ADATKEZELÉSI TÁJÉKOZTATÓ — Scroll Group (Scroll Studio Kft.)
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, GDPR) 13. és 14. cikke szerinti tájékoztató.
Dokumentum azonosító: SS-ADAT-2026-06
Verzió: 2.0
Utolsó módosítás: 2026. június 18.
Weboldal: scrollgroup.hu (a Scroll Studio Kft. cégcsoportos megjelenése; a társaság a scrollstudio.hu domaint is használja)
1. Az Adatkezelő adatai, kapcsolat
| Megnevezés | Adat |
|---|---|
| Cégnév | Scroll Studio Korlátolt Felelősségű Társaság |
| Rövidített cégnév | Scroll Studio Kft. |
| Cégjegyzékszám | 01-09-451539 |
| Adószám | 32959817-2-42 |
| Adóstátusz | Általános ÁFA-alany |
| Székhely | 1101 Budapest, Üllői út 124. A. ép. 3. em. 47. ajtó |
| Nyilvántartó bíróság | Fővárosi Törvényszék Cégbírósága |
| Ügyvezető (képviselő) | Tösmagi Eszter |
| E-mail / adatvédelmi kapcsolat | scroll.studio@outlook.hu |
| Telefon | +36 70 621 5152 |
| Weboldal | scrollgroup.hu · scrollstudio.hu |
1.1. Az Adatkezelő tevékenysége
A Scroll Studio Kft. mesterséges intelligencia (AI) eszközöket alkalmazó digitális ügynökség, amely Scroll Group ernyőnév alatt három üzletágban nyújt szolgáltatásokat: Scroll Studio (marketing, tartalomgyártás, videó, fotó, grafika, közösségi média kezelés), Scroll Digital (weboldal- és webshop-fejlesztés, automatizáció, integráció, üzemeltetés) és Scroll Learning (oktatás, workshop, képzés). A társaság emellett ingyenesen használható online alkalmazásokat (Scroll AI Ökoszisztéma), szakember-katalógust és Telegram-alapú botokat is üzemeltet. A „Scroll Group" a Scroll Studio Kft. ernyő-márkaneve, nem önálló jogi személy. Az AI-eszközöket a társaság minden esetben emberi felügyelet mellett alkalmazza (lásd 8. fejezet — AI-eszközös adatkezelés).
1.2. Adatvédelmi kapcsolattartó és tisztviselő (DPO)
Az adatvédelmi kérdésekben eljáró kapcsolattartó az ügyvezető, Tösmagi Eszter (elérhetőség: scroll.studio@outlook.hu). Az Adatkezelő megvizsgálta a GDPR 37. cikk (1) bekezdése szerinti kötelező adatvédelmi tisztviselő (DPO) kijelölésének feltételeit: tevékenysége nem irányul nagy számú érintett rendszeres és szisztematikus, nagymértékű megfigyelésére, és fő tevékenységként nem kezel a GDPR 9–10. cikk szerinti különleges vagy büntetőjogi adatot nagy mértékben, ezért kötelező DPO-kijelölés nem áll fenn. Az érintettek adatvédelmi megkereséseiket (kérelem, panasz, jogérvényesítés) az ügyvezetőhöz mint adatvédelmi kapcsolattartóhoz nyújthatják be a fenti e-mail címen vagy postai úton.
2. Fogalommeghatározások
| Fogalom | Meghatározás |
|---|---|
| Személyes adat | Azonosított vagy azonosítható természetes személyre vonatkozó bármely információ (GDPR 4. cikk (1) pont). |
| Érintett | Az a természetes személy, akinek személyes adatait kezelik. |
| Adatkezelő | Az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza (GDPR 4. cikk (7) pont) — jelen esetben a Scroll Studio Kft. |
| Adatfeldolgozó | Az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk (8) pont). |
| Adatkezelés | A személyes adatokon végzett bármely művelet (gyűjtés, rögzítés, tárolás, felhasználás, törlés stb.) (GDPR 4. cikk (2) pont). |
| Hozzájárulás | Az érintett akaratának önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű kinyilvánítása (GDPR 4. cikk (11) pont). |
| Profilalkotás | Személyes jellemzők automatizált értékelése (GDPR 4. cikk (4) pont). |
| Pszeudonimizálás | Olyan kezelés, amely további információ nélkül nem köthető az érintetthez; a pszeudonimizált adat továbbra is személyes adat (GDPR 4. cikk (5) pont). |
| Anonimizálás | Visszafordíthatatlan átalakítás, amelynek eredménye már nem személyes adat. |
| AI rendszer | Az AI Act (EU) 2024/1689 3. cikk 1. pontja szerinti, változó autonómiával működő, bemenetekből kimenetet (pl. szöveg, kép, hang) generáló gépi rendszer. |
| Alkalmazó (deployer) | Az AI Act 3. cikk 4. pontja szerint az a szereplő, aki saját felelőssége mellett harmadik fél AI-rendszerét használja — jelen esetben a Scroll Studio Kft. |
3. A szerződéskötés folyamata (click-wrap)
A szerződéskötés menete: ajánlat → megrendelés → online elfogadás (click-wrap). Az online elfogadás során a megrendelő az „Elfogadom" gomb megnyomásával fogadja el az ajánlatot és a vonatkozó szerződési feltételeket (ÁSZF). A szerződés létrejöttének és tartalmának bizonyítása érdekében az Adatkezelő az alábbi adatokat rögzíti:
| Rögzített adat | Cél | Jogalap |
|---|---|---|
| Elfogadó azonosító adatai (név, e-mail, cégnév) | A szerződés létrejöttének és tartalmának bizonyítása | GDPR 6. cikk (1) b) — szerződés; 6. cikk (1) f) — jogos érdek (bizonyíthatóság) |
| IP-cím | Az elfogadás technikai naplózása, visszaélés-megelőzés | GDPR 6. cikk (1) f) — jogos érdek |
| Időbélyeg (az elfogadás pontos időpontja) | A szerződéskötés időpontjának igazolása | GDPR 6. cikk (1) b) és f) |
Az elektronikus aláírás (AVDH — azonosításra visszavezetett dokumentumhitelesítés, illetve minősített elektronikus aláírás) jelenleg opcionális; bevezetése esetén jelen tájékoztató ennek megfelelően frissül.
