Adatvédelmi Tájékoztató / Privacy Policy

BirteWork System | GDPR Regulation (EU) 2016/679

Utolsó frissítés / Last updated: 2026-05-11 | Verzió / Version: 2.0

Érintett-kategóriák

A tájékoztató kétféle érintettet különböztet meg, mert eltérő a jogi szerepük és a jogaik gyakorlásának módja:

(A) Felhasználó cég A BirteWork rendszert üzleti tevékenységéhez használó villanyszerelő, vállalkozó, kisvállalkozás vagy alkalmazottja.
(B) Megrendelő / végügyfél Az a természetes vagy jogi személy, akinek a felhasználó cég munkát végez, és aki ezzel kapcsolatban adatokat ad meg vagy fogad.

Kritikus szerep-tisztázás: az (B) végügyfél adatai tekintetében az (A) felhasználó cég az adatkezelő a GDPR 4. cikk (7) bekezdése értelmében. A BirteWork üzemeltetője ezen adatok tekintetében az adatfeldolgozó szerepében jár el (4. cikk (8)). A BirteWork közvetlen adatkezelői felelőssége kizárólag az (A) felhasználó cég saját regisztrációs és fiók-adataira terjed ki.

Categories of Data Subjects

This notice distinguishes two categories of data subjects, as their legal roles and the way they exercise their rights differ:

(A) User Company The electrical contractor, entrepreneur, small business, or their employee using the BirteWork system for their business.
(B) Customer / End User The natural or legal person for whom the User Company performs work, and who provides or receives related data.

Critical role clarification: regarding data of the (B) end customer, the (A) User Company is the data controller under GDPR Article 4(7). The BirteWork operator acts as data processor regarding such data (Article 4(8)). The BirteWork operator's direct controller responsibility is limited to the (A) User Company's own registration and account data.

Önkiszolgáló adattörlés (Megrendelőknek)

Ha Ön (B) megrendelő, az Ügyfélkapun belül bármikor használhatja az „Adatok törlése" gombot a saját fiókja és személyes adatai végleges, azonnali eltávolításához. Nem szükséges kérvényeznie. (GDPR 17. cikk)

Self-Service Deletion (Customers)

If you are a (B) customer, you can use the „Delete My Data" button in the Client Portal at any time to permanently and instantly remove your account and personal information. No request needed. (GDPR Article 17)

1Üzemeltető és kapcsolat

A BirteWork rendszer üzemeltetője a (B) végügyfél adatai tekintetében adatfeldolgozóként, az (A) felhasználó cég saját fiók-adatai tekintetében pedig adatkezelőként jár el.

Üzemeltető neve: [Cégnév / vállalkozó neve]

Székhely: [Székhely címe]

Adószám: [Adószám]

Nyilvántartási szám: [Cégjegyzék- vagy egyéni vállalkozói nyilvántartási szám]

E-mail (általános): birteistvan@gmail.com

E-mail (adatvédelem): birteistvan@gmail.com

Web: birtework.com

Adatvédelmi tisztviselő (DPO)

Az üzemeltető a GDPR 37. cikke alapján nem köteles adatvédelmi tisztviselő kijelölésére, mivel főtevékenysége nem jár nagyszámú érintett szisztematikus, rendszeres és kiterjedt megfigyelésével, és nem foglalkozik különleges adatok széles körű kezelésével. Adatvédelmi kérdésekben közvetlenül a fenti e-mail címen veheti fel a kapcsolatot.

1Operator and Contact

The BirteWork system operator acts as data processor regarding (B) end customer data, and as data controller regarding the (A) User Company's own account data.

Operator Name: [Company / entrepreneur name]

Registered Office: [Address]

Tax ID: [Tax ID]

Registration No.: [Company or sole entrepreneur registration number]

Email (general): birteistvan@gmail.com

Email (data protection): birteistvan@gmail.com

Web: birtework.com

Data Protection Officer (DPO)

The operator is not required to appoint a DPO under GDPR Article 37, as its core activities do not involve regular and systematic monitoring of data subjects on a large scale, nor large-scale processing of special categories of data. For data protection matters, please contact the email above directly.

