Scroll Group
← Vissza a főoldalra

ADATKEZELÉSI TÁJÉKOZTATÓ — Scroll Group (Scroll Studio Kft.)

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, GDPR) 13. és 14. cikke szerinti tájékoztató.

Dokumentum azonosító: SS-ADAT-2026-06

Verzió: 2.0

Utolsó módosítás: 2026. június 18.

Weboldal: scrollgroup.hu (a Scroll Studio Kft. cégcsoportos megjelenése; a társaság a scrollstudio.hu domaint is használja)

1. Az Adatkezelő adatai, kapcsolat

MegnevezésAdat
CégnévScroll Studio Korlátolt Felelősségű Társaság
Rövidített cégnévScroll Studio Kft.
Cégjegyzékszám01-09-451539
Adószám32959817-2-42
AdóstátuszÁltalános ÁFA-alany
Székhely1101 Budapest, Üllői út 124. A. ép. 3. em. 47. ajtó
Nyilvántartó bíróságFővárosi Törvényszék Cégbírósága
Ügyvezető (képviselő)Tösmagi Eszter
E-mail / adatvédelmi kapcsolatscroll.studio@outlook.hu
Telefon+36 70 621 5152
Weboldalscrollgroup.hu · scrollstudio.hu

1.1. Az Adatkezelő tevékenysége

A Scroll Studio Kft. mesterséges intelligencia (AI) eszközöket alkalmazó digitális ügynökség, amely Scroll Group ernyőnév alatt három üzletágban nyújt szolgáltatásokat: Scroll Studio (marketing, tartalomgyártás, videó, fotó, grafika, közösségi média kezelés), Scroll Digital (weboldal- és webshop-fejlesztés, automatizáció, integráció, üzemeltetés) és Scroll Learning (oktatás, workshop, képzés). A társaság emellett ingyenesen használható online alkalmazásokat (Scroll AI Ökoszisztéma), szakember-katalógust és Telegram-alapú botokat is üzemeltet. A „Scroll Group" a Scroll Studio Kft. ernyő-márkaneve, nem önálló jogi személy. Az AI-eszközöket a társaság minden esetben emberi felügyelet mellett alkalmazza (lásd 8. fejezet — AI-eszközös adatkezelés).

1.2. Adatvédelmi kapcsolattartó és tisztviselő (DPO)

Az adatvédelmi kérdésekben eljáró kapcsolattartó az ügyvezető, Tösmagi Eszter (elérhetőség: scroll.studio@outlook.hu). Az Adatkezelő megvizsgálta a GDPR 37. cikk (1) bekezdése szerinti kötelező adatvédelmi tisztviselő (DPO) kijelölésének feltételeit: tevékenysége nem irányul nagy számú érintett rendszeres és szisztematikus, nagymértékű megfigyelésére, és fő tevékenységként nem kezel a GDPR 9–10. cikk szerinti különleges vagy büntetőjogi adatot nagy mértékben, ezért kötelező DPO-kijelölés nem áll fenn. Az érintettek adatvédelmi megkereséseiket (kérelem, panasz, jogérvényesítés) az ügyvezetőhöz mint adatvédelmi kapcsolattartóhoz nyújthatják be a fenti e-mail címen vagy postai úton.

2. Fogalommeghatározások

FogalomMeghatározás
Személyes adatAzonosított vagy azonosítható természetes személyre vonatkozó bármely információ (GDPR 4. cikk (1) pont).
ÉrintettAz a természetes személy, akinek személyes adatait kezelik.
AdatkezelőAz a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza (GDPR 4. cikk (7) pont) — jelen esetben a Scroll Studio Kft.
AdatfeldolgozóAz a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk (8) pont).
AdatkezelésA személyes adatokon végzett bármely művelet (gyűjtés, rögzítés, tárolás, felhasználás, törlés stb.) (GDPR 4. cikk (2) pont).
HozzájárulásAz érintett akaratának önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű kinyilvánítása (GDPR 4. cikk (11) pont).
ProfilalkotásSzemélyes jellemzők automatizált értékelése (GDPR 4. cikk (4) pont).
PszeudonimizálásOlyan kezelés, amely további információ nélkül nem köthető az érintetthez; a pszeudonimizált adat továbbra is személyes adat (GDPR 4. cikk (5) pont).
AnonimizálásVisszafordíthatatlan átalakítás, amelynek eredménye már nem személyes adat.
AI rendszerAz AI Act (EU) 2024/1689 3. cikk 1. pontja szerinti, változó autonómiával működő, bemenetekből kimenetet (pl. szöveg, kép, hang) generáló gépi rendszer.
Alkalmazó (deployer)Az AI Act 3. cikk 4. pontja szerint az a szereplő, aki saját felelőssége mellett harmadik fél AI-rendszerét használja — jelen esetben a Scroll Studio Kft.