4. Az adatkezelés céljai, jogalapjai és a kezelt adatok köre
4.1. Kapcsolatfelvételi űrlap
| Megnevezés | Részletek |
|---|---|
| Cél | Az érdeklődők megkereséseinek fogadása és megválaszolása |
| Kezelt adatok | Név, e-mail cím, telefonszám (opcionális), üzenet szövege |
| Jogalap | Az érintett hozzájárulása — GDPR 6. cikk (1) a) |
| Megőrzési idő | Az üzenet megválaszolásától számított 1 év, vagy a hozzájárulás visszavonásáig |
| Érintettek | A weboldal kapcsolatfelvételi űrlapját kitöltő személyek |
4.2. Kalkulátor / árajánlatkérés
| Megnevezés | Részletek |
|---|---|
| Cél | Tájékoztató jellegű árajánlat összeállítása és megküldése |
| Kezelt adatok | Név, e-mail cím, telefonszám (opcionális), kiválasztott szolgáltatások és paraméterek |
| Jogalap | Az érintett hozzájárulása — GDPR 6. cikk (1) a) |
| Megőrzési idő | Az ajánlat megküldésétől számított 2 év, vagy a hozzájárulás visszavonásáig |
| Érintettek | A weboldalon árajánlatot kérő személyek |
| Tárolás helye | Supabase (EU, Frankfurt) — közös leads-adatbázis; a beérkezésről a Resend (USA, SCC) küld e-mail-értesítőt (lásd 5. fejezet) |
| Megjegyzés | A kalkulátor által generált árak tájékoztató jellegűek, minősített ajánlatnak nem tekintendők. |
4.3. Hírlevél, közvetlen üzletszerzés
| Megnevezés | Részletek |
|---|---|
| Cél | Marketing célú elektronikus levelek küldése, szakmai tartalmak megosztása |
| Kezelt adatok | Név, e-mail cím |
| Jogalap | Az érintett hozzájárulása — GDPR 6. cikk (1) a) |
| Megőrzési idő | A hozzájárulás visszavonásáig (leiratkozásig) |
| Érintettek | Hírlevélre feliratkozó személyek |
| Megjegyzés | A feliratkozás az e-mail-cím megadásával és a hozzájárulás megerősítésével (opt-in) történik; a hozzájárulás tényét és időpontját naplózzuk. A hozzájárulásokról a Grtv. 6. § (5) szerint nyilvántartást vezetünk (név, e-mail, a hozzájárulás megadásának és visszavonásának időpontja). Leiratkozás minden hírlevélben egy kattintással lehetséges. |
4.4. Szerződéses partnerek (megrendelők)
| Megnevezés | Részletek |
|---|---|
| Cél | Szerződéskötés, szolgáltatás nyújtása, számlázás, kapcsolattartás |
| Kezelt adatok | Név, e-mail cím, telefonszám, számlázási adatok (cégnév, székhely, adószám), bankszámlaszám |
| Jogalap | Szerződés teljesítése — GDPR 6. cikk (1) b); Jogi kötelezettség (számlázás) — GDPR 6. cikk (1) c) |
| Megőrzési idő | A szerződés teljesülésétől számított 5 év; számlázási adatok: Számviteli törvény 169. § szerinti 8 év |
| Érintettek | Természetes személy megrendelők, illetve jogi személy megrendelők kapcsolattartói |
4.5. Közösségi média fiókok kezelése
| Megnevezés | Részletek |
|---|---|
| Cél | A Megrendelő közösségi média fiókjainak kezelése a szolgáltatási szerződés alapján |
| Kezelt adatok | A Megrendelő által biztosított fiók hozzáférési adatok (felhasználónév, jelszó vagy adminisztrátori jogosultság) |
| Jogalap | Szerződés teljesítése — GDPR 6. cikk (1) b) |
| Megőrzési idő | A szerződés megszűnéséig; a hozzáférési adatok a szerződés megszűnésekor haladéktalanul törlésre kerülnek |
| Megjegyzés | Az Adatkezelő a közösségi média platformok beépített analitikai eszközeit használja (Meta Business Suite, TikTok Analytics, YouTube Studio stb.), de az analitikai adatokat nem exportálja, nem tárolja külön szerveren, és nem kezeli harmadik fél rendszerében. |
4.6. Weboldal látogatók (sütik)
| Megnevezés | Részletek |
|---|---|
| Cél | A weboldal alapvető működésének biztosítása. A weboldal harmadik féltől származó követő- vagy hirdetési (marketing) sütit NEM helyez el (nincs Google-, Meta- vagy TikTok-pixel). A weboldal saját, anonim működési és mérési célú adatkezeléséről külön a 4.8. pont rendelkezik. |
| Kezelt adatok | Munkamenet-azonosító, alapvető működési süti azonosítók |
| Jogalap | Feltétlenül szükséges sütik: a felhasználó által kért szolgáltatás nyújtása — GDPR 6. cikk (1) b), illetve jogos érdek — 6. cikk (1) f). Az Eht. 155. § (4) bekezdése és a 2002/58/EK (ePrivacy) irányelv 5. cikk (3) bekezdése szerint e sütik a hozzájárulási kötelezettség alóli kivételt képezik. |