2Kezelt személyes adatok

2.1 Az (A) felhasználó cég saját adatai (BirteWork mint adatkezelő)

  • E-mail cím (belépés, fiók-helyreállítás)
  • Jelszó (BCrypt hash-szel, sózva, soha nem plain-textben)
  • Vezeték- és keresztnév, telefonszám
  • Cégadatok: cégnév, székhely, adószám, bankszámla, cég-logo
  • Eszközazonosító (Android ANDROID_ID) — eszköz-szintű autentikációhoz, multi-tenant elválasztáshoz
  • Belépési időbélyegek (utolsó bejelentkezés eszközönként)

2.2 A (B) végügyfél adatai (BirteWork mint adatfeldolgozó, az (A) cég mint adatkezelő)

Az (A) felhasználó cég viszi fel ezeket az adatokat a saját üzleti tevékenysége keretében. A BirteWork csupán tárolja és technikailag elérhetővé teszi az érintett saját jogainak gyakorlásához (lásd Ügyfélportál, 6. szakasz).

  • Megrendelő/ügyfél neve, telefonszáma, e-mail címe
  • Lakcím, számlázási cím, megközelítési megjegyzések
  • Hozzáférési információk: kapucsengő név, kapukódok (a felhasználó cég vihet fel)
  • Munkalap-adatok: státusz, prioritás, határidő, leírás
  • Fotódokumentáció (EXIF-metaadatokkal: dátum, idő, GPS, ha a felhasználó cég bekapcsolta)
  • Aláírások (a végügyfél + a szerelő — GPS és időbélyeg hitelesítéssel)
  • Munkanapló-bejegyzések, anyaglisták, árak
  • Ügyfélportál-aktivitás naplója (IP, action, időbélyeg — biztonsági okból)

2.3 Technikai és naplóadatok

  • API-hívások időbélyege és státusza (debug, biztonság)
  • Token-rotációs események (30 napos token-élettartam, automatikus refresh)
  • Crash-jelentések (Firebase Crashlytics, ha engedélyezett — opcionális)

2Personal Data Processed

2.1 (A) User Company own data (BirteWork as controller)

  • Email address (login, account recovery)
  • Password (BCrypt hash, salted, never plain-text)
  • First and last name, phone number
  • Company info: name, address, tax ID, bank account, company logo
  • Device identifier (Android ANDROID_ID) — for device-level auth, multi-tenant separation
  • Login timestamps (last login per device)

2.2 (B) End Customer data (BirteWork as processor, the (A) User Company as controller)

The (A) User Company enters these data in the course of its own business activity. BirteWork merely stores and technically makes them available for the data subject's own rights (see Client Portal, Section 6).

  • Customer name, phone, email
  • Address, billing address, access notes
  • Access information: doorbell name, gate codes (entered by the User Company)
  • Work order data: status, priority, deadline, description
  • Photo documentation (with EXIF metadata: date, time, GPS if enabled by the User Company)
  • Signatures (end customer + technician — GPS + timestamp authentication)
  • Work log entries, material lists, prices
  • Client Portal activity log (IP, action, timestamp — security)

2.3 Technical and Log Data

  • API call timestamps and status (debug, security)
  • Token rotation events (30-day token lifetime, auto-refresh)
  • Crash reports (Firebase Crashlytics if enabled — optional)

3Adatkezelés céljai és jogalapjai

Adatkör / CélJogalapTárolás
(A) Fiók-adatok, belépés, autentikáció GDPR 6. cikk (1)(b)
szerződésteljesítés		 fiók aktivitásig + 5 év
(B) Megrendelő/munkalap-adatok kezelése a felhasználó cég nevében GDPR 6. cikk (1)(b)
szerződésteljesítés (a felhasználó cég és a végügyfél közt)		 aktuális munka + 5 év (számviteli kötelezettség)
Munkalapok, számlák (számviteli kötelezettség) GDPR 6. cikk (1)(c) jogi kötelezettség
+ 2000. évi C. tv.		 8 év
GPS-koordináták (fotó-/aláírás-hitelesítés) GDPR 6. cikk (1)(a)
felhasználói hozzájárulás (Location permission)		 az adott munkalap megőrzési idejéig
Biztonsági naplók, audit-events GDPR 6. cikk (1)(f) jogos érdek
(szolgáltatás-üzemeltetés)		 90 nap
Token-rotáció, eszköz-autentikáció GDPR 6. cikk (1)(f) jogos érdek + 32. cikk biztonság 30 nap (automatikus rotáció)