3. A szerződéskötés folyamata (click-wrap)

A szerződéskötés menete: ajánlat → megrendelés → online elfogadás (click-wrap). Az online elfogadás során a megrendelő az „Elfogadom" gomb megnyomásával fogadja el az ajánlatot és a vonatkozó szerződési feltételeket (ÁSZF). A szerződés létrejöttének és tartalmának bizonyítása érdekében az Adatkezelő az alábbi adatokat rögzíti:

Rögzített adatCélJogalap
Elfogadó azonosító adatai (név, e-mail, cégnév)A szerződés létrejöttének és tartalmának bizonyításaGDPR 6. cikk (1) b) — szerződés; 6. cikk (1) f) — jogos érdek (bizonyíthatóság)
IP-címAz elfogadás technikai naplózása, visszaélés-megelőzésGDPR 6. cikk (1) f) — jogos érdek
Időbélyeg (az elfogadás pontos időpontja)A szerződéskötés időpontjának igazolásaGDPR 6. cikk (1) b) és f)

Az elektronikus aláírás (AVDH — azonosításra visszavezetett dokumentumhitelesítés, illetve minősített elektronikus aláírás) jelenleg opcionális; bevezetése esetén jelen tájékoztató ennek megfelelően frissül.

4. Az adatkezelés céljai, jogalapjai és a kezelt adatok köre

4.1. Kapcsolatfelvételi űrlap

MegnevezésRészletek
CélAz érdeklődők megkereséseinek fogadása és megválaszolása
Kezelt adatokNév, e-mail cím, telefonszám (opcionális), üzenet szövege
JogalapAz érintett hozzájárulása — GDPR 6. cikk (1) a)
Megőrzési időAz üzenet megválaszolásától számított 1 év, vagy a hozzájárulás visszavonásáig
ÉrintettekA weboldal kapcsolatfelvételi űrlapját kitöltő személyek

4.2. Kalkulátor / árajánlatkérés

MegnevezésRészletek
CélTájékoztató jellegű árajánlat összeállítása és megküldése
Kezelt adatokNév, e-mail cím, telefonszám (opcionális), kiválasztott szolgáltatások és paraméterek
JogalapAz érintett hozzájárulása — GDPR 6. cikk (1) a)
Megőrzési időAz ajánlat megküldésétől számított 2 év, vagy a hozzájárulás visszavonásáig
ÉrintettekA weboldalon árajánlatot kérő személyek
Tárolás helyeSupabase (EU, Frankfurt) — közös leads-adatbázis; a beérkezésről a Resend (USA, SCC) küld e-mail-értesítőt (lásd 5. fejezet)
MegjegyzésA kalkulátor által generált árak tájékoztató jellegűek, minősített ajánlatnak nem tekintendők.

4.3. Hírlevél, közvetlen üzletszerzés

MegnevezésRészletek
CélMarketing célú elektronikus levelek küldése, szakmai tartalmak megosztása
Kezelt adatokNév, e-mail cím
JogalapAz érintett hozzájárulása — GDPR 6. cikk (1) a)
Megőrzési időA hozzájárulás visszavonásáig (leiratkozásig)
ÉrintettekHírlevélre feliratkozó személyek
MegjegyzésA feliratkozás az e-mail-cím megadásával és a hozzájárulás megerősítésével (opt-in) történik; a hozzájárulás tényét és időpontját naplózzuk. A hozzájárulásokról a Grtv. 6. § (5) szerint nyilvántartást vezetünk (név, e-mail, a hozzájárulás megadásának és visszavonásának időpontja). Leiratkozás minden hírlevélben egy kattintással lehetséges.

4.4. Szerződéses partnerek (megrendelők)

MegnevezésRészletek
CélSzerződéskötés, szolgáltatás nyújtása, számlázás, kapcsolattartás
Kezelt adatokNév, e-mail cím, telefonszám, számlázási adatok (cégnév, székhely, adószám), bankszámlaszám
JogalapSzerződés teljesítése — GDPR 6. cikk (1) b); Jogi kötelezettség (számlázás) — GDPR 6. cikk (1) c)
Megőrzési időA szerződés teljesülésétől számított 5 év; számlázási adatok: Számviteli törvény 169. § szerinti 8 év
ÉrintettekTermészetes személy megrendelők, illetve jogi személy megrendelők kapcsolattartói

4.5. Közösségi média fiókok kezelése

MegnevezésRészletek
CélA Megrendelő közösségi média fiókjainak kezelése a szolgáltatási szerződés alapján
Kezelt adatokA Megrendelő által biztosított fiók hozzáférési adatok (felhasználónév, jelszó vagy adminisztrátori jogosultság)
JogalapSzerződés teljesítése — GDPR 6. cikk (1) b)
Megőrzési időA szerződés megszűnéséig; a hozzáférési adatok a szerződés megszűnésekor haladéktalanul törlésre kerülnek
MegjegyzésAz Adatkezelő a közösségi média platformok beépített analitikai eszközeit használja (Meta Business Suite, TikTok Analytics, YouTube Studio stb.), de az analitikai adatokat nem exportálja, nem tárolja külön szerveren, és nem kezeli harmadik fél rendszerében.

