Adatvédelmi nyilatkozat — Methos

Utolsó frissítés: 2026-04-25 (v3 — Resend processor pontosítás, Google/Apple független adatkezelőként, scrypt jelszó-hash, appon belüli fióktörlés, Session Replay kikapcsolva)

A nyilatkozat magyar és angol nyelven érhető el. Az Európai Gazdasági Térségen (EGT) belüli felhasználókra a GDPR (EU 2016/679) érvényes.

1. Adatkezelő

Név: Varga Béla (magánszemély)
Cím: 1117 Budapest, Szerenád utca 4/A 4. em. 8.a
E-mail: hello@methos.study
Weboldal: https://methos.study
Adatvédelmi tisztviselő (DPO): nincs kijelölve — a GDPR 37. cikke alapján nem kötelező, mert nem folytatunk nagyszabású szisztematikus megfigyelést és nem kezelünk nagyszabású különleges adatokat

2. Milyen adatokat gyűjtünk?

2.1 Regisztrációkor önként megadott adatok

Név (opcionális) — megszólítás a felületen
E-mail cím — fiók azonosítása, bejelentkezés, password reset
Jelszó — egyirányú jelszó-hash-sel tároljuk (Better Auth alapértelmezett scrypt implementációja), sosem nyersen
Google / Apple OAuth esetén: a szolgáltatótól csak e-mail címet és Display Name-et kapunk (profilkép opcionálisan)

2.2 Automatikusan gyűjtött adatok

Tanulási haladás — melyik tételeket kezdted el, pontosság, XP, streak
Ismétlési állapot — FSRS algoritmus állapota minden megtanult kérdésre
Eszköz azonosító (pszeudonim) — crash reporting és hibakövetés céljából, véletlen UUID
Crash / hibajelentés — ha az app lefagy, automatikus jelentést küld (Sentry)

2.3 Pszeudonim használati statisztika (PostHog EU)

A PostHog (EU Cloud, eu.i.posthog.com, adattárolás az Európai Unióban) szolgáltatásával pszeudonim, aggregált használati statisztikát gyűjtünk, hogy megértsük hogyan használják a felhasználók az alkalmazást.

Fontos GDPR-pontosítás: ez pszeudonim, NEM anonim adat. A PostHog szerverére küldött user.id (egy szerveroldali UUID) a GDPR 4. cikk (5) bekezdése szerinti pszeudonimizált személyes adat, mert elméletileg visszavezethető a fiókra. Ezért a GDPR minden védelme kiterjed rá.

Jogalap: jogos érdek (GDPR 6. cikk (1) bekezdés f) pont) — érdekmérlegelési teszt alapján az aggregált, pszeudonim használati minták a szolgáltatás fejlesztéséhez szükségesek, és nem érintik érdemben a felhasználói jogokat. Az érdekmérlegelési teszt részletes eredménye kérésre elérhető: hello@methos.study.

Csak a következő, nem tartalmi eseményeket rögzítjük:

Alkalmazás megnyitása (app_opened)
Regisztráció (signup — csak a módszer: email / Google / Apple / magic-link)
Session indítása (session_started — topic, nehézségi szint, feladatszám)
Session befejezése (session_completed — helyes/összes, időtartam, XP)
Sorozat megszakadása (streak_broken — előző sorozat hossza, inaktív napok)

E-mail cím, név, jelszó, telefonszám vagy szabadszöveges tartalom SOHA nem kerül a PostHog-ba.

Kikapcsolható a Beállítások → Adatvédelem szekcióban. Kikapcsolás után:

A már elküldött pszeudonim események nem kerülnek visszamenőleg törlésre (erre a 17. cikk szerinti törlési kérés szolgál — lásd a 6. szakaszt)
Helyileg az eszközön a statisztikai puffer törlődik a legközelebbi session indításkor (kb. 5 perc alatt)
Új események nem kerülnek elküldésre a PostHog felé, amíg a kapcsoló OFF
A kapcsoló visszakapcsolása után NEM töltjük fel a kikapcsolás alatti adatokat — azok véglegesen elvesznek

2.4 Amit NEM gyűjtünk

Helyadatok
Kontaktlista
Fényképek
Mikrofon
Hirdetési azonosítók (nincsenek reklámok)
Sütik / tracking cookies (nincsen weboldal tracking)
Különleges kategóriájú adatok (GDPR 9. cikk)