3Purposes and Legal Bases

Data / PurposeLegal BasisRetention
(A) Account data, login, authentication GDPR Art. 6(1)(b)
contract performance		 account active + 5 years
(B) Customer/work order data on behalf of User Company GDPR Art. 6(1)(b)
contract performance (between User Company and end customer)		 active work + 5 years (accounting obligation)
Work orders, invoices (accounting obligation) GDPR Art. 6(1)(c) legal obligation
+ HU Accounting Act		 8 years
GPS coordinates (photo/signature authentication) GDPR Art. 6(1)(a)
consent (Location permission)		 until work order retention ends
Security logs, audit events GDPR Art. 6(1)(f) legitimate interest
(service operation)		 90 days
Token rotation, device auth GDPR Art. 6(1)(f) legitimate interest + Art. 32 security 30 days (auto-rotation)

4Adattovábbítás és adatfeldolgozók

Az adatokat kizárólag korlátozottan, szolgáltatás-üzemeltetési célból továbbítjuk. Harmadik fél részére érdemi adatértékesítés NEM történik.

4.1 Adatfeldolgozó-partnerek

  • Google Firebase / FCM (Google Ireland Limited): kizárólag push-értesítéseket küld — technikai metaadatokat lát, ügyfél-személyes adatokhoz nem fér hozzá.
  • Google Firebase Crashlytics (opcionális, engedélyezhető): crash-jelentések technikai elemzéshez. Eszközazonosítót és stack trace-t lát, ügyfél-adatokat nem.
  • Google Play Services: alkalmazás-frissítések — szabványos Google szolgáltatás.
  • Tárhely-szolgáltató: a birtework.com szerver hostingja — EU-területen belül vagy megfelelő védelmi szinttel.

4.2 Kötelező adattovábbítás

  • Hatóságok, bíróságok jogszabályon alapuló megkeresése esetén

4.3 Harmadik országba történő adattovábbítás

Az adatok az EU/EGT területén belül kerülnek tárolásra. A Google-szolgáltatások esetén az EU-USA adatvédelmi keretrendszer (Data Privacy Framework) szabványos garanciái érvényesek.

4Data Transfers and Processors

Data is transferred only to a limited extent, for service operation. We do NOT sell data to third parties.

4.1 Data Processor Partners

  • Google Firebase / FCM (Google Ireland Limited): push notifications only — sees technical metadata, no customer personal data.
  • Google Firebase Crashlytics (optional, opt-in): crash reports for technical analysis. Sees device ID and stack trace, no customer data.
  • Google Play Services: app updates — standard Google service.
  • Hosting provider: for the birtework.com server — within EU or adequate protection level.

4.2 Mandatory Transfers

  • To authorities and courts upon lawful request

4.3 Third Country Transfers

Data is stored within the EU/EEA. For Google services, the EU-US Data Privacy Framework standard safeguards apply.

5Adatbiztonság (GDPR 32. cikk)

5.1 Titkosítás

  • Átvitel közben: HTTPS / TLS 1.2+ minden szerver-kommunikációra
  • Nyugalmi állapotban (mobil): a Room-adatbázis teljes egészében AES-256-tal titkosítva (SQLCipher)
  • Token- és jelszó-tárolás (mobil): EncryptedSharedPreferences, AES-256-GCM, MasterKey az Android Keystore-ban
  • Szerver-jelszó: BCrypt hash, sózva

5.2 Hozzáférés-szabályozás

  • Token-rotáció: 30 napos lejárati idő, automatikus frissítés
  • Multi-tenant elválasztás: minden adat cég-azonosítóval címkézve — egy cég felhasználói NEM látnak más cég adataihoz
  • Eszköz-letiltás: a felhasználó cég admin szerepben távolról letilthat kompromittált eszközt
  • Szigorú offline-belépés: a lokálisan tárolt jelszó pontos ellenőrzéssel (mobil oldalon, alapértelmezetten BE)

5.3 Adatvédelmi incidens (Art. 33-34)

Incidens esetén az üzemeltető 72 órán belül értesíti a NAIH-ot, és magas kockázat esetén az érintetteket. A felhasználó cégek köteles haladéktalanul jelezni az üzemeltetőnek, ha az általuk feltöltött adatokkal kapcsolatban incidens-gyanú merül fel.