4.6. Weboldal látogatók (sütik)

MegnevezésRészletek
CélA weboldal alapvető működésének biztosítása. A weboldal harmadik féltől származó követő- vagy hirdetési (marketing) sütit NEM helyez el (nincs Google-, Meta- vagy TikTok-pixel). A weboldal saját, anonim működési és mérési célú adatkezeléséről külön a 4.8. pont rendelkezik.
Kezelt adatokMunkamenet-azonosító, alapvető működési süti azonosítók
JogalapFeltétlenül szükséges sütik: a felhasználó által kért szolgáltatás nyújtása — GDPR 6. cikk (1) b), illetve jogos érdek — 6. cikk (1) f). Az Eht. 155. § (4) bekezdése és a 2002/58/EK (ePrivacy) irányelv 5. cikk (3) bekezdése szerint e sütik a hozzájárulási kötelezettség alóli kivételt képezik.
Megőrzési időLásd Süti tájékoztató
ÉrintettekA weboldal látogatói

4.7. AI-eszközök használata

MegnevezésRészletek
CélA szolgáltatás nyújtásának támogatása (szöveg-, kép-, videógenerálás, script készítés)
Kezelt adatokA szolgáltatás-támogatáshoz szükséges adatok. A promptba kerülő adatot lehetőség szerint anonimizáljuk vagy adatminimalizáljuk, de egyes feldolgozásoknál (pl. hangátirat, ügyfél által átadott szöveg, bot-üzenet) személyes adat is kerülhet AI-rendszerbe — ekkor az AI-szolgáltató a GDPR 28. cikke szerinti adatfeldolgozó (DPA + SCC garanciával), és a 8. fejezet garanciái (emberi felügyelet, adatminimalizálás, modelltanítás-kizárás) érvényesek
JogalapJogos érdek — GDPR 6. cikk (1) f); ahol az AI-feldolgozás a megrendelt szolgáltatás része: 6. cikk (1) b)
MegjegyzésAz Adatkezelő az EU AI Act (2024/1689) rendelkezéseinek megfelelően jár el. Az alkalmazott AI rendszerek: OpenAI (ChatGPT, DALL-E), Anthropic (Claude), Google (Gemini), Higgsfield, Manus AI.

4.8. Saját, anonim eseménymérés (first-party analitika)

MegnevezésRészletek
CélA weboldal és a regisztrációs/belépési folyamat (funnel) működésének mérése és fejlesztése — pl. hány látogató, mely oldalakat nézik, hol akad el a folyamat.
Kezelt adatokAnonim munkamenet-azonosító (a böngésződben tárolva), az IP-cím egyirányú, visszafejthetetlen lenyomata (SHA-256 — a nyers IP-címet NEM tároljuk), oldal-útvonal, eszköz-kategória (mobil/asztali), esemény-típus. Bejelentkezett felhasználónál az esemény a fiókhoz kapcsolódhat.
JogalapAz érintett előzetes, kifejezett hozzájárulása — GDPR 6. cikk (1) a), összhangban az Eht. 155. § (4) bekezdésével és a 2002/58/EK (ePrivacy) irányelv 5. cikk (3) bekezdésével: a méréshez használt, a böngészőben tárolt nem-szükséges azonosító (sg_track_sid) kizárólag a sütibanneren a „Statisztika” kategóriára adott hozzájárulás után jön létre és aktiválódik; hozzájárulás hiányában a mérés nem fut, a hozzájárulás pedig bármikor, ugyanolyan egyszerűen visszavonható (lásd Süti tájékoztató). Az így keletkező névtelen statisztikai adatot hirdetési célból harmadik féllel NEM osztjuk meg.
Megőrzési időAz eseményadatok legfeljebb 180 napig, azt követően törlés vagy további anonimizálás.
ÉrintettekA weboldal látogatói és regisztrált felhasználói
MegjegyzésA mérés a saját rendszerünkben történik (adatbázis: Supabase, EU-Frankfurt). NEM használunk Google / Meta / TikTok pixelt vagy harmadik féltől származó követő-szkriptet.

4.9. Ügyfél által átadott tartalom (kép, hang, videó)

MegnevezésRészletek
CélA megrendelt marketing-, tartalom- és videószolgáltatás elkészítése (az ügyfél által átadott vagy az Adatkezelő által rögzített kép-, hang- és videóanyag feldolgozása)
Kezelt adatokKép-, hang- és videóanyagok, amelyek természetes személyek képmását/hangját tartalmazhatják, valamint ezek átiratai
JogalapGDPR 6. cikk (1) b) — szerződés (az ügyfél felé); a felvételen szereplő természetes személyek tekintetében 6. cikk (1) a) — hozzájárulás (és Ptk. 2:48. § — képmáshoz fűződő jog)
Megőrzési időNyers hangfelvétel: 90 nap; átirat / feldolgozott anyag: 5 év
MegjegyzésA feldolgozás kizárólag tartalmi célú (átírás, szerkesztés), nem hang- vagy arcalapú egyedi azonosításra irányul; ezért nem minősül a GDPR 9. cikk szerinti biometrikus különleges adatkezelésnek (NAIH 2024. évi hangfelvétel-iránymutatása)