| Megőrzési idő | Lásd Süti tájékoztató |
| Érintettek | A weboldal látogatói |
4.7. AI-eszközök használata
| Megnevezés | Részletek |
|---|---|
| Cél | A szolgáltatás nyújtásának támogatása (szöveg-, kép-, videógenerálás, script készítés) |
| Kezelt adatok | A szolgáltatás-támogatáshoz szükséges adatok. A promptba kerülő adatot lehetőség szerint anonimizáljuk vagy adatminimalizáljuk, de egyes feldolgozásoknál (pl. hangátirat, ügyfél által átadott szöveg, bot-üzenet) személyes adat is kerülhet AI-rendszerbe — ekkor az AI-szolgáltató a GDPR 28. cikke szerinti adatfeldolgozó (DPA + SCC garanciával), és a 8. fejezet garanciái (emberi felügyelet, adatminimalizálás, modelltanítás-kizárás) érvényesek |
| Jogalap | Jogos érdek — GDPR 6. cikk (1) f); ahol az AI-feldolgozás a megrendelt szolgáltatás része: 6. cikk (1) b) |
| Megjegyzés | Az Adatkezelő az EU AI Act (2024/1689) rendelkezéseinek megfelelően jár el. Az alkalmazott AI rendszerek: OpenAI (ChatGPT, DALL-E), Anthropic (Claude), Google (Gemini), Higgsfield, Manus AI. |
4.8. Saját, anonim eseménymérés (first-party analitika)
| Megnevezés | Részletek |
|---|---|
| Cél | A weboldal és a regisztrációs/belépési folyamat (funnel) működésének mérése és fejlesztése — pl. hány látogató, mely oldalakat nézik, hol akad el a folyamat. |
| Kezelt adatok | Anonim munkamenet-azonosító (a böngésződben tárolva), az IP-cím egyirányú, visszafejthetetlen lenyomata (SHA-256 — a nyers IP-címet NEM tároljuk), oldal-útvonal, eszköz-kategória (mobil/asztali), esemény-típus. Bejelentkezett felhasználónál az esemény a fiókhoz kapcsolódhat. |
| Jogalap | Az érintett előzetes, kifejezett hozzájárulása — GDPR 6. cikk (1) a), összhangban az Eht. 155. § (4) bekezdésével és a 2002/58/EK (ePrivacy) irányelv 5. cikk (3) bekezdésével: a méréshez használt, a böngészőben tárolt nem-szükséges azonosító (sg_track_sid) kizárólag a sütibanneren a „Statisztika” kategóriára adott hozzájárulás után jön létre és aktiválódik; hozzájárulás hiányában a mérés nem fut, a hozzájárulás pedig bármikor, ugyanolyan egyszerűen visszavonható (lásd Süti tájékoztató). Az így keletkező névtelen statisztikai adatot hirdetési célból harmadik féllel NEM osztjuk meg. |
| Megőrzési idő | Az eseményadatok legfeljebb 180 napig, azt követően törlés vagy további anonimizálás. |
| Érintettek | A weboldal látogatói és regisztrált felhasználói |
| Megjegyzés | A mérés a saját rendszerünkben történik (adatbázis: Supabase, EU-Frankfurt). NEM használunk Google / Meta / TikTok pixelt vagy harmadik féltől származó követő-szkriptet. |
4.9. Ügyfél által átadott tartalom (kép, hang, videó)
| Megnevezés | Részletek |
|---|---|
| Cél | A megrendelt marketing-, tartalom- és videószolgáltatás elkészítése (az ügyfél által átadott vagy az Adatkezelő által rögzített kép-, hang- és videóanyag feldolgozása) |
| Kezelt adatok | Kép-, hang- és videóanyagok, amelyek természetes személyek képmását/hangját tartalmazhatják, valamint ezek átiratai |
| Jogalap | GDPR 6. cikk (1) b) — szerződés (az ügyfél felé); a felvételen szereplő természetes személyek tekintetében 6. cikk (1) a) — hozzájárulás (és Ptk. 2:48. § — képmáshoz fűződő jog) |
| Megőrzési idő | Nyers hangfelvétel: 90 nap; átirat / feldolgozott anyag: 5 év |
| Megjegyzés | A feldolgozás kizárólag tartalmi célú (átírás, szerkesztés), nem hang- vagy arcalapú egyedi azonosításra irányul; ezért nem minősül a GDPR 9. cikk szerinti biometrikus különleges adatkezelésnek (NAIH 2024. évi hangfelvétel-iránymutatása) |
4.10. Scroll-profil — az ingyenes appok belépési kapuja
| Megnevezés | Részletek |
|---|---|
| Cél | A felhasználói fiók (Scroll-profil) létrehozása és kezelése, az ingyenes alkalmazásokhoz való hozzáférés biztosítása; külön az új alkalmazásokról szóló értesítők küldése |
