Adatkezelési Tájékoztató
1. Az adatkezelő adatai
| Adatkezelő neve | Nexly Digital (Ducsai Marcell e.v.) |
|---|---|
| Székhely | 8220 Balatonalmádi, Apáczai Csere János utca 5. |
| Adószám | 90865657-1-39 |
| info@nexly.digital | |
| Weboldal | www.nexly.hu |
A jelen adatkezelési tájékoztató (a továbbiakban: Tájékoztató) ismerteti, hogy a Magyar MCP szolgáltatás (a továbbiakban: Szolgáltatás) használata során hogyan kezeljük az Ön személyes adatait az Európai Parlament és a Tanács (EU) 2016/679 számú általános adatvédelmi rendelete (a továbbiakban: GDPR) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) rendelkezéseivel összhangban.
A Magyar MCP egy mesterséges intelligencián alapuló integrációs szolgáltatás, amely magyar üzleti rendszereket (többek között MiniCRM, Soma CRM, Számlázz.hu, Billingo, NAV Online Számla, QUiCK, Barion, Fieldwire) köt össze a Claude AI-val az MCP (Model Context Protocol) szabványon keresztül.
2. Az adatkezelés célja és jogalapja
2.1. Licenckezelés és hitelesítés
Cél: A felhasználó azonosítása, a szolgáltatáshoz való hozzáférés biztosítása, a licencfeltételek betartatása, valamint a jogosultság ellenőrzése.
Jogalap: Szerződéses kötelezettség teljesítése (GDPR 6. cikk (1) bek. b) pont) · az adatkezelés a szolgáltatás nyújtásához szükséges szerződéses jogviszony teljesítéséhez elengedhetetlen.
2.2. API-hívások közvetítése
Cél: A felhasználó által kezdeményezett MiniCRM API-műveletek biztonságos végrehajtása a Claude AI-n keresztül.
Jogalap: Szerződéses kötelezettség teljesítése (GDPR 6. cikk (1) bek. b) pont), valamint az érintett hozzájárulása (GDPR 6. cikk (1) bek. a) pont) · a felhasználó saját akaratából adja meg MiniCRM hozzáférési adatait és kezdeményez API-hívásokat.
2.3. Technikai üzemeltetés és biztonság
Cél: A szolgáltatás zavartalan működtetése, hibák elhárítása, biztonsági események megelőzése és kivizsgálása.
Jogalap: Az adatkezelő jogos érdeke (GDPR 6. cikk (1) bek. f) pont) · az informatikai biztonság fenntartása.
3. Kezelt adatok köre
3.1. Licencadatok (szerveren tárolva)
A licencvalidáció során az alábbi adatokat tároljuk:
| Adat | Cél |
|---|---|
| E-mail cím | Felhasználó azonosítása, kapcsolattartás |
| Licenckulcs | Jogosultság ellenőrzése |
| Aktiválási állapot | Licenc érvényességének követése |
| Lejárati dátum | Előfizetési időszak kezelése |
| Kötött MiniCRM System ID | Licenc egy CRM-rendszerhez kötése |
3.2. Hitelesítési adatok (kizárólag kliensoldalon, JWT tokenben)
A szolgáltatás használata során az alábbi adatok kerülnek kódolásra egy JWT (JSON Web Token) tokenben, amely kizárólag a kliens oldalon (a Claude alkalmazásban) tárolódik:
- MiniCRM System ID
- MiniCRM API-kulcs
- Licenckulcs
Fontos: A szerver nem tárolja a felhasználók MiniCRM hozzáférési adatait (API-kulcs, System ID) tartósan. Ezek az adatok kizárólag a JWT tokenben, a kliens oldalon léteznek, és minden egyes API-hívás során az átmeneti feldolgozás után azonnal törlődnek a szerver memóriájából.
3.3. CRM-adatok (NEM tároltak)
A felhasználó által a Claude AI-n keresztül lekérdezett vagy módosított MiniCRM adatok (ügyféladatok, projektek, kontaktok stb.) nem kerülnek tárolásra a szerverünkön. A szerver kizárólag közvetítő (proxy) szerepet tölt be: a kéréseket továbbítja a MiniCRM API felé (https://r3.minicrm.hu), a választ visszaküldi a kliensnek, majd az adatokat törli a memóriájából.