4.10. Scroll-profil — az ingyenes appok belépési kapuja

MegnevezésRészletek
CélA felhasználói fiók (Scroll-profil) létrehozása és kezelése, az ingyenes alkalmazásokhoz való hozzáférés biztosítása; külön az új alkalmazásokról szóló értesítők küldése
Kezelt adatokNév, e-mail cím, telefonszám (kötelező — egy telefonszámmal egy fiók hozható létre, a duplikált regisztráció és a visszaélés megelőzésére), a jelszó egyirányú, visszafejthetetlen lenyomata (bcrypt-hash — a nyers jelszót semmilyen formában nem tároljuk), a regisztráció időpontja, az e-mail-visszaigazolás ténye és időpontja, a GDPR-tudomásulvétel ténye és időbélyege
JogalapFiók / hozzáférés és a kötelező azonosító adatok: GDPR 6. cikk (1) b) — a felhasználó által kért szolgáltatás teljesítése; a duplikáció- és visszaélés-szűrés körében 6. cikk (1) f) — jogos érdek. Új-app értesítő: 6. cikk (1) a) — hozzájárulás (Grtv. 6. §)
Megőrzési időA profil törléséig; az értesítőre adott hozzájárulás visszavonásáig; az inaktív profilokat (kb. 2 év bejelentkezés-hiány után) rendszeres adat-felülvizsgálat keretében töröljük vagy anonimizáljuk

4.11. Szakember-katalógus (Scroll Catalog)

MegnevezésRészletek
CélSzakember-katalógus üzemeltetése, ügyfél–szakember összekötés (routing), az érdeklődő–szakember kapcsolatfelvétel kezelése. (A videóhívás-naptár és a végügyfél-értékelési rendszer fejlesztés alatt áll; bevezetésükkor a jelen tájékoztató a vonatkozó adatkörrel és jogalappal frissül.)
Kezelt adatokSzakember neve, profilképe, szakterülete, portfóliója, értékelése, kapcsolattartási e-mail/telefon; a foglaló végügyfél neve, e-mail címe, időpont, a megkeresés tárgya
JogalapKatalógus-szolgáltatás: GDPR 6. cikk (1) b). A profil nyilvánosságra hozatalához: 6. cikk (1) a) — a szakember kifejezett, külön hozzájárulása
Megőrzési időA profil aktív állapotában; a megszűnés után 30 nap technikai megőrzés (visszaállíthatóság), majd törlés vagy — az értékelések statisztikai megtartásához — anonimizálás

4.12. Affiliate / ajánló-program és ref-kódos követés

MegnevezésRészletek
CélAz ajánló-/affiliate-program működtetése. Jelenleg a partner-előregisztráció (név, e-mail, érdeklődés) él; a partner egyedi ref-kódot kap, és az általa hozott érdeklődők után jutalékra lesz jogosult. (A ref-kódos érdeklődő-követés és a jutalék-elszámolás jelenleg még NEM aktív — a program élesítésekor, a jelen tájékoztató előzetes frissítésével válik hatályossá.)
Kezelt adatokPartner: név, e-mail, ref-kód, forgalmi/elszámolási adat, kifizetési adat. Érdeklődő: ref-kód, a megkeresés ténye és időpontja, technikai forrásazonosító
JogalapPartner: GDPR 6. cikk (1) b) — megállapodás; a kifizetés bizonylatolására 6. cikk (1) c) — jogi kötelezettség (Sztv. 169. §). Az érdeklődő ref-kódos követése: 6. cikk (1) f) — jogos érdek (érdekmérlegeléssel + tiltakozási joggal), vagy 6. cikk (1) a) — hozzájárulás
Megőrzési időPartner számviteli adata: 8 év (Sztv. 169. §); érdeklődő ref-kódja: max. 13 hónap
MegjegyzésA partner az Adatkezelő sablonjaival, az Adatkezelő javára posztol; a tartalom közvetlen üzletszerzésnek minősül, ezért kötelező a #reklám / #szponzorált jelölés (Grtv. + GVH influencer-gyakorlat), amelyet a sablon eleve tartalmaz. A bot-beszélgetés elején az érdeklődő tájékoztatást kap a ref-kód rögzítéséről (GDPR 13. cikk)

