Adatkezelési Tájékoztató

1. Bevezetés

A jelen Adatkezelési Tájékoztató célja, hogy az Európai Parlament és a Tanács (EU) 2016/679 rendelete (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseinek megfelelően tájékoztassa az érintetteket a „Kárai” Kereskedelmi és Ipari Bt. által üzemeltetett weboldalon végzett adatkezelési tevékenységekről.

Az adatkezelő elkötelezett a felhasználók személyes adatainak védelme iránt, és minden szükséges technikai és szervezési intézkedést megtesz azok biztonságos kezelése érdekében.

2. Az adatkezelő adatai

Cégnév:	„Kárai” Kereskedelmi és Ipari Betéti Társaság
Székhely:	4150 Püspökladány, Bajcsy-Zsilinszky utca 19.
Adószám:	22832508-1-09
Cégjegyzékszám:	09-06-001669
Nyilvántartó hatóság:	Debreceni Törvényszék Cégbírósága
E-mail:	info@ndart.hu
Telefon:	+36 30 248 0358
Weboldal:	https://ndart.hu
Adatvédelmi tisztviselő:	Kárai Endre Kadosa

3. Fogalommeghatározások

Személyes adat: Azonosított vagy azonosítható természetes személyre vonatkozó bármely információ (pl. név, e-mail cím, IP-cím).
Adatkezelés: A személyes adatokon végzett bármely művelet vagy műveletek összessége (pl. gyűjtés, rögzítés, tárolás, felhasználás, törlés).
Adatkezelő: Az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza.
Adatfeldolgozó: Az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel.
Érintett: Bármely azonosított vagy azonosítható természetes személy, akinek személyes adatait kezelik.
Hozzájárulás: Az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel beleegyezését adja személyes adatainak kezeléséhez.
Adatvédelmi incidens: A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

4. Az adatkezelés jogalapjai

Az adatkezelés az alábbi jogalapok valamelyikén történik a GDPR 6. cikk (1) bekezdése szerint:

a) Hozzájárulás — Az érintett hozzájárulását adta személyes adatainak kezeléséhez (pl. „Emlékezz rám” funkció).
b) Szerződés teljesítése — Az adatkezelés a felhasználóval kötött szerződés (regisztráció, rendelés) teljesítéséhez szükséges.
c) Jogi kötelezettség — Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (pl. számviteli bizonylatok megőrzése).
f) Jogos érdek — Az adatkezelés az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (pl. biztonsági naplózás, visszaélések megelőzése).

5. Kezelt adatok köre és célja

5.1. Regisztráció

Kezelt adat	Cél	Jogalap	Megőrzési idő
Felhasználónév	Felhasználó azonosítása	Szerződés teljesítése (Art. 6(1)(b))	Fiók törléséig
E-mail cím	Kommunikáció, bejelentkezés, jelszó-visszaállítás	Szerződés teljesítése (Art. 6(1)(b))	Fiók törléséig
Jelszó (hash)	Hitelesítés (kizárólag Argon2id hash tárolva)	Szerződés teljesítése (Art. 6(1)(b))	Fiók törléséig

5.2. Rendelés

Kezelt adat	Cél	Jogalap	Megőrzési idő
Név, szállítási/számlázási cím	Rendelés teljesítése, számlázás	Szerződés (Art. 6(1)(b)) + Jogi kötelezettség (Art. 6(1)(c))	8 év (2000. évi C. törvény — Számviteli tv.)
Telefonszám	Szállítással kapcsolatos kommunikáció	Szerződés (Art. 6(1)(b)) + Jogi kötelezettség (Art. 6(1)(c))	8 év (Számviteli tv.)
Adószám	Számlázás (amennyiben megadásra került)	Jogi kötelezettség (Art. 6(1)(c))	8 év (Számviteli tv.)
IP-cím	Visszaélések megelőzése, rendelés hitelesítése	Jogos érdek (Art. 6(1)(f))	8 év (Számviteli tv.)

