Adatkezelési tájékoztató

Utolsó módosítás: 2026. június 8.

1. Bevezető

A jelen Adatkezelési tájékoztató (a továbbiakban: Tájékoztató) a Webes Kosár Kft. (a továbbiakban: Adatkezelő) által üzemeltetett Cartello platform igénybevételével összefüggő személyes adatok kezelésének szabályait tartalmazza. A Tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezései alapján készült.

A Cartello platform kizárólag jogi személyek és egyéni vállalkozók (a továbbiakban: Felhasználó) számára érhető el. Az adatkezelés tárgyát ezért döntően a Felhasználó céges kapcsolattartási adatai, valamint a platformon keresztül szinkronizált e-kereskedelmi rendelések adatai képezik.

2. Az Adatkezelő adatai

  • Cégnév: Webes Kosár Kft.
  • Székhely: 1141 Budapest, Komócsy utca 39. IV. ép. földszint 1. ajtó
  • Adószám: 26219583-2-42
  • Cégjegyzékszám: 01-09-308463
  • Adatvédelmi kapcsolattartó: cartello@newmillennium.hu

3. Az adatkezelés alapelvei

Az Adatkezelő a személyes adatokat a GDPR 5. cikke szerinti alapelveknek megfelelően kezeli:

  • Jogszerűség, tisztességes eljárás és átláthatóság — az adatkezelés jogalapja minden esetben meghatározott.
  • Célhoz kötöttség — az adatokat kizárólag az alább meghatározott, konkrét célokra gyűjtjük.
  • Adattakarékosság — csak a cél eléréséhez szükséges személyes adatokat kezeljük.
  • Pontosság — gondoskodunk az adatok naprakészségéről, a pontatlan adatokat töröljük vagy helyesbítjük.
  • Korlátozott tárolhatóság — az adatokat csak az alább meghatározott ideig őrizzük meg.
  • Integritás és bizalmas jelleg — az adatokat megfelelő technikai és szervezési intézkedésekkel védjük.

4. Kezelt adatok és az adatkezelés jogalapja

4.1 Regisztráció és hozzáférés-kezelés

  • Kezelt adatok: e-mail cím, jelszó (titkosítva tárolva, Adatkezelő számára nem hozzáférhető formában)
  • Adatkezelés célja: felhasználói fiók létrehozása és azonosítás
  • Jogalap: GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
  • Megőrzési idő: a fiók fennállásáig, törlést követően 5 évig (Ptk. elévülési idő)

4.2 Céges adatok és kapcsolatok kezelése

  • Kezelt adatok: cégnév, kapcsolattartók e-mail-címe, az e-kereskedelmi platformokhoz tartozó API-hozzáférési adatok (titkosítottan, Supabase Vault-ban tárolva)
  • Adatkezelés célja: a szinkronizációs és csomagkezelési modulok működtetése
  • Jogalap: GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
  • Megőrzési idő: a szerződéses jogviszony fennállásáig, majd 5 évig

4.3 Számlázás és fizetésfeldolgozás

  • Kezelt adatok: számlázási cím, bankkártya-adatok (kizárólag a Stripe fizetési szolgáltatónál tárolódnak, az Adatkezelő ezekhez nem fér hozzá)
  • Adatkezelés célja: előfizetési díj beszedése, számlakiállítás
  • Jogalap: GDPR 6. cikk (1) bekezdés b) pont (szerződés teljesítése) és c) pont (számviteli törvény szerinti jogi kötelezettség teljesítése)
  • Megőrzési idő: 8 év (2000. évi C. törvény, Sztv.)

4.4 Tranzakciós e-mail értesítések

  • Kezelt adatok: e-mail cím, értesítési tartalom (pl. szinkronizációs hibák, rendszerüzenetek)
  • Adatkezelés célja: a platform működésével kapcsolatos értesítések küldése
  • Jogalap: GDPR 6. cikk (1) bekezdés b) pont (szerződés teljesítése) és f) pont (jogos érdek: a Felhasználó tájékoztatása a szolgáltatás állapotáról)
  • Megőrzési idő: a fiók fennállásáig