3. Miért gyűjtjük (jogalap és szerződéses követelmény)?

Adat	Cél	Jogalap	Szerződéshez szükséges?
E-mail, jelszó	Fiók létrehozása, bejelentkezés	Szerződés — GDPR 6. cikk (1) bekezdés b) pont	Igen — fiók nélkül a szolgáltatás nem nyújtható
Tanulási haladás	Fő szolgáltatás	Szerződés — GDPR 6. cikk (1) bekezdés b) pont	Igen — haladás mentése a termék alapja
Crash adatok	Hibajavítás	Jogos érdek — GDPR 6. cikk (1) bekezdés f) pont	Nem — kikapcsolható (a felhasználói élmény csökkenhet)
PostHog analitika	Termékfejlesztés	Jogos érdek — GDPR 6. cikk (1) bekezdés f) pont	Nem — kikapcsolható
Név	Személyre szabott megszólítás	Hozzájárulás — GDPR 6. cikk (1) bekezdés a) pont	Nem — opcionális

Automatizált döntéshozatal / profilalkotás (GDPR 22. cikk): nincs. Az FSRS ismétlési algoritmus csak a következő kérdés időzítését számolja matematikai képlettel — nem hoz a felhasználóra nézve joghatású vagy hasonló jelentős döntést, és nincs profilalkotás marketinghez, hitelképességhez, kockázatértékeléshez vagy bármilyen külső folyamathoz.

4. Adatfeldolgozók (akiknek adatot adunk át)

Az alábbi szolgáltatók a GDPR 28. cikke szerinti adatfeldolgozók. Mindegyikkel adatfeldolgozói szerződés (Data Processing Agreement, DPA) van érvényben. Harmadik országba (EU-n kívülre) történő adattovábbítás esetén a DPA mellé Standard Contractual Clauses (SCC) vagy EU Bizottság által elfogadott megfelelőségi határozat, vagy egyéb GDPR 46. cikk szerinti garancia is társul — lásd 4.1.

Szolgáltató	Szerep	Földrajzi hely	Mit kezel	Jogi garancia
Railway (railway.com)	Backend hosting, PostgreSQL adatbázis	USA	Fiókadatok, tanulási haladás, session logok	DPA + SCC (EU → USA); kiegészítő intézkedések: pihenő titkosítás, adatminimalizálás
Resend (resend.com)	Tranzakciós email kézbesítése (bejelentkezési “magic link”, jelszó-reset email)	USA	Címzett e-mail cím, email-tartalom (a magic-link URL-jét is beleértve), kézbesítési metaadatok	DPA + SCC (EU → USA); a kézbesítési naplókat 30 napig őrzik, a tartalmakat csak átmenetileg a kézbesítés idejére
Sentry (sentry.io)	Crash reporting	EU (Frankfurt — ingest.de.sentry.io)	Pszeudonim technikai hibajelentések; PII (email, jelszó, cookie) maszkolva	DPA; EU-n belüli feldolgozás, harmadik országos továbbítás nincs
PostHog (eu.posthog.com)	Pszeudonim termék-analitika	EU (EU Cloud)	Csak a 2.3 szekcióban felsorolt események	DPA; EU-n belüli feldolgozás
Cloudflare (cloudflare.com)	DNS, statikus oldal-hosting (Cloudflare Pages), beérkező e-mailek routing-olása (methos.study)	Globális CDN edge (a kérések a legközelebbi POP-on landolnak, amely EU POP-ban lehet, de USA/más régió is lehetséges)	Statikus oldal lekérdezéseknél: IP, User-Agent, timestamp (rövid log retention). Email routing: bejövő email metaadat (From, To, Subject, timestamp) és tartalom átmeneti átfutásban a forwardolásig	DPA; SCC harmadik országos POP-ra vonatkozó továbbításhoz

4.0a Független adatkezelők — OAuth identity provider-ek

A Google és az Apple NEM az 28. cikk szerinti adatfeldolgozók, hanem független adatkezelők (identity provider-ek), akik saját adatvédelmi nyilatkozatuk alapján kezelik a bejelentkezést. Mi csak az általuk kibocsátott azonosító tokent vesszük át.