3.4. Technikai naplózási adatok
A szerver üzemeltetése során az alábbi technikai adatok kerül(het)nek naplózásra:
- IP-cím (anonimizált formában)
- Kérések időpontja
- HTTP metódus és útvonal (URL)
- Hibaüzenet (hiba esetén)
4. Az adatkezelés időtartama
| Adattípus | Megőrzési idő |
|---|---|
| Licencadatok (e-mail, kulcs, állapot) | A licenc előfizetési időszakának lejárata után legfeljebb 30 nappal |
| JWT token (hitelesítési adatok) | A token lejáratáig (kliensoldalon, a szerveren nem tárolódik) |
| API-közvetítés során átvitt CRM-adatok | Nem tárolódnak · kizárólag átmeneti memóriában, a kérés feldolgozásának idejéig |
| Technikai naplók | Legfeljebb 90 nap |
A megőrzési idő lejártát követően az adatokat véglegesen és visszaállíthatatlanul töröljük.
5. Adatfeldolgozók
A szolgáltatás nyújtása során az alábbi adatfeldolgozókat vesszük igénybe:
| Adatfeldolgozó | Tevékenység | Székhely |
|---|---|---|
| Cloudflare, Inc. | Licencvalidációs végpont üzemeltetése (Cloudflare Workers), DDoS-védelem, CDN | Egyesült Államok |
| Hetzner Online GmbH | Szerverhoszting (alkalmazásszerver) | Németország (Nürnberg) |
| Anthropic, PBC | Claude AI platformszolgáltatás (az MCP-kapcsolat a felhasználó Claude-fiókján keresztül valósul meg) | Egyesült Államok |
Az adatfeldolgozókkal a GDPR 28. cikke szerinti adatfeldolgozói szerződés biztosítja az adatok védelmét.
6. Adattovábbítás
6.1. EGT-n belüli adattovábbítás
A fő alkalmazásszerver Németországban (Hetzner Online GmbH, Nürnberg) üzemel, amely az Európai Gazdasági Térség (EGT) tagja. Az ide irányuló adattovábbítás nem igényel különleges garanciákat.
6.2. EGT-n kívüli adattovábbítás (harmadik ország)
Az alábbi esetekben kerül sor adattovábbításra az EGT-n kívülre:
- Cloudflare, Inc. (Egyesült Államok) · A licencvalidációs kérések feldolgozására. A Cloudflare az EU-U.S. Data Privacy Framework (DPF) tanúsítással rendelkezik, amely a GDPR 45. cikke szerinti megfelelő védelmi szintet biztosít.
- Anthropic, PBC (Egyesült Államok) · A Claude AI platformot az Anthropic üzemelteti. A felhasználó közvetlenül a saját Claude-fiókján keresztül használja a szolgáltatást; az MCP-szerver a felhasználó által továbbított kéréseket dolgozza fel. Az Anthropic az EU Standard Contractual Clauses (SCC) alapján biztosítja a megfelelő adatvédelmi szintet.
Az adattovábbítás minden esetben a GDPR V. fejezete szerinti megfelelő garanciákkal történik.
7. Az érintett jogai
A GDPR és az Infotv. alapján Ön az alábbi jogokkal rendelkezik:
- Hozzáférési jog (GDPR 15. cikk) · Tájékoztatást kérhet arról, hogy milyen személyes adatait kezeljük, milyen célból, és mennyi ideig.
- Helyesbítéshez való jog (GDPR 16. cikk) · Kérheti a pontatlan személyes adatai helyesbítését vagy kiegészítését.
- Törléshez való jog ("az elfeledtetéshez való jog") (GDPR 17. cikk) · Kérheti személyes adatai törlését, amennyiben azok kezelésére már nincs jogalap.
- Az adatkezelés korlátozásához való jog (GDPR 18. cikk) · Kérheti az adatkezelés korlátozását a GDPR-ban foglalt feltételek esetén.
- Adathordozhatósághoz való jog (GDPR 20. cikk) · Kérheti, hogy személyes adatait tagolt, széles körben használt, géppel olvasható formátumban bocsássuk rendelkezésére.