4.13. Telegram-botok

MegnevezésRészletek
CélA Telegram-platformon üzemeltetett botok (funnel, tájékoztatás, lead-felvétel) szolgáltatás teljesítése; külön hozzájárulás esetén marketing-tartalom küldése
Kezelt adatokTelegram-felhasználói azonosító (ID); opcionálisan a megjelenített név / felhasználónév; a botnak küldött üzenettartalom; az interakció időbélyegei
JogalapBot-szolgáltatás: GDPR 6. cikk (1) b). Marketing-tartalom: 6. cikk (1) a) — hozzájárulás (Grtv. 6. §)
Megőrzési időA bot-interakció / feliratkozás fennállásáig; az üzenettartalom 12 hónap
MegjegyzésA Telegram (Telegram FZ-LLC, Egyesült Arab Emírségek — harmadik ország megfelelőségi határozat nélkül) saját céljaira, saját feltételei szerint működő platform, ezért nem klasszikus adatfeldolgozó, hanem önálló adatkezelő. A felhasználó maga, saját döntéséből veszi fel a kapcsolatot a bottal — az ezzel járó, az érintett által kezdeményezett adattovábbítás a GDPR 49. cikk (1) a)–b) pontján alapul. A bot által felvett lead-/üzenetadatokat az Adatkezelő a Supabase (EU, Frankfurt) adatbázisában tárolja; hangüzenet esetén az átírást az OpenAI (Whisper), a válaszgenerálást az Anthropic (Claude) mint adatfeldolgozó végezheti (USA, SCC + DPA — lásd 5–6. fejezet), adatminimalizálással, emberi felügyelet mellett. A bot mesterséges intelligenciát alkalmaz, és a beszélgetés elején jelzi, hogy a felhasználó AI-rendszerrel lép interakcióba (AI Act 50. cikk (1)), valamint tájékoztat a Telegram önálló adatkezelői szerepéről. A /torles paranccsal kérhető az Adatkezelő rendszereiben tárolt adatok törlése (GDPR 17. cikk); ez a Telegram saját rendszereire nem terjed ki. A felhasználót megilletik a 9. és 13. pont szerinti jogok, ideértve a NAIH-hoz fordulást.

4.14. Online fizetés (amennyiben bevezetésre kerül)

MegnevezésRészletek
CélFizetős szolgáltatás bevezetése esetén a megrendelés/előfizetés teljesítése, a fizetés visszaigazolása, számlázás. Az online kártyás fizetést külső, szabályozott szolgáltató (SimplePay / Barion / Stripe) bonyolítja
Kezelt adatokA Scroll oldalán: tranzakció-azonosító, összeg, státusz, számlázási adat. A kártya száma, lejárata, CVC-kódja SOHA nem jut el a Scrollhoz — azt kizárólag a fizetési szolgáltató kezeli (PCI-DSS-megfelelő rendszer)
JogalapGDPR 6. cikk (1) b) — a megrendelés teljesítése; a számlázásra 6. cikk (1) c) — jogi kötelezettség (Sztv. 169. §; Áfa tv. 169. §, 179. §)
Megőrzési időSzámviteli bizonylat: 8 év (Sztv. 169. §)
MegjegyzésA fizetési szolgáltató a kártyaadat tekintetében önálló adatkezelő (saját pénzforgalmi kötelezettségei alapján), nem a Scroll adatfeldolgozója

5. Címzettek és adatfeldolgozók

Az Adatkezelő jelenleg az alábbi adatfeldolgozókat veszi igénybe a weboldal és a regisztrációs (fiók-) rendszer működtetéséhez:

AdatfeldolgozóCélSzékhely
Vercel Inc.Tárhelyszolgáltatás (a weboldal hostingja)USA*
Supabase (Supabase Inc.)Felhasználói fiókok és leadek (regisztráció, kapcsolatfelvétel) tárolása — adatbázis EU-ban (Frankfurt)EU (Frankfurt) / USA*
Resend (Resend, Inc.)Tranzakciós e-mailek küldése (pl. regisztráció-megerősítés)USA*
Számlázz.hu (KBOSS.hu Kft.)Számlázás (szerződéses partnerek esetén)Magyarország
Google Ireland Ltd. (Workspace)Iroda / kommunikáció (e-mail, naptár, chat)EU / USA*
Anthropic, PBC (Claude)AI szöveggenerálás, elemzés (a prompt személyes adatot tartalmazhat)USA*
OpenAI, LLC (GPT / Whisper)AI szöveg-, kép- és hangfeldolgozás, hangátírásUSA*
SimplePay (OTP Mobil Kft.) / Barion / StripeOnline kártyás fizetés (ha él) — a kártyaadat tekintetében önálló adatkezelőEU (HU) / EU
Telegram FZ-LLCBot-platform — nem klasszikus adatfeldolgozó, önálló adatkezelő (lásd 4.13.)UAE*

*A harmadik országba (jellemzően USA) történő adattovábbítás elsődleges garanciája a Bizottság 2021/914/EU általános szerződési feltételei (SCC, GDPR 46. cikk (2) c)) — több kulcsszolgáltatónál (OpenAI, Anthropic, Resend, Vercel) ez a ténylegesen alkalmazott mechanizmus. Az EU–USA Adatvédelmi Keretrendszer (DPF, C(2023) 4745) kizárólag az aktív, ellenőrzött DPF-tanúsítással rendelkező szolgáltatóknál hivatkozott garancia. A Supabase az adatbázist EU-ban (Frankfurt) tárolja. Részletek a 6. fejezetben.