| Kezelt adatok | Név, e-mail cím, telefonszám (kötelező — egy telefonszámmal egy fiók hozható létre, a duplikált regisztráció és a visszaélés megelőzésére), a jelszó egyirányú, visszafejthetetlen lenyomata (bcrypt-hash — a nyers jelszót semmilyen formában nem tároljuk), a regisztráció időpontja, az e-mail-visszaigazolás ténye és időpontja, a GDPR-tudomásulvétel ténye és időbélyege |
| Jogalap | Fiók / hozzáférés és a kötelező azonosító adatok: GDPR 6. cikk (1) b) — a felhasználó által kért szolgáltatás teljesítése; a duplikáció- és visszaélés-szűrés körében 6. cikk (1) f) — jogos érdek. Új-app értesítő: 6. cikk (1) a) — hozzájárulás (Grtv. 6. §) |
| Megőrzési idő | A profil törléséig; az értesítőre adott hozzájárulás visszavonásáig; az inaktív profilokat (kb. 2 év bejelentkezés-hiány után) rendszeres adat-felülvizsgálat keretében töröljük vagy anonimizáljuk |
4.11. Szakember-katalógus (Scroll Catalog)
| Megnevezés | Részletek |
|---|---|
| Cél | Szakember-katalógus üzemeltetése, ügyfél–szakember összekötés (routing), az érdeklődő–szakember kapcsolatfelvétel kezelése. (A videóhívás-naptár és a végügyfél-értékelési rendszer fejlesztés alatt áll; bevezetésükkor a jelen tájékoztató a vonatkozó adatkörrel és jogalappal frissül.) |
| Kezelt adatok | Szakember neve, profilképe, szakterülete, portfóliója, értékelése, kapcsolattartási e-mail/telefon; a foglaló végügyfél neve, e-mail címe, időpont, a megkeresés tárgya |
| Jogalap | Katalógus-szolgáltatás: GDPR 6. cikk (1) b). A profil nyilvánosságra hozatalához: 6. cikk (1) a) — a szakember kifejezett, külön hozzájárulása |
| Megőrzési idő | A profil aktív állapotában; a megszűnés után 30 nap technikai megőrzés (visszaállíthatóság), majd törlés vagy — az értékelések statisztikai megtartásához — anonimizálás |
4.12. Affiliate / ajánló-program és ref-kódos követés
| Megnevezés | Részletek |
|---|---|
| Cél | Az ajánló-/affiliate-program működtetése. Jelenleg a partner-előregisztráció (név, e-mail, érdeklődés) él; a partner egyedi ref-kódot kap, és az általa hozott érdeklődők után jutalékra lesz jogosult. (A ref-kódos érdeklődő-követés és a jutalék-elszámolás jelenleg még NEM aktív — a program élesítésekor, a jelen tájékoztató előzetes frissítésével válik hatályossá.) |
| Kezelt adatok | Partner: név, e-mail, ref-kód, forgalmi/elszámolási adat, kifizetési adat. Érdeklődő: ref-kód, a megkeresés ténye és időpontja, technikai forrásazonosító |
| Jogalap | Partner: GDPR 6. cikk (1) b) — megállapodás; a kifizetés bizonylatolására 6. cikk (1) c) — jogi kötelezettség (Sztv. 169. §). Az érdeklődő ref-kódos követése: 6. cikk (1) f) — jogos érdek (érdekmérlegeléssel + tiltakozási joggal), vagy 6. cikk (1) a) — hozzájárulás |
| Megőrzési idő | Partner számviteli adata: 8 év (Sztv. 169. §); érdeklődő ref-kódja: max. 13 hónap |
| Megjegyzés | A partner az Adatkezelő sablonjaival, az Adatkezelő javára posztol; a tartalom közvetlen üzletszerzésnek minősül, ezért kötelező a #reklám / #szponzorált jelölés (Grtv. + GVH influencer-gyakorlat), amelyet a sablon eleve tartalmaz. A bot-beszélgetés elején az érdeklődő tájékoztatást kap a ref-kód rögzítéséről (GDPR 13. cikk) |
4.13. Telegram-botok
| Megnevezés | Részletek |
|---|---|
| Cél | A Telegram-platformon üzemeltetett botok (funnel, tájékoztatás, lead-felvétel) szolgáltatás teljesítése; külön hozzájárulás esetén marketing-tartalom küldése |
| Kezelt adatok | Telegram-felhasználói azonosító (ID); opcionálisan a megjelenített név / felhasználónév; a botnak küldött üzenettartalom; az interakció időbélyegei |
| Jogalap | Bot-szolgáltatás: GDPR 6. cikk (1) b). Marketing-tartalom: 6. cikk (1) a) — hozzájárulás (Grtv. 6. §) |
| Megőrzési idő | A bot-interakció / feliratkozás fennállásáig; az üzenettartalom 12 hónap |