- Tiltakozáshoz való jog (GDPR 21. cikk) · Tiltakozhat az adatkezelés ellen, amennyiben az jogos érdeken alapul.
- Hozzájárulás visszavonása (GDPR 7. cikk (3) bek.) · Amennyiben az adatkezelés hozzájáruláson alapul, azt bármikor visszavonhatja. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.
Jogai gyakorlására irányuló kérését az info@nexly.digital címre küldheti. A kérés beérkezését követően legkésőbb 30 napon belül érdemben válaszolunk.
8. Cookie-k (sütik)
A Magyar MCP szolgáltatás weboldalai kizárólag technikai jellegű sütiket használnak, amelyek a weboldal alapvető működéséhez szükségesek. Nem használunk marketing, elemző vagy közösségi média sütiket.
| Süti neve | Cél | Élettartam | Típus |
|---|---|---|---|
| Munkamenet-süti (ha alkalmazandó) | Munkamenet-kezelés | Böngésző bezárásáig | Szükséges (GDPR 6. cikk (1) bek. f) pont) |
A technikai sütik nem igénylik az érintett előzetes hozzájárulását, mivel azok a szolgáltatás nyújtásához feltétlenül szükségesek (az elektronikus hírközlési ágazatban a személyes adatok kezeléséről szóló 2002/58/EK irányelv 5. cikk (3) bekezdésével összhangban).
9. Adatbiztonság
Az adatkezelő a GDPR 32. cikkének megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok biztonsága érdekében:
- Titkosított kommunikáció: Minden adatforgalom HTTPS (TLS 1.2+) titkosítással védett, beleértve a kliens-szerver, szerver-MiniCRM API és szerver-Cloudflare kommunikációt.
- JWT alapú hitelesítés: A hozzáférési adatok (API-kulcs, System ID) kizárólag titkosított JWT tokenben, a kliens oldalon tárolódnak. A szerver nem tárol API-kulcsokat.
- Nincs tartós adattárolás: A CRM-adatok nem kerülnek szerveren tárolt adatbázisba; a szerver kizárólag közvetít (proxy).
- Szerverbiztonság: A hoszt szerver (Hetzner, Nürnberg) fizikai és logikai biztonsági intézkedésekkel védett, beleértve a tűzfalat, SSH-kulcs alapú hozzáférést és rendszeres biztonsági frissítéseket.
- Hozzáférés-korlátozás: A szerver adminisztrációs hozzáférése korlátos személykörnek biztosított, kulcs alapú hitelesítéssel.
- DDoS-védelem: A Cloudflare infrastruktúrával biztosított elosztott szolgáltatásmegtagadási támadások elleni védelem.
- Sebezhetőség-vizsgálat: Rendszeres függőség-frissítés és biztonsági audit.
10. Kapcsolat és jogorvoslat
10.1. Kapcsolatfelvétel az adatkezelővel
Adatvédelmi kérdéseivel, joggyakorlási kérelmeivel forduljon hozzánk:
Nexly Digital (Ducsai Marcell e.v.)
Székhely: 8220 Balatonalmádi, Apáczai Csere János utca 5.
E-mail: info@nexly.digital
Weboldal: www.nexly.hu
10.2. Hatósági jogorvoslat
Amennyiben úgy ítéli meg, hogy személyes adatai kezelése sérti az Ön jogait, panasszal fordulhat a Nemzeti Adatvédelmi és Információszabadság Hatóságához:
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu
Weboldal: https://naih.hu
10.3. Bírósági jogorvoslat
Az érintett jogainak megsértése esetén bírósághoz is fordulhat. A per az érintett választása szerint az érintett lakhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható (Infotv. 22. §).
11. Záró rendelkezések
A jelen Adatkezelési Tájékoztató 2026. április 11-én lép hatályba és visszavonásig, illetve a következő módosítás hatálybalépéséig érvényes.
Az adatkezelő fenntartja a jogot, hogy a jelen Tájékoztatót egyoldalúan módosítsa. A lényeges változásokról a felhasználókat e-mailben vagy a szolgáltatás felületén tájékoztatjuk. A módosított Tájékoztató a közzététellel lép hatályba.