4.5 Csomagkezelés modul (ellenőrzés és csomagfeladás)

  • Kezelt adatok: rendelésazonosítók; vonalkód-ellenőrzési állapot és tétellista-pillanatkép (ellenőrzés); szállítási címzett neve, címe, telefonszáma, e-mail-címe és csomagpont azonosítója a csomagfeladás során (a forrásplatformról lekérve, fuvarozónak továbbítva); fuvarozói visszaigazolások (nyomkövetési szám, csomagparaméterek); operátor azonosító
  • Adatkezelés célja: rendelések vonalkóddal történő ellenőrzése, státuszváltás, csomagfeladás fuvarozói integrációkon keresztül (jelenleg: Kvikk, PannonXP)
  • Jogalap: GDPR 6. cikk (1) bekezdés b) pont — szerződés teljesítése
  • Megőrzési idő: ld. 7. fejezet (címzett adatok általában nem kerülnek tartós tárolásra a Cartello adatbázisában)

4.6 Biztonsági és üzemeltetési naplók

  • Kezelt adatok: szinkronizációs eseménynaplók (sync_log), webhook-naplók (webhook_log), szinkronizációs sor adatai (sync_queue)
  • Adatkezelés célja: hibaelhárítás, szolgáltatásminőség monitorozása, auditálhatóság biztosítása
  • Jogalap: GDPR 6. cikk (1) bekezdés f) pont — jogos érdek (biztonságos és megbízható szolgáltatás nyújtása)
  • Megőrzési idő: ld. 7. fejezet

5. A Cartello mint adatfeldolgozó

A Cartello platform szinkronizációs modulja a Felhasználó e-kereskedelmi platformjain (pl. Unas, Shopify) keletkező rendelési adatokat — amelyek végfelhasználók személyes adatait (pl. név, szállítási cím) tartalmazhatják — dolgozza fel és továbbítja a célrendszerbe (pl. IonERP). A csomagkezelés modul ugyanezekből a forrásrendelésekből dolgozik: ellenőrzéskor ideiglenesen jeleníti meg a rendelés adatait; csomagfeladáskor a Felhasználó utasítása alapján továbbítja a címzett adatokat a Felhasználó által konfigurált fuvarozói szolgáltatóhoz (pl. Kvikk, PannonXP).

E rendelési adatok vonatkozásában a Felhasználó cég minősül adatkezelőnek (GDPR 4. cikk 7. pont), míg az Adatkezelő (Webes Kosár Kft.) adatfeldolgozóként (GDPR 4. cikk 8. pont, 28. cikk) jár el. A végfelhasználók személyes adatainak kezeléséért, valamint az ahhoz szükséges jogalap fennállásáért kizárólag a Felhasználó felel. Az Adatkezelő e feladatát az ÁSZF-ben foglalt adatfeldolgozói megállapodás keretei között végzi.

A rendelési adatok kizárólag a modulok működtetéséhez szükséges ideig és mértékben kerülnek tárolásra; az adatminimalizálás elvének megfelelően automatikus anonimizálási és törlési folyamatok gondoskodnak a szükségtelennél hosszabb tárolás elkerüléséről (ld. 7. fejezet). A csomagfeladás során a címzett személyes adatai a Cartello adatbázisában általában nem kerülnek tartós mentésre — a fuvarozó felé történő továbbítás után a platform audit céljára rendelés- és fuvarozói azonosítókat őrizhet.

6. Adatfeldolgozók

Az Adatkezelő a következő adatfeldolgozókat veszi igénybe (GDPR 28. cikk). Az adatfeldolgozók az adatokat kizárólag az Adatkezelő utasítása alapján, az adott szerződéses kereteken belül kezelhetik.

AdatfeldolgozóTevékenységAdatkezelés helye
Supabase Ireland LimitedAdatbázis-üzemeltetés, hitelesítésEU (Írország / Frankfurt)
Vercel Inc.Webalkalmazás üzemeltetése, CDNEU-régió (Frankfurt); EU–USA Standard Contractual Clauses (SCC) alapján
Trigger.devHáttérfeladatok futtatása (szinkronizációs folyamatok)EU-régió; SCC alapján
Resend Inc.Tranzakciós e-mail küldésUSA; SCC alapján
Stripe Payments Europe LimitedFizetésfeldolgozás, kártyaadatok kezeléseEU (Írország); Stripe saját adatvédelmi szabályzata alapján

Fuvarozói integrációk (Kvikk, PannonXP): ezek nem minősülnek az Adatkezelő al-adatfeldolgozóinak. A Felhasználó saját fuvarozói szerződése és API-hitelesítő adatai alapján használja őket; a Cartello technikai közvetítőként továbbítja a címzett adatokat a Felhasználó kérésére. A fuvarozóval a Felhasználó külön adatkezelői/adatfeldolgozói viszonyban áll.