5Data Security (GDPR Article 32)

5.1 Encryption

  • In transit: HTTPS / TLS 1.2+ for all server communication
  • At rest (mobile): Room database fully encrypted with AES-256 (SQLCipher)
  • Token / password storage (mobile): EncryptedSharedPreferences, AES-256-GCM, MasterKey in Android Keystore
  • Server password: BCrypt hash, salted

5.2 Access Control

  • Token rotation: 30-day expiry, automatic refresh
  • Multi-tenant isolation: all data tagged with company ID — users of one company see NO data of another
  • Device disable: User Company admins can remotely disable a compromised device
  • Strict offline login: exact local password verification (mobile, default ON)

5.3 Data Breach (Art. 33-34)

In case of a breach, the operator notifies the NAIH within 72 hours, and the data subjects in case of high risk. User Companies must promptly notify the operator if they suspect a breach related to the data they uploaded.

Az érintettek jogai (GDPR 15-22. cikk)

6.1 (A) Felhasználó cég jogai — e-mailben

A fiók-adatok tekintetében a fenti adatvédelmi e-mail címen érvényesíthetők. A kérelmet 30 napon belül megválaszoljuk (Art. 12(3)).

  • Hozzáférés (Art. 15)
  • Helyesbítés (Art. 16) — vagy közvetlenül az app profilszerkesztőjével
  • Törlés / „elfelejtéshez való jog" (Art. 17)
  • Korlátozás (Art. 18)
  • Hordozhatóság (Art. 20) — JSON-formátumú export
  • Tiltakozás (Art. 21)
  • Hozzájárulás visszavonása (Art. 7(3)) — opcionális engedélyek
6.2 (B) Megrendelő / végügyfél jogai — az Ügyfélkapun AZONNAL

A jogokat nem kell e-mailben kérvényezni; az Ügyfélkapu menüjéből közvetlenül elérhetők:

  • Hozzáférés: Kezdőlap → munkalap-választó
  • Hordozhatóság (PDF+ZIP): munkalap-részletek → „Munkanapló letöltése" + „Képek letöltése (ZIP)"
  • Helyesbítés: naplóbejegyzéseknél reakció-gombok (👍 / ❓ / 😕 / ⚠️) + szöveges leírás
  • Jelszómódosítás: profil-menü
  • Törlés (azonnali): profil-menü → „Adatok törlése" — auditált végleges törlés (ClientActivityLog.GDPR_DELETE_REQUEST)
  • Hozzájárulás visszavonása: regisztrációkor adott opcionális hozzájárulások

Data Subject Rights (GDPR Arts. 15-22)

6.1 (A) User Company rights — by email

For account data, exercised via the data protection email above. Answered within 30 days (Art. 12(3)).

  • Access (Art. 15)
  • Rectification (Art. 16) — or directly via the app profile editor
  • Erasure / „right to be forgotten" (Art. 17)
  • Restriction (Art. 18)
  • Portability (Art. 20) — JSON-format export
  • Object (Art. 21)
  • Withdraw consent (Art. 7(3)) — optional permissions
6.2 (B) Customer / End User rights — INSTANT via Client Portal

No email request needed; available directly from the Client Portal menu:

  • Access: Home → work order selector
  • Portability (PDF+ZIP): work order details → „Download work log" + „Download images (ZIP)"
  • Rectification: log entries reaction buttons (👍 / ❓ / 😕 / ⚠️) + free text
  • Password change: profile menu
  • Erasure (instant): profile menu → „Delete My Data" — audited final deletion (ClientActivityLog.GDPR_DELETE_REQUEST)
  • Withdraw consent: opt-in items given at registration

7Sütik (cookies)

7.1 Szükséges sütik

  • Munkamenet-sütik: bejelentkezés, alap-funkcionalitás
  • Biztonsági sütik: CSRF-védelem

7.2 Funkcionális sütik

  • Felhasználói preferenciák, nyelv-beállítás

7.3 Analitikai sütik (csak kifejezett hozzájárulással)

Jelenleg az ügyfélportál NEM használ harmadik féltől származó analitikai sütit. Ha a jövőben bevezetjük, külön opt-in szükséges.

7Cookies

7.1 Essential

  • Session cookies: login, basic functionality
  • Security cookies: CSRF protection

7.2 Functional

  • User preferences, language selection

7.3 Analytical (only with explicit consent)

The Client Portal currently does NOT use third-party analytical cookies. If introduced later, separate opt-in will be required.

