) pontja szerinti általános szerződési feltételek (SCC-k) alapján, megfelelő garanciák mellett történnek.
7. Sütik (cookie-k) és mérés
A Claros kizárólag a működéshez szükséges sütiket használ; marketing- vagy profilalkotási célú sütit nem alkalmaz.
- Hitelesítési sütik (Supabase) — a bejelentkezett munkamenet fenntartása; érvényesség: munkamenet, illetve a bejelentkezés lejárta.
- „lang", „langSource" — nyelvi beállítás tárolása; érvényesség: 1 év.
- „theme" — világos/sötét téma tárolása; érvényesség: 1 év.
- Google Naptár-összekötéskor rövid élettartamú, biztonsági célú állapotsüti (10 perc).
- A látogatottság mérése a Vercel Analytics útján, sütik és egyedi azonosítók nélkül, összesített formában történik.
8. Az érintettek jogai
Az érintett a GDPR 15–22. cikke alapján kérheti a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését („elfeledtetéshez való jog"), az adatkezelés korlátozását, gyakorolhatja adathordozhatósághoz való jogát, valamint a jogos érdeken alapuló adatkezelés ellen tiltakozhat. A hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármikor visszavonható; a visszavonás nem érinti a korábbi adatkezelés jogszerűségét.
A kérelmeket a claros.work@gmail.com címen lehet benyújtani. A Szolgáltató a kérelmet indokolatlan késedelem nélkül, de legkésőbb a beérkezéstől számított egy hónapon belül teljesíti vagy megválaszolja; ez a határidő szükség esetén — az érintett tájékoztatása mellett — két hónappal meghosszabbítható.
A fiókbeállításokban a felhasználó maga is exportálhatja adatait (adathordozhatóság), és kezdeményezheti a praxisadatok vagy a teljes fiók törlését.
Automatizált döntéshozatal és profilalkotás a szolgáltatásban nem történik.
9. Adatbiztonság
A Szolgáltató a GDPR 32. cikkének megfelelő technikai és szervezési intézkedéseket alkalmaz, többek között: titkosított adatátvitel (TLS), a klinikai tartalmak végponti (zero-knowledge) titkosítása, az integrációs titkok (pl. hozzáférési tokenek) titkosított tárolása, kétfaktoros hitelesítés lehetősége, szigorú tartalombiztonsági (CSP) és hozzáférés-szabályozási szabályok, sebességkorlátozás és biztonsági naplózás.
Adatvédelmi incidens esetén a Szolgáltató a GDPR 33–34. cikke szerint jár el: az incidenst — ha az valószínűsíthetően kockázattal jár — 72 órán belül bejelenti a felügyeleti hatóságnak, és magas kockázat esetén tájékoztatja az érintetteket.
10. Jogorvoslat
Az érintett panaszával a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) fordulhat: 1055 Budapest, Falk Miksa utca 9–11.; postacím: 1363 Budapest, Pf. 9.; telefon: +36 (1) 391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: naih.hu.
Az érintett a jogainak megsértése esetén bírósághoz is fordulhat; a per — az érintett választása szerint — az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
11. A tájékoztató módosítása
A Szolgáltató a tájékoztatót egyoldalúan módosíthatja. A lényeges módosításokról a felhasználókat a hatálybalépés előtt e-mailben vagy a felületen értesítjük; a módosított tájékoztató a közzétételkor megjelölt naptól hatályos.