| Megjegyzés | A Telegram (Telegram FZ-LLC, Egyesült Arab Emírségek — harmadik ország megfelelőségi határozat nélkül) saját céljaira, saját feltételei szerint működő platform, ezért nem klasszikus adatfeldolgozó, hanem önálló adatkezelő. A felhasználó maga, saját döntéséből veszi fel a kapcsolatot a bottal — az ezzel járó, az érintett által kezdeményezett adattovábbítás a GDPR 49. cikk (1) a)–b) pontján alapul. A bot által felvett lead-/üzenetadatokat az Adatkezelő a Supabase (EU, Frankfurt) adatbázisában tárolja; hangüzenet esetén az átírást az OpenAI (Whisper), a válaszgenerálást az Anthropic (Claude) mint adatfeldolgozó végezheti (USA, SCC + DPA — lásd 5–6. fejezet), adatminimalizálással, emberi felügyelet mellett. A bot mesterséges intelligenciát alkalmaz, és a beszélgetés elején jelzi, hogy a felhasználó AI-rendszerrel lép interakcióba (AI Act 50. cikk (1)), valamint tájékoztat a Telegram önálló adatkezelői szerepéről. A /torles paranccsal kérhető az Adatkezelő rendszereiben tárolt adatok törlése (GDPR 17. cikk); ez a Telegram saját rendszereire nem terjed ki. A felhasználót megilletik a 9. és 13. pont szerinti jogok, ideértve a NAIH-hoz fordulást. |
4.14. Online fizetés (amennyiben bevezetésre kerül)
| Megnevezés | Részletek |
|---|---|
| Cél | Fizetős szolgáltatás bevezetése esetén a megrendelés/előfizetés teljesítése, a fizetés visszaigazolása, számlázás. Az online kártyás fizetést külső, szabályozott szolgáltató (SimplePay / Barion / Stripe) bonyolítja |
| Kezelt adatok | A Scroll oldalán: tranzakció-azonosító, összeg, státusz, számlázási adat. A kártya száma, lejárata, CVC-kódja SOHA nem jut el a Scrollhoz — azt kizárólag a fizetési szolgáltató kezeli (PCI-DSS-megfelelő rendszer) |
| Jogalap | GDPR 6. cikk (1) b) — a megrendelés teljesítése; a számlázásra 6. cikk (1) c) — jogi kötelezettség (Sztv. 169. §; Áfa tv. 169. §, 179. §) |
| Megőrzési idő | Számviteli bizonylat: 8 év (Sztv. 169. §) |
| Megjegyzés | A fizetési szolgáltató a kártyaadat tekintetében önálló adatkezelő (saját pénzforgalmi kötelezettségei alapján), nem a Scroll adatfeldolgozója |
5. Címzettek és adatfeldolgozók
Az Adatkezelő jelenleg az alábbi adatfeldolgozókat veszi igénybe a weboldal és a regisztrációs (fiók-) rendszer működtetéséhez:
| Adatfeldolgozó | Cél | Székhely |
|---|---|---|
| Vercel Inc. | Tárhelyszolgáltatás (a weboldal hostingja) | USA* |
| Supabase (Supabase Inc.) | Felhasználói fiókok és leadek (regisztráció, kapcsolatfelvétel) tárolása — adatbázis EU-ban (Frankfurt) | EU (Frankfurt) / USA* |
| Resend (Resend, Inc.) | Tranzakciós e-mailek küldése (pl. regisztráció-megerősítés) | USA* |
| Számlázz.hu (KBOSS.hu Kft.) | Számlázás (szerződéses partnerek esetén) | Magyarország |
| Google Ireland Ltd. (Workspace) | Iroda / kommunikáció (e-mail, naptár, chat) | EU / USA* |
| Anthropic, PBC (Claude) | AI szöveggenerálás, elemzés (a prompt személyes adatot tartalmazhat) | USA* |
| OpenAI, LLC (GPT / Whisper) | AI szöveg-, kép- és hangfeldolgozás, hangátírás | USA* |
| SimplePay (OTP Mobil Kft.) / Barion / Stripe | Online kártyás fizetés (ha él) — a kártyaadat tekintetében önálló adatkezelő | EU (HU) / EU |
| Telegram FZ-LLC | Bot-platform — nem klasszikus adatfeldolgozó, önálló adatkezelő (lásd 4.13.) | UAE* |
5.1. Tartalomgyártáshoz használt szoftverek
Az Adatkezelő az alábbi szoftvereket használja a tartalomgyártás során. Ezek a szoftverek a 4.9. pont szerinti, természetes személy képmását/hangját tartalmazó kép- és videóanyag szerkesztésére szolgálnak (e körben személyes adatot dolgoznak fel). Az asztali, az Adatkezelő eszközén futó szerkesztők (Premiere, DaVinci) helyben dolgozzák fel az anyagot; a felhős komponenst is használó eszköznél (CapCut) az Adatkezelő a szerződéses feltételek és — szükség szerint — a GDPR 28. cikk szerinti garanciák meglétét vizsgálja, és magas kockázatú (arc-/hang-) tartalomnál adatminimalizálást alkalmaz:
| Szoftver | Cél |
|---|---|
| CapCut | Videószerkesztés |
| Adobe Premiere Pro | Videószerkesztés |
| DaVinci Resolve | Videószerkesztés, színkorrekció |
6. Harmadik országba történő adattovábbítás (GDPR V. fejezet)
Egyes adatfeldolgozók az Európai Gazdasági Térségen (EGT) kívül — jellemzően az Egyesült Államokban (Vercel, Resend, OpenAI, Anthropic), illetve az Egyesült Arab Emírségekben (Telegram) — székhelyűek. Az adattovábbítás a GDPR 44–49. cikke szerinti megfelelő garanciák mellett történik.