Felelősségi keretek

1. Az (A) felhasználó cég felelőssége: a saját ügyfeleinek (B) adatai jogszerű felviteléért, naprakészségéért, és az érintetti hozzájárulások (vagy más jogalap) beszerzéséért egyedül felel. Az (A) felhasználó cég vállalja, hogy az általa rögzített ügyfél-adatokra nézve megfelelő GDPR-jogalappal rendelkezik (Art. 6).

2. Az üzemeltető felelőssége: a szolgáltatás technikai biztonságáért és a Felhasználási Feltételek (EULA) szerinti üzemeltetésért felel. Az üzemeltető NEM felel az (A) felhasználó cég adatkezelési hibáiból, harmadik fél tévedéséből, vagy a felhasználó cég-ügyfél közti üzleti jogvitákból eredő károkért.

3. Felelősségkorlátozás (B2B keretben): az üzemeltető teljes kumulált felelőssége a szolgáltatásra vonatkozóan — kárigényenként és összesen — az adott évben az üzemeltetőnek a felhasználó cég által fizetett licencdíj kétszerese, ennek hiányában legfeljebb 50 000 forint. Ez a korlátozás nem terjed ki olyan károkozási esetekre, amelyek a magyar jog (Ptk. 6:152.§) szerint nem zárhatók ki.

4. Részletek: a teljes Végfelhasználói Licencszerződés (EULA) az app Beállítások → Licencszerződés menüjéből érhető el. Ez a tájékoztató és az EULA együtt értelmezendő.

Liability Framework

1. (A) User Company liability: solely responsible for the lawful upload, accuracy, and consent (or other lawful basis) of its own customers' (B) data. The (A) User Company warrants that it has an appropriate GDPR legal basis for the customer data it records (Art. 6).

2. Operator liability: responsible for the technical security of the service and operation under the EULA. The operator is NOT liable for the (A) User Company's data processing errors, third-party mistakes, or business disputes between User Company and end customer.

3. Liability limitation (B2B): the operator's total cumulative liability for the service — per claim and in aggregate — is twice the license fee paid by the User Company to the operator in the given year, or in absence thereof a maximum of HUF 50,000. This limitation does not apply to liability cases that cannot be excluded under Hungarian law (Civil Code 6:152.§).

4. Details: the full End User License Agreement (EULA) is available in the app's Settings → License menu. This Notice and the EULA shall be read together.

8Panaszok és felügyeleti hatóság

Kérdéseivel, kéréseivel, panaszaival forduljon hozzánk: birteistvan@gmail.com

Felügyeleti hatóság

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa u. 9-11.
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu
Web: www.naih.hu

8Complaints and Supervisory Authority

For questions, requests, complaints, contact us: birteistvan@gmail.com

Supervisory Authority

Hungarian National Authority for Data Protection and Freedom of Information (NAIH)
Address: 1055 Budapest, Falk Miksa u. 9-11.
Phone: +36 (1) 391-1400
Email: ugyfelszolgalat@naih.hu
Web: www.naih.hu

9Záró rendelkezések

9.1 Automatizált döntéshozatal

Nem alkalmazunk kizárólag automatizált döntéshozatalt, beleértve a profilalkotást, amely joghatással járna az érintettre.

9.2 A tájékoztató módosítása

A tájékoztatót időnként frissíthetjük. Lényegi változás esetén az alkalmazás indításakor új elfogadás kérhető.

9.3 Hatály

Ez a tájékoztató 2026-05-11-én lép hatályba (verzió 2.0) és felváltja az összes korábbi adatvédelmi nyilatkozatot.

9.4 Alkalmazandó jog

A tájékoztatóra Magyarország jogszabályai irányadók, a GDPR (2016/679/EU) és a vonatkozó hazai jog egyidejű alkalmazásával.

9Final Provisions

9.1 Automated Decision-Making

We do not use solely automated decision-making, including profiling, that would have legal effects on data subjects.

9.2 Policy Updates

We may update this notice periodically. In case of material changes, re-acceptance may be requested at app start.

9.3 Effective Date

This notice enters into force on 2026-05-11 (version 2.0) and replaces all previous privacy statements.

9.4 Applicable Law

Hungarian law applies, with simultaneous application of GDPR (2016/679/EU) and applicable national law.

Tudomásul vettem és visszatérek / Acknowledged, Return

A gombra kattintva megerősíti, hogy elolvasta és tudomásul vette az Adatvédelmi Tájékoztatóban foglaltakat.
By clicking, you confirm having read and acknowledged this Privacy Notice.