5.3. Biztonsági adatok

Kezelt adat	Cél	Jogalap	Megőrzési idő
IP-cím, bejelentkezési kísérletek	Brute force támadások elleni védelem, fiók biztonság	Jogos érdek (Art. 6(1)(f))	24 óra (sikertelen bejelentkezési kísérletek)
Biztonsági napló	Visszaélések felderítése, rendszerbiztonság	Jogos érdek (Art. 6(1)(f))	90 nap

5.4. Feltöltött fájlok

Kezelt adat	Cél	Jogalap	Megőrzési idő
Fájl metaadatok (fájlnév, méret, típus, feltöltés ideje)	Fájlkezelés, tárhelygazdálkodás	Szerződés teljesítése (Art. 6(1)(b))	Fiók törléséig

5.5. Letöltési napló

Kezelt adat	Cél	Jogalap	Megőrzési idő
Felhasználó azonosító (user_id), időbélyeg	Letöltési kvóta kezelése, visszaélés-megelőzés	Jogos érdek (Art. 6(1)(f))	24 óra

5.6. Indulási értesítés és hírlevél feliratkozás

Kezelt adat	Cél	Jogalap	Megőrzési idő
E-mail cím (értesítés)	Egyszeri értesítés a webshop indulásáról	Hozzájárulás (Art. 6(1)(a))	Az értesítés kiküldéséig, utána automatikus törlés
E-mail cím, név (hírlevél)	Rendszeres hírlevél küldése (újdonságok, akciók)	Hozzájárulás (Art. 6(1)(a))	Leiratkozásig
Kuponkód (hírlevél)	Egyedi kedvezménykupon biztosítása a feliratkozónak	Hozzájárulás (Art. 6(1)(a))	A kupon felhasználásáig vagy lejártáig
IP-cím (feliratkozás)	Visszaélés-megelőzés (rate limiting)	Jogos érdek (Art. 6(1)(f))	A feliratkozás törléséig
GDPR hozzájárulás időbélyege	Hozzájárulás igazolása (bizonyítási kötelezettség)	Jogos érdek (Art. 6(1)(f))	A feliratkozás törléséig

Értesítés típusú feliratkozás: Kizárólag a webshop indulásáról szóló egyszeri e-mail küldésére használjuk az e-mail címet. Az értesítés kiküldése után az adatot automatikusan töröljük.

Hírlevél feliratkozás: A hírlevélre való feliratkozás önkéntes, és kifejezett hozzájáruláson alapul (GDPR-kompatibilis checkbox). A feliratkozó bármikor, indokolás nélkül leiratkozhat az e-mailre küldött „leiratkozás" tárgyú válasszal, vagy az info@ndart.hu címen jelezve igényét. A leiratkozás után az adatokat haladéktalanul töröljük.

5.7. Nyereményjáték

Kezelt adat	Cél	Jogalap	Megőrzési idő
Név, e-mail cím	Nyereményjátékban való részvétel, nyertes értesítése	Hozzájárulás (Art. 6(1)(a))	A nyereményjáték lezárásától számított 30 nap
Nyertes neve, adószáma (értékhatár felett)	SZJA bevallási kötelezettség teljesítése	Jogi kötelezettség (Art. 6(1)(c))	8 év (Számviteli tv.)

A nyereményjátékban való részvétel önkéntes. A részvételi adatokat a játék lezárását követő 30 napon belül töröljük, kivéve ha jogszabályi kötelezettség (SZJA bevallás) hosszabb megőrzést ír elő. A nyereményjáték részletes szabályait a Játékszabályzat tartalmazza.

6. Cookie-k (Sütik)

A weboldal kizárólag a működéshez feltétlenül szükséges sütiket használ. Harmadik féltől származó nyomkövető vagy analitikai sütiket nem alkalmazunk.

Süti neve	Típus	Cél	Élettartam	Jellemzők
AUTHSESSID	Szigorúan szükséges (munkamenet)	Felhasználói munkamenet kezelése, hitelesítés fenntartása	Böngésző bezárásakor törlődik	HttpOnly, Secure, SameSite=Lax
remember_me	Funkcionális	Tartós bejelentkezés a felhasználó kifejezett kérésére	90 nap	HttpOnly, Secure, SameSite=Lax

Megjegyzés az NFC oldalakkal kapcsolatban: A weboldal nyilvános NFC oldalai harmadik féltől származó alkalmazásokra (pl. YouTube, Spotify) irányíthatnak át. Ezek a szolgáltatások saját adatkezelési szabályzattal rendelkeznek, amelyekre a jelen tájékoztató hatálya nem terjed ki.

