ADATKEZELÉSI TÁJÉKOZTATÓ ÉS JOGI NYILATKOZAT

Verziószám: 2026/02-HU

Hatálybalépés napja: 2026. március 30.

Adatkezelő: Fuma Passion Korlátolt Felelősségű Társaság

Székhely: Herend utca 29., 1116, Budapest, Magyarország

Kapcsolattartó: [email protected]

Elektronikus kapcsolattartás: [email protected]

1. § PREAMBULUM ÉS A SZOLGÁLTATÁS MEGHATÁROZÁSA

1.1. A FUMA egy digitális wellbeing és meditációs szoftvereszköz, amely relaxációs technikákat és mindfulness tartalmakat biztosít a felhasználók számára.

1.2. Kizárólagos nyilatkozat az egészségügyi minősítésről: Az Alkalmazás nem minősül az orvostechnikai eszközökről szóló (EU) 2017/745 rendelet szerinti orvostechnikai eszköznek, sem egyéb egészségügyi szoftvernek.

1.3. Az Adatkezelő kifejezetten rögzíti, hogy nem nyújt egészségügyi szolgáltatást, nem végez távgyógyítást, és nem ad orvosi tanácsot.

1.4. Az Alkalmazás használata nem helyettesíti a szakszerű orvosi diagnózist, kezelést vagy pszichológiai gondozást.

2. § AZ ADATKEZELÉS JOGALAPJA ÉS A KEZELT ADATOK KATEGÓRIÁI

Az Adatkezelő a GDPR 6. cikkében rögzített jogalapok mentén az alábbi adatcsoportokat kezeli:

2.1. Felhasználói fiók adatai (Jogalap: GDPR 6. cikk (1) bek. b) – Szerződés teljesítése) * Kezelt adatok: Teljes név, érvényes e-mail cím, egyedi felhasználói azonosító (UID).

• Az adatkezelés célja: A felhasználói profil létrehozása, a szolgáltatás funkcióinak biztosítása, valamint a közvetlen ügyféltámogatás (support).

2.2. Tranzakciós és pénzügyi adatok (Jogalap: GDPR 6. cikk (1) bek. b) és c)) * A pénzügyi műveleteket kizárólag akkreditált külső szolgáltatók (Stripe, Apple App Store, Google Play) végzik.

• Az Adatkezelő kijelenti, hogy nem fér hozzá, nem gyűjt és nem tárol bankkártyaadatokat, CVV kódokat vagy egyéb szenzitív pénzügyi paramétereket.

2.3. Technikai és diagnosztikai adatok (Jogalap: GDPR 6. cikk (1) bek. f) – Jogos érdek) * Kezelt adatok: Az eszköz típusa, az operációs rendszer verziószáma, az alkalmazás belső verziója, az IP-cím, valamint az anonimizált crash-logok (hibanaplók).

• Az adatkezelés célja: A hálózatbiztonság fenntartása, a szoftveres hibák elhárítása és a szolgáltatás technikai optimalizálása.

2.4. Használati metrikák (Jogalap: GDPR 6. cikk (1) bek. a) – Hozzájárulás) * Kezelt adatok: Az alkalmazáson belüli interakciók száma, a munkamenet hossza és a funkciók igénybevétele.

• Az adatkezelés célja: A felhasználói élmény javítása és statisztikai elemzések készítése kizárólag anonimizált formában.

ADATKEZELÉSI TÁBLÁZAT

Az Adatkezelő a GDPR 5. cikk (1) bekezdésének megfelelően az alábbiak szerint kezeli az adatokat:

Adat kategóriája Adatkezelés célja Jogalap (GDPR 6. cikk) Megőrzési idő
Fiókadatok (Név, e-mail) Profil létrehozása, azonosítás (1) bek. b) (Szerződés teljesítése) A fiók törléséig
Fizetési tokenek Tranzakciók külső partnereken keresztül (1) bek. b) (Szerződés teljesítése) Sztv. szerint 8 év
Eszközadatok (IP, OS) Biztonság, hibaelshárítás (1) bek. f) (Jogos érdek) 1 év
Használati statisztika Alkalmazásfejlesztés, analitika (1) bek. a) (Hozzájárulás) 2 év (anonimizálva)

3. § EGÉSZSÉGÜGYI ADATOKRA VONATKOZÓ ZÉRÓ TOLERANCIA

3.1. Az Adatkezelő a GDPR 9. cikke szerinti különleges adatokat (egészségügyi adatok, mentális állapotra vonatkozó információk) semmilyen körülmények között nem kezel.

3.2. Technikai korlátozások: * Az Alkalmazás nem igényel és nem tart fenn kapcsolatot az Apple HealthKit vagy a Google Health Connect rendszerekkel.

• Nem történik orvosi diagnózisok, mentális kórtörténetek vagy terápiás jegyzetek gyűjtése.

• Az Alkalmazás nem fér hozzá biometrikus adatokhoz (pl. ujjlenyomat, arcfelismerés) és nem követ fiziológiai állapotokat (pl. pulzus, alvásciklus).

• Tilos az Alkalmazásban bármilyen hangulati profilozás vagy pszichológiai állapotkövetés végzése.

4. § ADATTOVÁBBÍTÁS, ADATFELDOLGOZÓK ÉS BIZTONSÁG

4.1. Adatértékesítés: Az Adatkezelő szavatolja, hogy a felhasználók személyes adatait nem értékesíti, nem adja bérbe és kereskedelmi célból harmadik félnek nem teszi hozzáférhetővé.

4.2. Adatfeldolgozók: Adatátadás kizárólag a működéshez elengedhetetlen technikai partnerek (felhő-tárhely szolgáltató, fizetési kapuk) felé történik, szigorú titoktartási és adatfeldolgozói szerződések (DPA) mellett.