Szolgáltató	Szerep	Mit kapunk tőle	Saját adatvédelmi nyilatkozat
Google	OAuth identity provider (csak ha Google Sign-In-t választ)	Google ID token (subject claim, e-mail cím, opcionálisan Display Name)	https://policies.google.com/privacy
Apple	OAuth identity provider (csak ha Sign in with Apple-t választ)	Apple ID token (subject claim, opcionálisan privát relay e-mail)	https://www.apple.com/legal/privacy/

A Google/Apple oldalán történő hitelesítés során rájuk vonatkozik az ő nyilatkozatuk; az általunk kapott tokenből készített fiókra a jelen nyilatkozat vonatkozik.

4.1 Harmadik országba (USA) történő adattovábbítás

A Railway, Resend és a Cloudflare (harmadik országos POP esetén) szolgáltatók USA-ban tárolhatnak (vagy oda továbbíthatnak) adatokat. A Google és az Apple — mint független adatkezelők (lásd 4.0a) — szintén az USA-ban dolgoznak; az ő esetükben az ő saját nyilatkozatuk az irányadó. A GDPR 44-46. cikke alapján a velünk szerződéses kapcsolatban lévő szolgáltatókra a következő garanciák érvényesek:

Jogi garancia: EU Bizottság által jóváhagyott Standard Contractual Clauses (SCC) a szolgáltatókkal kötött szerződésekben
Kiegészítő intézkedések (Schrems II után): adatminimalizálás (csak a szükséges azonosítókat küldjük), pihenő titkosítás, szállítási titkosítás (TLS 1.2+)
Transfer Impact Assessment (TIA) elvégezve, dokumentáció kérésre elérhető: hello@methos.study
SCC szövegének másolata kérésre elérhető: hello@methos.study

Tervezett fejlesztés (Phase 14): EU-régió backend migráció tervezett 2026-ban (Railway EU region vagy EU-alapú alternatíva) az USA-transzfer minimalizálására.

4.2 Marketing célú adatátadás

NEM adjuk el, nem adjuk át harmadik félnek marketing céljából. Nincsenek reklámpartnerek, nincs DMP vagy CDP integráció.

5. Meddig tároljuk?

Adatkör	Retenciós idő	Törlés módja
Aktív fiók adatai	Amíg a fiókot törlésre nem kéred	17. cikk alapján kérésre, 30 napon belül
Inaktív fiók (12+ hónap)	12 hónap után e-mail értesítés, további 30 nap haladék, utána automatikus törlés	Automatikus
Crash adatok (Sentry)	90 nap	Automatikus rotáció
Pszeudonim PostHog események	12 hónap (PostHog default retention)	Automatikus rotáció; felhasználói kérésre (17. cikk) törölhető
Biztonsági mentések	30 nap	Automatikus rotáció
Server access logok (Railway)	7 nap	Automatikus rotáció
Cloudflare edge / email routing logok	7 nap (Cloudflare default)	Automatikus rotáció

Bármikor kérheted — mindegyiket a hello@methos.study címen:

Hozzáférés (15. cikk): másolat az adataidról, 30 napon belül
Helyesbítés (16. cikk): ha rossz adat van rólad
Törlés (17. cikk, “right to be forgotten”): teljes fiók + adat törlés. A v1.0-tól az appon belül is elérhető a Beállítások → Fiók törlése menüpontból — azonnali, megerősítő dialógussal védett. Email-en (hello@methos.study) küldött kérésre 30 napon belül teljesítjük (ha nincs hozzáférésed az appon belüli flow-hoz). Sign in with Apple esetén az appon belüli törlés a backend-en automatikusan érvényteleníti az Apple refresh tokenét (Apple App Review 5.1.1 követelmény)
Korlátozás (18. cikk): kérheted, hogy adott időszakig ne dolgozzuk fel az adatodat (pl. vitás helyesbítés ideje alatt)
Adatátvitel (20. cikk): JSON export a haladásodról, gépileg olvasható formátumban
Tiltakozás (21. cikk): ha jogos érdekre hivatkozunk (pl. Sentry, PostHog), kérheted hogy ne kezeljük
Hozzájárulás visszavonása (7. cikk): ha hozzájárulás az alap (pl. név megadása), bármikor visszavonhatod