Analitika és követés: az Adatkezelő saját, anonim, hozzájáruláshoz kötött first-party eseménymérést használ (lásd 4.8. pont): a mérés kizárólag a sütibanneren a „Statisztika” kategóriára adott előzetes hozzájárulás után indul (GDPR 6. cikk (1) a); Eht. 155. § (4) bek. / ePrivacy 5. cikk (3) bek.), a nyers IP-címet nem tárolja (egyirányú SHA-256 lenyomat készül belőle), és hirdetési célból harmadik féllel nem osztja meg. Az Adatkezelő NEM helyez el harmadik féltől származó marketing- vagy követő-pixelt. Az alábbi, harmadik féltől származó követő-technológiák jelenleg nem aktívak, és — mivel kivétel nélkül hozzájárulás-kötelesek — csak akkor kerülnek bevezetésre, ha azt jelen tájékoztató előzetes frissítésével és a látogató kifejezett hozzájárulásával (GDPR 6. cikk (1) a); Eht. 155. § (4) bek.) közöljük: Google LLC (Google Analytics 4 / Google Sheets), Meta Platforms Inc. (Facebook/Instagram Pixel), TikTok Technology Limited (TikTok Pixel), Intuit Inc. (Mailchimp, hírlevélküldés).

5.1. Tartalomgyártáshoz használt szoftverek

Az Adatkezelő az alábbi szoftvereket használja a tartalomgyártás során. Ezek a szoftverek a 4.9. pont szerinti, természetes személy képmását/hangját tartalmazó kép- és videóanyag szerkesztésére szolgálnak (e körben személyes adatot dolgoznak fel). Az asztali, az Adatkezelő eszközén futó szerkesztők (Premiere, DaVinci) helyben dolgozzák fel az anyagot; a felhős komponenst is használó eszköznél (CapCut) az Adatkezelő a szerződéses feltételek és — szükség szerint — a GDPR 28. cikk szerinti garanciák meglétét vizsgálja, és magas kockázatú (arc-/hang-) tartalomnál adatminimalizálást alkalmaz:

SzoftverCél
CapCutVideószerkesztés
Adobe Premiere ProVideószerkesztés
DaVinci ResolveVideószerkesztés, színkorrekció

6. Harmadik országba történő adattovábbítás (GDPR V. fejezet)

Egyes adatfeldolgozók az Európai Gazdasági Térségen (EGT) kívül — jellemzően az Egyesült Államokban (Vercel, Resend, OpenAI, Anthropic), illetve az Egyesült Arab Emírségekben (Telegram) — székhelyűek. Az adattovábbítás a GDPR 44–49. cikke szerinti megfelelő garanciák mellett történik.

Elsődleges garancia — SCC. A kulcsszolgáltatókkal (OpenAI, Anthropic, Resend, Vercel, valamint a fiók- és lead-adatokat EU-ban, Frankfurtban tároló Supabase USA-vállalati háttere) az Adatkezelő az Európai Bizottság 2021/914/EU általános szerződési feltételeit (SCC, GDPR 46. cikk (2) c)) köti meg a 28. cikk szerinti adatfeldolgozói szerződéssel (DPA) együtt; e szerződések megkötése folyamatban van, és az elérhető garanciák másolata kérésre rendelkezésre bocsátható. Az EU–USA Adatvédelmi Keretrendszer (DPF, C(2023) 4745) kizárólag az aktív, ellenőrzött DPF-tanúsítással rendelkező szolgáltatóknál (jellemzően Google) hivatkozott garancia.

A DPF stabilitását érintő bírósági eljárásra tekintettel (a Törvényszék a T-553/23. ügyben a keresetet 2025. szeptember 3-án elutasította; a fellebbezés a C-703/25 P. sz. alatt folyamatban) az Adatkezelő minden harmadik országos továbbításhoz az SCC-t tartja készenlétben, és — magasabb kockázatú (pl. hang-/kép-) tartalomnál — kiegészítő technikai intézkedéseket (titkosítás, adatminimalizálás) alkalmaz, valamint Transfer Impact Assessmentet (TIA) készít.

7. Automatizált döntéshozatal és profilalkotás (GDPR 22. cikk)

Az Adatkezelő nem hoz kizárólag automatizált adatkezelésen alapuló, az érintettre nézve joghatással járó vagy őt hasonlóan jelentősen érintő döntést (GDPR 22. cikk (1) bekezdés). Az AI-eszközök kizárólag döntés-előkészítő/támogató szerepet töltenek be; a végső döntést minden esetben ember hozza meg (emberi felügyelet — lásd 8. fejezet). A weboldal jelenleg NEM végez hirdetési célú profilalkotást és nem alkalmaz harmadik féltől származó hirdetési követést (lásd 4.6., 4.8., 5. pont). Ha a jövőben a hirdetések személyre szabásához profilalkotást vezetnénk be, azt előzetesen, jelen tájékoztató frissítésével és — hozzájáruláshoz kötött eszköznél — a látogató kifejezett hozzájárulásával közöljük; az ilyen közvetlen üzletszerzési célú profilalkotás ellen az érintett bármikor tiltakozhat (GDPR 21. cikk (2)).