6.1. Böngésző helyi tárolás (localStorage, IndexedDB)

A szerkesztő alkalmazások (SmartPrint, Csillagtérkép) az alábbi, a böngésző helyi tárhelyében tárolt adatokat használják, kizárólag a működéshez feltétlenül szükséges célokra:

Kulcs/Tár neve	Típus	Cél	Jogalap
selectedTheme	localStorage	A felhasználó által kiválasztott vizuális téma megjegyzése	Feltétlenül szükséges (GDPR 6(1)(f))
gmaps_consent	localStorage	A Google Maps szolgáltatáshoz adott hozzájárulás megjegyzése	Hozzájárulás (GDPR 6(1)(a))
Szerkesztő állapot	IndexedDB	A szerkesztő aktuális munkájának helyi mentése (automatikus mentés)	Feltétlenül szükséges (GDPR 6(1)(f))

Ezek az adatok kizárólag a felhasználó böngészőjében tárolódnak, a szerverre nem kerülnek továbbításra.

6.2. Harmadik feles szolgáltatások

A weboldal nem használ külső CDN szolgáltatókat (Content Delivery Network), analitikai eszközöket vagy harmadik feles nyomkövető technológiákat. Minden szükséges erőforrás (JavaScript könyvtárak, CSS keretrendszerek, betűtípusok) a saját szerverünkön van tárolva (self-hosted).

Google Maps Platform (városkeresés)

A csillagtérkép szerkesztőben elérhető városkeresés funkció a Google Maps Places API és Google Timezone API szolgáltatásokat használja a Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) biztosításában.

Szerver-oldali proxy: Az API kérések kizárólag a saját szerverünkön keresztül (places-proxy.php, timezone-proxy.php) jutnak el a Google-höz. A felhasználó IP-címe, böngészője és egyéb azonosítói nem kerülnek továbbításra a Google felé — kizárólag a szerver IP-címe ismert a Google számára.
Adattovábbítás: A beírt városnév és a koordináták (szélességi/hosszúsági fok).
Jogalap: Jogos érdek (GDPR 6(1)(f)) — a szerkesztő alapfunkciójának biztosítása. A felhasználó személyes adatai nem kerülnek harmadik félhez.
Helyi gyorsítótár: Az API válaszok adatbázisban kerülnek gyorsítótárazásra (120 napig), ezzel minimalizálva a Google felé indított kérések számát.
Harmadik országba történő adattovábbítás: Az EU–US Data Privacy Framework megfelelőségi határozat (C(2023) 4745) alapján. Megjegyzés: személyes adat (IP, böngésző adatok) nem kerül továbbításra.
Google adatvédelmi irányelvek: https://policies.google.com/privacy

7. Az érintett jogai

A GDPR alapján az érintett az alábbi jogokkal élhet:

7.1. Hozzáférés joga (GDPR 15. cikk)

Az érintett jogosult arra, hogy visszajelzést kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen, jogosult a személyes adatokhoz és az adatkezelés körülményeire vonatkozó információkhoz hozzáférni.

7.2. Helyesbítés joga (GDPR 16. cikk)

Az érintett kérheti a pontatlan személyes adatainak helyesbítését, illetve a hiányos adatok kiegészítését.

7.3. Törlés joga („az elfeledtetéshez való jog”) (GDPR 17. cikk)

Az érintett kérheti személyes adatainak törlését. Fontos: A számviteli törvény által előírt megőrzési kötelezettség (8 év) alá eső rendelési adatok esetében a törlés helyett anonimizálás történik a jogszabályi előírások betartása érdekében.

7.4. Az adatkezelés korlátozásához való jog (GDPR 18. cikk)

Az érintett kérheti az adatkezelés korlátozását, amennyiben vitatja az adatok pontosságát, az adatkezelés jogellenes, vagy az adatkezelőnek már nincs szüksége az adatokra.

7.5. Adathordozhatósághoz való jog (GDPR 20. cikk)

Az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja. A fiókbeállításokban elérhető a személyes adatok JSON formátumú exportálása.

7.6. Tiltakozás joga (GDPR 21. cikk)

Az érintett jogosult arra, hogy tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen.

7.7. Hozzájárulás visszavonása

Amennyiben az adatkezelés hozzájáruláson alapul, az érintett jogosult hozzájárulását bármikor visszavonni. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.

8. Jogérvényesítés

Az érintett a fenti jogait az adatkezelőhöz intézett kérelemmel gyakorolhatja az alábbi elérhetőségeken:

E-mail: info@ndart.hu
Postacím: 4150 Püspökladány, Bajcsy-Zsilinszky utca 19.