7. Adatok megőrzési ideje

AdatkategóriaMegőrzési időIntézkedés
Fiókadatok (e-mail, jelszó hash)Fiók fennállása + 5 évTörlés
Számlázási adatok8 év (Sztv.)Archíválás, majd törlés
Szinkronizációs napló (sync_log)90 napTörlés; összesített statisztika véglegesen megőrzött
Webhook-napló (webhook_log)30 napTörlés; összesített statisztika véglegesen megőrzött
Rendelés-pillanatfelvételek (order_snapshots)Rendelés lezárásától számított 180 napTörlés (14 napos inaktivitási kapu + jogi zárolás figyelembe vételével)
Szinkronizációs sor rendelésadatai (sync_queue payload)Rendelés lezárásától számított 90 napAnonimizálás (nullázás); a sor-rekord megmarad audit célból
Ellenőrzési előzmények (checker_sessions, lezárt)Lezárástól számított 180 napTörlés (rendelésazonosító + operátor meta; címzett adat nincs benne)
Ellenőrzési állapot cache (checker_verified_orders)24 óraTörlés
Egyidejű ellenőrzés foglalások (checker_claims)30 percTörlés
Csomagfeladás audit (dispatch_packages, dispatch_package_events)Címzett adat nem kerül tárolásra; rendelésazonosító audit célbólRendelés-életciklus purge bővítése tervezett (order_key anonimizálás, 180 nap összhang)
Adatkezelési auditnapló (retention_audit_log)Határozatlan ideigMegőrzés (jogi kötelezettség és elszámolhatóság)

A megőrzési időkre vonatkozó automatizált folyamatok naponta vagy rendszeres ütemezéssel futnak (ellenőrzési cache és előzmények: öt percenkénti háttérfeladat). Jogi zárolás (legal hold) esetén az érintett adatok törlése a zárolás feloldásáig felfüggesztésre kerül.

8. Az érintett jogai

A GDPR 15–22. cikke alapján az érintett az alábbi jogokat gyakorolhatja az Adatkezelő felé intézett írásbeli kérelemmel (e-mail: cartello@newmillennium.hu):

  • Hozzáférési jog (15. cikk): tájékoztatás kérhető a kezelt személyes adatokról és az adatkezelés körülményeiről.
  • Helyesbítési jog (16. cikk): a pontatlan vagy hiányos adatok kijavítása kérhető.
  • Törléshez való jog („az elfeledtetéshez való jog”, 17. cikk): az adatok törlése kérhető, ha az adatkezelés jogalapja megszűnt, vagy az adatkezelés jogellenes — a jogszabályi megőrzési kötelezettségek által érintett adatok kivételével.
  • Az adatkezelés korlátozásához való jog (18. cikk): meghatározott feltételek esetén kérhető az adatkezelés korlátozása.
  • Adathordozhatósághoz való jog (20. cikk): a szerződéses jogalapon, automatizáltan kezelt adatok strukturált, géppel olvasható formátumban kérhetők.
  • Tiltakozási jog (21. cikk): a jogos érdeken alapuló adatkezelés ellen bármikor tiltakozni lehet; közvetlen üzletszerzés esetén a tiltakozásnak feltétel nélküli hatálya van.

Az Adatkezelő a kérelmekre a GDPR 12. cikk (3) bekezdése alapján legkésőbb 30 napon belül válaszol. Összetett vagy nagyszámú kérelem esetén e határidő további 2 hónappal meghosszabbítható, amiről az érintettet tájékoztatjuk.

9. Jogorvoslat

Amennyiben az érintett úgy ítéli meg, hogy személyes adatainak kezelése sérti a GDPR rendelkezéseit, panasszal élhet a felügyeleti hatóságnál:

  • Hatóság neve: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
  • Székhely: 1055 Budapest, Falk Miksa utca 9–11.
  • Weboldal: www.naih.hu

Az érintett emellett bírósági úton is jogorvoslatot kereshet. A pert az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindíthatja (GDPR 79. cikk; Infotv. 23. §).

10. A tájékoztató módosítása

Az Adatkezelő fenntartja a jogot a jelen Tájékoztató egyoldalú módosítására. A módosításról a Felhasználót a fiókjához regisztrált e-mail-címre küldött értesítőben tájékoztatja, legalább 15 nappal a hatálybalépés előtt — összhangban az Általános Szerződési Feltételek 12. §-ával. A módosítás hatálybalépése után a platform további használata az új feltételek elfogadását jelenti.