8. AI-eszközös adatkezelés és AI Act megfelelőség

Az Adatkezelő a szolgáltatásnyújtás során AI-eszközöket alkalmaz (szöveg-, kép-, videógenerálás, hangátírás, elemzés, üzemeltetési automatizáció). Az alkalmazott eszközök: OpenAI (GPT, Whisper), Anthropic (Claude), Google (Gemini), Higgsfield. Az AI-felhasználás garanciái:

Az Adatkezelő az AI Act ((EU) 2024/1689) szerint alkalmazónak (deployer) minősül. A deepfake-nek minősülő mesterséges kép-/hang-/videótartalomnál közzéteszi annak mesterséges előállítását (AI Act 50. cikk (4)). Az 50. cikk szerinti átláthatósági kötelezettségek főszabály szerint 2026. augusztus 2-tól alkalmazandók; a generatív kimenetek gépi-olvasható jelölésére vonatkozó uniós végrehajtási részletszabályok és esetleges átmeneti könnyítések alakulását az Adatkezelő folyamatosan követi, és a jelölést a mindenkor hatályos szabályok szerint alkalmazza. A magyar végrehajtási törvény (2025. évi LXXV. tv.) 2025. december 1-jén lépett hatályba; az AI Act magyarországi felügyeletét az e törvény által kijelölt hatóság(ok) látják el.

9. Az érintett jogai

A GDPR alapján Ön az alábbi jogokkal rendelkezik:

JogLeírásHivatkozás
Hozzáféréshez való jogTájékoztatást kérhet arról, hogy milyen adatait kezeljükGDPR 15. cikk
Helyesbítéshez való jogKérheti pontatlan adatai kijavításátGDPR 16. cikk
Törléshez való jogKérheti személyes adatai törlését („elfeledtetéshez való jog")GDPR 17. cikk
Adatkezelés korlátozásához való jogKérheti az adatkezelés korlátozásátGDPR 18. cikk
Adathordozhatósághoz való jogKérheti adatai géppel olvasható formátumban történő kiadásátGDPR 20. cikk
Tiltakozáshoz való jogTiltakozhat a jogos érdeken alapuló adatkezelés ellenGDPR 21. cikk
Hozzájárulás visszavonásaBármikor visszavonhatja hozzájárulását (ez nem érinti a visszavonás előtti adatkezelés jogszerűségét)GDPR 7. cikk (3)

Joggyakorlás módja: Kérelmét az alábbi elérhetőségen nyújthatja be:

Az Adatkezelő a kérelmet indokolatlan késedelem nélkül, de legkésőbb 1 hónapon belül teljesíti; ez a kérelmek összetettségére tekintettel további 2 hónappal meghosszabbítható, amiről az érintett az első hónapban tájékoztatást kap (GDPR 12. cikk (3) bekezdés). Az Adatkezelő a kérelmező azonosítását kérheti.

A törlés korlátja: ha jogszabály megőrzést ír elő (pl. Sztv. 169. § — 8 év a számlázási adatra), az Adatkezelő a kapcsolattartási adatokat törli, a jogszabály által előírt adatokat a megőrzési idő végéig megőrzi, és erről az érintettet tájékoztatja.

Ha az Adatkezelő nem tesz intézkedéseket a kérelem nyomán, legkésőbb 1 hónapon belül tájékoztatja az érintettet az elmaradás okairól, valamint a NAIH-panasz és a bírósági jogorvoslat lehetőségéről (GDPR 12. cikk (4)). A kérelem teljesítése díjmentes; az Adatkezelő csak nyilvánvalóan megalapozatlan vagy — ismétlődő jellege miatt — túlzó kérelemnél számíthat fel ésszerű díjat, vagy tagadhatja meg az intézkedést (GDPR 12. cikk (5)).

10. Adatbiztonság (GDPR 32. cikk)

Az Adatkezelő a kockázattal arányos technikai és szervezési intézkedéseket alkalmazza a személyes adatok védelme érdekében (jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisülés, sérülés ellen).

Technikai intézkedések:

Szervezési intézkedések: titoktartási megállapodás (NDA) minden csapattaggal és alvállalkozóval; belső adatkezelési szabályzat; incidenskezelési terv; rendszeres hozzáférés-felülvizsgálat.

11. Adatvédelmi incidens kezelése (GDPR 33–34. cikk)

Adatvédelmi incidens esetén az Adatkezelő:

AI-specifikus incidens (pl. prompt injection, személyes adat AI-rendszerbe kerülése, API-kulcs kompromittálódása) esetén az érintett munkamenet/eszköz azonnal leáll, és kulcsrotáció történik.

12. Gyermekek adatai

Az Adatkezelő szolgáltatásai elsősorban felnőttek számára készülnek. Az ingyenes appok, a Scroll-profil és a Telegram-bot használata a 16. életév betöltéséhez kötött; 16 év alatti felhasználó kizárólag a törvényes képviselő hozzájárulásával vehet részt (GDPR 8. cikk). Ha a Scroll Learning oktatási szolgáltatás kiskorút is érint, arra külön szülői/gondviselői hozzájárulási folyamat vonatkozik. Az információs társadalommal összefüggő szolgáltatásnál a gyermek hozzájárulása a 16. életévtől érvényes (GDPR 8. cikk (1) bekezdés); Magyarország az eltérési lehetőséggel nem élt, alacsonyabb korhatárt nem állapított meg. Amennyiben kiderül, hogy 16 év alatti adat a törvényes képviselő hozzájárulása nélkül került kezelésbe, azt az Adatkezelő haladéktalanul törli.