Elsődleges garancia — SCC. A kulcsszolgáltatókkal (OpenAI, Anthropic, Resend, Vercel, valamint a fiók- és lead-adatokat EU-ban, Frankfurtban tároló Supabase USA-vállalati háttere) az Adatkezelő az Európai Bizottság 2021/914/EU általános szerződési feltételeit (SCC, GDPR 46. cikk (2) c)) köti meg a 28. cikk szerinti adatfeldolgozói szerződéssel (DPA) együtt; e szerződések megkötése folyamatban van, és az elérhető garanciák másolata kérésre rendelkezésre bocsátható. Az EU–USA Adatvédelmi Keretrendszer (DPF, C(2023) 4745) kizárólag az aktív, ellenőrzött DPF-tanúsítással rendelkező szolgáltatóknál (jellemzően Google) hivatkozott garancia.
A DPF stabilitását érintő bírósági eljárásra tekintettel (a Törvényszék a T-553/23. ügyben a keresetet 2025. szeptember 3-án elutasította; a fellebbezés a C-703/25 P. sz. alatt folyamatban) az Adatkezelő minden harmadik országos továbbításhoz az SCC-t tartja készenlétben, és — magasabb kockázatú (pl. hang-/kép-) tartalomnál — kiegészítő technikai intézkedéseket (titkosítás, adatminimalizálás) alkalmaz, valamint Transfer Impact Assessmentet (TIA) készít.
7. Automatizált döntéshozatal és profilalkotás (GDPR 22. cikk)
Az Adatkezelő nem hoz kizárólag automatizált adatkezelésen alapuló, az érintettre nézve joghatással járó vagy őt hasonlóan jelentősen érintő döntést (GDPR 22. cikk (1) bekezdés). Az AI-eszközök kizárólag döntés-előkészítő/támogató szerepet töltenek be; a végső döntést minden esetben ember hozza meg (emberi felügyelet — lásd 8. fejezet). A weboldal jelenleg NEM végez hirdetési célú profilalkotást és nem alkalmaz harmadik féltől származó hirdetési követést (lásd 4.6., 4.8., 5. pont). Ha a jövőben a hirdetések személyre szabásához profilalkotást vezetnénk be, azt előzetesen, jelen tájékoztató frissítésével és — hozzájáruláshoz kötött eszköznél — a látogató kifejezett hozzájárulásával közöljük; az ilyen közvetlen üzletszerzési célú profilalkotás ellen az érintett bármikor tiltakozhat (GDPR 21. cikk (2)).
8. AI-eszközös adatkezelés és AI Act megfelelőség
Az Adatkezelő a szolgáltatásnyújtás során AI-eszközöket alkalmaz (szöveg-, kép-, videógenerálás, hangátírás, elemzés, üzemeltetési automatizáció). Az alkalmazott eszközök: OpenAI (GPT, Whisper), Anthropic (Claude), Google (Gemini), Higgsfield. Az AI-felhasználás garanciái:
- Emberi felügyelet: minden AI-kimenetet ember hagy jóvá felhasználás előtt; önálló, kizárólag automatizált döntéshozatal tilos (GDPR 22. cikk); az AI Act 26. cikk szerinti emberi felügyeleti követelmények a nagy kockázatú (high-risk) rendszerekre vonatkoznak, és ott érvényesülnek, ahol ilyet alkalmazunk.
- Adatminimalizálás: csak a szükséges adat kerül AI-rendszerbe; személyes adat lehetőség szerint anonimizálva.
- Modelltanítás: az Adatkezelő nem tanít AI-modellt az ügyfél adatain külön engedély nélkül; API-használatnál ahol lehet, kikapcsolja az adatok modelltanításra fordítását.
- Tiltott adatok: különleges (GDPR 9. cikk), büntetőjogi (10. cikk), hitelesítési (jelszó, API-kulcs) és pénzügyi azonosító adatok AI-rendszerbe töltése tilos.
Az Adatkezelő az AI Act ((EU) 2024/1689) szerint alkalmazónak (deployer) minősül. A deepfake-nek minősülő mesterséges kép-/hang-/videótartalomnál közzéteszi annak mesterséges előállítását (AI Act 50. cikk (4)). Az 50. cikk szerinti átláthatósági kötelezettségek főszabály szerint 2026. augusztus 2-tól alkalmazandók; a generatív kimenetek gépi-olvasható jelölésére vonatkozó uniós végrehajtási részletszabályok és esetleges átmeneti könnyítések alakulását az Adatkezelő folyamatosan követi, és a jelölést a mindenkor hatályos szabályok szerint alkalmazza. A magyar végrehajtási törvény (2025. évi LXXV. tv.) 2025. december 1-jén lépett hatályba; az AI Act magyarországi felügyeletét az e törvény által kijelölt hatóság(ok) látják el.