Az adatkezelő a kérelem beérkezésétől számított legfeljebb 30 napon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről. Szükség esetén ez a határidő további 60 nappal meghosszabbítható, amelyről az érintettet a késedelem okainak megjelölésével értesítjük.

9. Adatbiztonság

Az adatkezelő az alábbi technikai és szervezési intézkedéseket alkalmazza a személyes adatok védelme érdekében:

Jelszóvédelem: Argon2id algoritmussal történő jelszó-hashelés (a jelszavak soha nem kerülnek egyszerű szövegként tárolásra).
Token biztonság: Jelszó-visszaállító és e-mail-megerősítő tokenek SHA256 hash formában tárolva.
Titkosított kommunikáció: HTTPS (TLS) protokoll alkalmazása a teljes weboldalon.
Süti biztonság: HttpOnly, Secure és SameSite=Lax attribútumok minden sütinél.
Tartalombiztonsági szabályzat (CSP): Szigorú Content-Security-Policy fejlécek az XSS támadások megelőzésére.
SQL injection védelem: Kizárólag előkészített utasítások (prepared statements) használata az adatbázis-lekérdezéseknél.
Képfeldolgozás: GD könyvtárral történő képújrafeldolgozás a rosszindulatú tartalom (EXIF metaadatok, beágyazott kódok) eltávolítására.
Sebességkorlátozás (rate limiting): Bejelentkezési kísérletek, fájlfeltöltések és letöltések korlátozása a brute force és DDoS támadások ellen.

10. Adattovábbítás és Adatfeldolgozók

Az Adatkezelő a megrendelések teljesítése, a szállítás lebonyolítása és a számlázás érdekében az alábbi adatfeldolgozókat veszi igénybe:

10.1. Szállítási partnerek

Adatfeldolgozó neve	Székhelye	Adószám	Kezelt adatok és cél
Magyar Posta Zrt. (MPL)	1138 Budapest, Dunavirág utca 2-6.	10901237-2-44	Név, cím, tel., e-mail — Csomagkézbesítés
GLS General Logistics Systems Hungary Kft.	2351 Alsónémedi, GLS Európa u. 2.	12369410-2-44	Név, cím, tel., e-mail — Csomagkézbesítés

10.2. Számlázási partner

Adatfeldolgozó neve	Székhelye	Adószám	Kezelt adatok és cél
KBOSS.hu Kft. (Számlázz.hu)	1031 Budapest, Záhony utca 7.	13421739-2-41	Név, számlázási cím, e-mail — Számlázás

10.3. Tárhelyszolgáltató

Adatfeldolgozó neve	Székhelye	Adószám	Kezelt adatok és cél
Rackhost Zrt.	6722 Szeged, Tisza Lajos körút 41.	25333577-2-06	Weboldal adatai, adatbázis — Tárhely-szolgáltatás

Az adatkezelő személyes adatokat nem továbbít harmadik országba (az Európai Gazdasági Térségen kívülre).

11. Adatvédelmi incidensek

Adatvédelmi incidens esetén az adatkezelő a GDPR 33. cikkének megfelelően az incidens tudomásra jutásától számított 72 órán belül bejelentést tesz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH).

Amennyiben az incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, az adatkezelő a GDPR 34. cikkének megfelelően haladéktalanul tájékoztatja az érintett felhasználókat is.

12. Hatósághoz fordulás joga

Amennyiben az érintett úgy ítéli meg, hogy személyes adatainak kezelése sérti a GDPR vagy az Infotv. rendelkezéseit, panasszal fordulhat a felügyeleti hatósághoz:

Hatóság neve:	Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Székhely:	1055 Budapest, Falk Miksa utca 9-11.
Telefon:	+36 1 391 1400
E-mail:	ugyfelszolgalat@naih.hu
Weboldal:	https://naih.hu

Az érintett jogainak megsértése esetén bírósághoz is fordulhat.

13. Hatályba lépés

Jelen Adatkezelési Tájékoztató hatályba lépésének dátuma: 2026. március 4.

Utolsó módosítás: 2026. március 6.

Az adatkezelő fenntartja a jogot a jelen tájékoztató egyoldalú módosítására. A módosításokról az érintetteket a weboldalon keresztül tájékoztatja.