13. Jogorvoslati lehetőségek

Amennyiben úgy ítéli meg, hogy személyes adatainak kezelése sérti a jogait, az alábbi lehetőségek állnak rendelkezésére:

13.1. Felügyeleti hatósághoz fordulás (GDPR 77. cikk)

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

13.2. Bírósági jogorvoslat (GDPR 79. cikk)

Az érintett — a NAIH-eljárástól függetlenül — bírósághoz fordulhat. A per az érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható (Infotv. 23. § (3) bekezdés).

13.3. Kártérítés (GDPR 82. cikk)

Aki a GDPR megsértéséből eredően vagyoni vagy nem vagyoni kárt szenvedett, kártérítésre jogosult.

14. A tájékoztató módosítása és hatálya

A Scroll Group egy folyamatosan épülő, fejlődő digitális ökoszisztéma: új ingyenes alkalmazásokat, funkciókat és szolgáltatásokat vezetünk be, és a meglévőket is továbbfejlesztjük. Ezért jelen tájékoztató is élő dokumentum — a tényleges adatkezelést követve frissülhet. Mindig pontosan azt írjuk le, ami éppen működik: új adatkezelési cél, új funkció, új adatfeldolgozó vagy AI-eszköz bevezetésekor a tájékoztatót előzetesen, a változás élesítése előtt frissítjük, és a lényeges módosításokról a weboldalon — szerződéses partnereink és regisztrált felhasználóink esetében közvetlen e-mailben — tájékoztatunk. A mindenkor hatályos, dátumozott és verziószámmal ellátott változat elérhető az adatkezeles.html oldalon; korábbi adatkezelésre mindig az akkor hatályos verzió az irányadó. Azokat a funkciókat, amelyek még nem élnek (pl. online fizetés, jutalék-elszámolás, végügyfél-értékelés), külön jelöljük, és a rájuk vonatkozó adatkezelés kizárólag a tényleges bevezetéskor, e tájékoztató előzetes frissítésével lép hatályba.

Az Adatkezelő a tájékoztatót évente legalább egyszer, valamint jogszabályváltozás, új adatkezelési cél, új adatfeldolgozó vagy AI-eszköz bevezetésekor felülvizsgálja. Lényeges módosításról az érintetteket a weboldalon való közzététel útján — szerződéses partnerek esetén közvetlen e-mailben — tájékoztatja. A hatályos változat mindig elérhető az adatkezeles.html oldalon.

VerzióDátumMódosítás
1.02026. 04. 10.Első élő kiadás — Scroll Studio adatkezelési tájékoztató (SS-GDPR-AKT-STUDIO-001-2026)
2.02026. 06. 18.Scroll Group szintű, egységes tájékoztató: 3 üzletág + B2C-célok (profil, Catalog, affiliate, Telegram, fizetés), click-wrap, SCC-elsődleges harmadik országos továbbítás, automatizált döntés, AI Act, incidens, first-party analitika

15. Függelék — alkalmazott jogszabályok

JogszabályMegnevezés
(EU) 2016/679Általános adatvédelmi rendelet (GDPR)
2011. évi CXII. tv.Információs önrendelkezési jogról és információszabadságról (Infotv.)
(EU) 2024/1689Mesterséges intelligencia rendelet (AI Act)
2025. évi LXXV. tv.Az AI Act magyarországi végrehajtásáról (hatály: 2025.12.01.)
2013. évi V. tv.Polgári Törvénykönyv (Ptk.) — 6:22. § (elévülés), 2:48. § (képmás)
2000. évi C. tv.Számvitelről (Sztv.) — 169. § (8 év bizonylat-megőrzés)
2007. évi CXXVII. tv.Általános forgalmi adóról (Áfa tv.) — 169. §, 179. §
2008. évi XLVIII. tv.Gazdasági reklámtevékenységről (Grtv.) — 6. § (közvetlen üzletszerzés, opt-in)
2001. évi CVIII. tv.Elektronikus kereskedelmi szolgáltatásokról (Ekertv.)
2003. évi C. tv.Elektronikus hírközlésről (Eht.) — 155. § (4) bek. (sütik előzetes hozzájárulása)
2002/58/EKePrivacy irányelv (sütik) — 5. cikk (3) bek.
C(2023) 4745EU–USA DPF megfelelőségi határozat (fellebbezés: C-703/25 P)
2021/914/EUA Bizottság SCC-határozata (harmadik országos továbbítás elsődleges mechanizmusa)

Scroll Studio Kft.

Ügyvezető: Tösmagi Eszter · E-mail: scroll.studio@outlook.hu · Telefon: +36 70 621 5152

Dokumentum azonosító: SS-ADAT-2026-06 | Verzió: 2.0 | Utolsó módosítás: 2026.06.18. | Korábbi élő verzió: v1.0 (SS-GDPR-AKT-STUDIO-001-2026, 2026.04.10.)