9. Az érintett jogai
A GDPR alapján Ön az alábbi jogokkal rendelkezik:
| Jog | Leírás | Hivatkozás |
|---|---|---|
| Hozzáféréshez való jog | Tájékoztatást kérhet arról, hogy milyen adatait kezeljük | GDPR 15. cikk |
| Helyesbítéshez való jog | Kérheti pontatlan adatai kijavítását | GDPR 16. cikk |
| Törléshez való jog | Kérheti személyes adatai törlését („elfeledtetéshez való jog") | GDPR 17. cikk |
| Adatkezelés korlátozásához való jog | Kérheti az adatkezelés korlátozását | GDPR 18. cikk |
| Adathordozhatósághoz való jog | Kérheti adatai géppel olvasható formátumban történő kiadását | GDPR 20. cikk |
| Tiltakozáshoz való jog | Tiltakozhat a jogos érdeken alapuló adatkezelés ellen | GDPR 21. cikk |
| Hozzájárulás visszavonása | Bármikor visszavonhatja hozzájárulását (ez nem érinti a visszavonás előtti adatkezelés jogszerűségét) | GDPR 7. cikk (3) |
Joggyakorlás módja: Kérelmét az alábbi elérhetőségen nyújthatja be:
- E-mail: scroll.studio@outlook.hu
- Postacím: 1101 Budapest, Üllői út 124. A. ép. 3. em. 47. ajtó
Az Adatkezelő a kérelmet indokolatlan késedelem nélkül, de legkésőbb 1 hónapon belül teljesíti; ez a kérelmek összetettségére tekintettel további 2 hónappal meghosszabbítható, amiről az érintett az első hónapban tájékoztatást kap (GDPR 12. cikk (3) bekezdés). Az Adatkezelő a kérelmező azonosítását kérheti.
A törlés korlátja: ha jogszabály megőrzést ír elő (pl. Sztv. 169. § — 8 év a számlázási adatra), az Adatkezelő a kapcsolattartási adatokat törli, a jogszabály által előírt adatokat a megőrzési idő végéig megőrzi, és erről az érintettet tájékoztatja.
Ha az Adatkezelő nem tesz intézkedéseket a kérelem nyomán, legkésőbb 1 hónapon belül tájékoztatja az érintettet az elmaradás okairól, valamint a NAIH-panasz és a bírósági jogorvoslat lehetőségéről (GDPR 12. cikk (4)). A kérelem teljesítése díjmentes; az Adatkezelő csak nyilvánvalóan megalapozatlan vagy — ismétlődő jellege miatt — túlzó kérelemnél számíthat fel ésszerű díjat, vagy tagadhatja meg az intézkedést (GDPR 12. cikk (5)).
10. Adatbiztonság (GDPR 32. cikk)
Az Adatkezelő a kockázattal arányos technikai és szervezési intézkedéseket alkalmazza a személyes adatok védelme érdekében (jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisülés, sérülés ellen).
Technikai intézkedések:
- TLS 1.2+ titkosítású adatátvitel (SSL/TLS a weboldalon)
- érzékeny adatok titkosított tárolása; a közösségi média fiókok hozzáférési adatainak titkosított tárolása
- szerepkör-alapú hozzáférés (RBAC, need-to-know elv)
- jelszószabályzat (min. 12 karakter) + kétfaktoros hitelesítés az üzleti fiókokhoz
- API-kulcsok környezeti változókban, verziókezelőből kizárva
- rendszeres, titkosított biztonsági mentés; hozzáférési és módosítási naplózás
Szervezési intézkedések: titoktartási megállapodás (NDA) minden csapattaggal és alvállalkozóval; belső adatkezelési szabályzat; incidenskezelési terv; rendszeres hozzáférés-felülvizsgálat.
11. Adatvédelmi incidens kezelése (GDPR 33–34. cikk)
Adatvédelmi incidens esetén az Adatkezelő:
- az incidenst dokumentálja (belső nyilvántartás);
- ha az incidens valószínűsíthetően kockázattal jár az érintettek jogaira, azt a tudomásszerzéstől számított 72 órán belül bejelenti a NAIH-nak (GDPR 33. cikk);
- ha az incidens magas kockázattal jár, az érintetteket indokolatlan késedelem nélkül tájékoztatja (GDPR 34. cikk);
- megteszi a szükséges korrekciós és megelőző intézkedéseket.
AI-specifikus incidens (pl. prompt injection, személyes adat AI-rendszerbe kerülése, API-kulcs kompromittálódása) esetén az érintett munkamenet/eszköz azonnal leáll, és kulcsrotáció történik.
12. Gyermekek adatai
Az Adatkezelő szolgáltatásai elsősorban felnőttek számára készülnek. Az ingyenes appok, a Scroll-profil és a Telegram-bot használata a 16. életév betöltéséhez kötött; 16 év alatti felhasználó kizárólag a törvényes képviselő hozzájárulásával vehet részt (GDPR 8. cikk). Ha a Scroll Learning oktatási szolgáltatás kiskorút is érint, arra külön szülői/gondviselői hozzájárulási folyamat vonatkozik. Az információs társadalommal összefüggő szolgáltatásnál a gyermek hozzájárulása a 16. életévtől érvényes (GDPR 8. cikk (1) bekezdés); Magyarország az eltérési lehetőséggel nem élt, alacsonyabb korhatárt nem állapított meg. Amennyiben kiderül, hogy 16 év alatti adat a törvényes képviselő hozzájárulása nélkül került kezelésbe, azt az Adatkezelő haladéktalanul törli.