Panasz: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

E-mail: ugyfelszolgalat@naih.hu
Weboldal: https://www.naih.hu

Önálló hozzájárulás korhatára: 16 év (GDPR által Magyarországon alkalmazott alsó korhatár). 16 év fölött a felhasználó saját nevében regisztrálhat.
16 év alatt: kizárólag szülő/gondviselő közreműködésével használható a szolgáltatás. Ez gyakorlatilag azt jelenti, hogy 16 év alatt a fiókot a szülő/gondviselő hozza létre a saját e-mail címére, ő fogadja el az ÁSZF-et és az adatkezelést, és ő felügyeli a használatot. Az alkalmazás v1.0-ban NEM tartalmaz dedikált kor-ellenőrzést, szülői hozzájárulás-rögzítő flow-t vagy életkor-alapú profil-szűkítést — ez a v1.x szakasz tervezett fejlesztése.
A v1.0 érettségi-előkészítő tartalom miatt (15-19 éves felhasználók a célcsoport) az App Store kor-besorolása 9+ vagy 12+ — ennek megfelelően a tartalom 16 év alatti megtekintése megengedett, de a fiók-létrehozás szülői felügyeletet igényel.
Törlési jog szülőnek: ha kiderül, hogy a fiókot 16 év alatti személy hozta létre szülői hozzájárulás nélkül, a szülő kérésére azonnal töröljük a hello@methos.study címen vagy az appon belüli “Fiók törlése” gombbal (lásd 6. szakasz).
Gyermekek adatainak kezelése: ugyanaz mint felnőtteké — nincs külön profilalkotás, nincs reklám, nincs különleges adat.

8. Biztonság

Jelszó: erős egyirányú hash-sel tárolva (Better Auth alapértelmezett scrypt implementációja, ipari standard memória-kemény hash), sosem nyersen
Átvitel: HTTPS mindenhol, TLS 1.2+
Pihenő titkosítás: Postgres at-rest encryption (Railway), felhős backup titkosítás
Hozzáférés: szigorú IAM kontroll a backendhez (csak az adatkezelő férhet hozzá)
Biztonsági mentések: napi backup, 30 nap retention, titkosítva
Incidensjelentés: adatvédelmi incidens esetén 72 órán belül értesítjük a NAIH-et, és a felhasználókat ha magas a kockázat (GDPR 33-34. cikk)

9. Módosítások

A nyilatkozat módosítása esetén:

Változás dátumát (fent) frissítjük
Jelentős változás (új adatfeldolgozó, új cél, új jogalap) esetén: appon belüli értesítés + e-mail + legalább 30 napos előzetes tájékoztatás, mielőtt a változás életbe lépne
A korábbi verziók archívuma kérésre elérhető

10. Kapcsolat

Adatvédelmi ügyekben: hello@methos.study Válaszidő: 30 napon belül (GDPR 12. cikk szerinti, kivételes esetben további 60 nappal meghosszabbítható, indokolással)

Privacy Policy (English summary)

Full policy in Hungarian above. Key points:

Data controller: Varga Béla (private individual), 1117 Budapest, Szerenád utca 4/A 4. em. 8.a, Hungary — hello@methos.study
We collect: email, password (one-way scrypt hash via Better Auth default), optional name, learning progress, crash reports, pseudonymous product analytics (PostHog EU)
We do NOT collect: location, photos, contacts, tracking cookies, ad IDs, special category data, session replays
No automated decision-making or profiling (GDPR Art. 22)
Processors: Railway (USA — DPA + SCC, backend + DB), Resend (USA — DPA + SCC, transactional email delivery for magic-link / password-reset), Sentry (EU — DPA), PostHog (EU — DPA), Cloudflare (global CDN + email routing — DPA + SCC for non-EU POPs)
Independent OAuth controllers (NOT processors): Google, Apple — when the user picks social sign-in, the provider authenticates under their own privacy policy and we receive only the resulting ID token
USA transfers: safeguarded by SCC + Transfer Impact Assessment + encryption + data minimization. Phase 14 plan: migrate to EU-region backend.
Your rights (GDPR Art. 15-22): access, rectification, erasure, restriction, portability, objection, withdraw consent — all at hello@methos.study, 30-day response. In-app deletion (“Settings → Delete Account”) is available from v1.0 and runs immediately; for Sign-in-with-Apple users the server also revokes the Apple refresh token per App Review 5.1.1.
Children: self-consent age 16; under 16 the service must be used with parent/guardian involvement (account created on the parent’s email, ToS accepted by parent). v1.0 ships without a dedicated child onboarding / parental-consent flow — that is planned for v1.x. Parents may request deletion at any time, in-app or via email.
Contact: hello@methos.study
Complaint: NAIH (Hungarian Data Protection Authority) — ugyfelszolgalat@naih.hu