13. Jogorvoslati lehetőségek
Amennyiben úgy ítéli meg, hogy személyes adatainak kezelése sérti a jogait, az alábbi lehetőségek állnak rendelkezésére:
13.1. Felügyeleti hatósághoz fordulás (GDPR 77. cikk)
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
- Cím: 1055 Budapest, Falk Miksa utca 9-11.
- Postacím: 1363 Budapest, Pf.: 9.
- Telefon: +36 (1) 391-1400
- E-mail: ugyfelszolgalat@naih.hu
- Honlap: www.naih.hu
13.2. Bírósági jogorvoslat (GDPR 79. cikk)
Az érintett — a NAIH-eljárástól függetlenül — bírósághoz fordulhat. A per az érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható (Infotv. 23. § (3) bekezdés).
13.3. Kártérítés (GDPR 82. cikk)
Aki a GDPR megsértéséből eredően vagyoni vagy nem vagyoni kárt szenvedett, kártérítésre jogosult.
14. A tájékoztató módosítása és hatálya
A Scroll Group egy folyamatosan épülő, fejlődő digitális ökoszisztéma: új ingyenes alkalmazásokat, funkciókat és szolgáltatásokat vezetünk be, és a meglévőket is továbbfejlesztjük. Ezért jelen tájékoztató is élő dokumentum — a tényleges adatkezelést követve frissülhet. Mindig pontosan azt írjuk le, ami éppen működik: új adatkezelési cél, új funkció, új adatfeldolgozó vagy AI-eszköz bevezetésekor a tájékoztatót előzetesen, a változás élesítése előtt frissítjük, és a lényeges módosításokról a weboldalon — szerződéses partnereink és regisztrált felhasználóink esetében közvetlen e-mailben — tájékoztatunk. A mindenkor hatályos, dátumozott és verziószámmal ellátott változat elérhető az adatkezeles.html oldalon; korábbi adatkezelésre mindig az akkor hatályos verzió az irányadó. Azokat a funkciókat, amelyek még nem élnek (pl. online fizetés, jutalék-elszámolás, végügyfél-értékelés), külön jelöljük, és a rájuk vonatkozó adatkezelés kizárólag a tényleges bevezetéskor, e tájékoztató előzetes frissítésével lép hatályba.
Az Adatkezelő a tájékoztatót évente legalább egyszer, valamint jogszabályváltozás, új adatkezelési cél, új adatfeldolgozó vagy AI-eszköz bevezetésekor felülvizsgálja. Lényeges módosításról az érintetteket a weboldalon való közzététel útján — szerződéses partnerek esetén közvetlen e-mailben — tájékoztatja. A hatályos változat mindig elérhető az adatkezeles.html oldalon.
| Verzió | Dátum | Módosítás |
|---|---|---|
| 1.0 | 2026. 04. 10. | Első élő kiadás — Scroll Studio adatkezelési tájékoztató (SS-GDPR-AKT-STUDIO-001-2026) |
| 2.0 | 2026. 06. 18. | Scroll Group szintű, egységes tájékoztató: 3 üzletág + B2C-célok (profil, Catalog, affiliate, Telegram, fizetés), click-wrap, SCC-elsődleges harmadik országos továbbítás, automatizált döntés, AI Act, incidens, first-party analitika |
15. Függelék — alkalmazott jogszabályok
| Jogszabály | Megnevezés |
|---|---|
| (EU) 2016/679 | Általános adatvédelmi rendelet (GDPR) |
| 2011. évi CXII. tv. | Információs önrendelkezési jogról és információszabadságról (Infotv.) |
| (EU) 2024/1689 | Mesterséges intelligencia rendelet (AI Act) |
| 2025. évi LXXV. tv. | Az AI Act magyarországi végrehajtásáról (hatály: 2025.12.01.) |
| 2013. évi V. tv. | Polgári Törvénykönyv (Ptk.) — 6:22. § (elévülés), 2:48. § (képmás) |
| 2000. évi C. tv. | Számvitelről (Sztv.) — 169. § (8 év bizonylat-megőrzés) |
| 2007. évi CXXVII. tv. | Általános forgalmi adóról (Áfa tv.) — 169. §, 179. § |
| 2008. évi XLVIII. tv. | Gazdasági reklámtevékenységről (Grtv.) — 6. § (közvetlen üzletszerzés, opt-in) |
| 2001. évi CVIII. tv. | Elektronikus kereskedelmi szolgáltatásokról (Ekertv.) |
| 2003. évi C. tv. | Elektronikus hírközlésről (Eht.) — 155. § (4) bek. (sütik előzetes hozzájárulása) |
| 2002/58/EK | ePrivacy irányelv (sütik) — 5. cikk (3) bek. |
| C(2023) 4745 | EU–USA DPF megfelelőségi határozat (fellebbezés: C-703/25 P) |
| 2021/914/EU | A Bizottság SCC-határozata (harmadik országos továbbítás elsődleges mechanizmusa) |
Scroll Studio Kft.
Ügyvezető: Tösmagi Eszter · E-mail: scroll.studio@outlook.hu · Telefon: +36 70 621 5152