4.3. Infrastrukturális biztonság: Minden adatátvitel végponti HTTPS (SSL/TLS) titkosítással valósul meg. Az adatok tárolása fizikailag és logikailag védett, zárt szerverkörnyezetben történik, korlátozott adminisztrátori hozzáféréssel.

5. § ADATMEGŐRZÉS ÉS AZ ADATOK TÖRLÉSE

5.1. Az Adatkezelő a személyes adatokat kizárólag a cél eléréséhez szükséges ideig vagy a jogszabályi (pl. számviteli) megőrzési kötelezettség fennállásáig tárolja.

5.2. Törléshez való jog: A felhasználó bármikor kezdeményezheti fiókja és személyes adatai törlését a [email protected] e-mail címen.

5.3. A kérelem beérkezését követően az adatok véglegesen törlésre vagy anonimizálásra kerülnek, így azok többé nem köthetők össze az Érintett személyével.

6. § ÉRINTETTI JOGOK ÉS JOGORVOSLAT

6.1. A felhasználó jogosult tájékoztatást kérni az adatkezelésről, kérheti adatai helyesbítését, korlátozását, valamint élhet az adathordozhatóság jogával.

6.2. Korhatár: Az Alkalmazás 16. életévüket be nem töltött kiskorúak számára nem irányul, és tőlük tudatosan adatot nem gyűjtünk.

6.3. Biztonsági figyelmeztetés: Az Alkalmazás használata szigorúan tilos gépjárművezetés, gépek üzemeltetése vagy bármilyen fokozott figyelemmel járó, balesetveszélyes tevékenység során.

7. § ALKALMAZANDÓ JOGSZABÁLYOK JEGYZÉKE

Az Adatkezelő tevékenysége során az alábbi jogszabályi előírásokat tekinti irányadónak:

  1. GDPR: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (Általános Adatvédelmi Rendelet).
  2. Infotv.: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.
  3. Ptk.: 2013. évi V. törvény a Polgári Törvénykönyvről.
  4. Eker. tv.: 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások egyes kérdéseiről.
  5. Sztv.: 2000. évi C. törvény a számvitelről (bizonylatmegőrzési kötelezettség).
  6. Pmt.: 2017. évi LIII. törvény a pénzmosás megelőzéséről.

DETAILED PRIVACY POLICY AND LEGAL DISCLAIMER

Version: 2026/02-EN

Effective Date: March 30, 2026

Data Controller: Fuma Passion Kft.

Registered Seat: Herend utca 29., 1116, Budapest, Hungary

Personal Contact: [email protected]

Electronic Contact: [email protected]

Section 1. Preamble and Nature of Service

1.1. FUMA is a digital wellbeing and meditation software application providing relaxation techniques and mindfulness content to its users.

1.2. Exclusive Disclaimer on Medical Classification: The Application does not qualify as a medical device under Regulation (EU) 2017/745, nor as any other form of healthcare software.

1.3. The Data Controller explicitly states that it does not provide healthcare services, does not perform telemedicine, and does not provide medical advice.

1.4. The use of the Application is not a substitute for professional medical diagnosis, treatment, or psychological care.

Section 2. Legal Basis and Categories of Data Processed

The Data Controller processes the following data categories based on the legal grounds set out in Article 6 of the GDPR:

2.1. User Account Data (Legal Basis: GDPR Art. 6(1)(b) – Performance of Contract)

• Data processed: Full name, valid email address, unique user identifier (UID).

• Purpose: Creation of the user profile, provision of service features, and direct customer support.

2.2. Transactional and Financial Data (Legal Basis: GDPR Art. 6(1)(b) and (c))

• Financial operations are handled exclusively by accredited third-party providers (Stripe, Apple App Store, Google Play).

• The Data Controller declares that it does not access, collect, or store credit card numbers, CVV codes, or other sensitive financial parameters.

2.3. Technical and Diagnostic Data (Legal Basis: GDPR Art. 6(1)(f) – Legitimate Interest)

• Data processed: Device type, operating system version, app version, IP address, and anonymized crash logs.

• Purpose: Maintaining network security, troubleshooting software errors, and technical optimization of the service.

2.4. Usage Metrics (Legal Basis: GDPR Art. 6(1)(a) – Consent)

• Data processed: Number of in-app interactions, session length, and feature utilization.

• Purpose: Improving user experience and conducting statistical analysis in an exclusively anonymized format.

DATA PROCESSING SUMMARY TABLE

Data Category Purpose of Processing Legal Basis (GDPR Art. 6) Retention Period
Account Data Profile creation, identification Art. 6(1)(b) (Contract) Until account deletion
Payment Tokens Transactions via 3rd parties Art. 6(1)(b) (Contract) 8 years (Accounting law)
Technical Data Security, troubleshooting Art. 6(1)(f) (Legitimate interest) 1 year
Usage Statistics App development, analytics Art. 6(1)(a) (Consent) 2 years (anonymized)

Section 3. Zero-Tolerance Policy for Health Data

3.1. The Data Controller does not process special categories of personal data (health data, mental health info) under Article 9 of the GDPR.

3.2. Technical Restrictions:

• The App does not require or maintain a connection with Apple HealthKit or Google Health Connect.

• No collection of medical diagnoses, mental health history, or therapeutic notes occurs.

• The App does not access biometric data or track physiological states (e.g., heart rate, sleep cycles).

• Any form of psychological profiling or state-of-mind tracking is strictly prohibited within the App.

Section 4. Data Transfer, Processors, and Security

4.1. Data Sale: The Controller guarantees that user data is not sold, rented, or made available to third parties for commercial purposes.

4.2. Data Processors: Data is transferred only to essential technical partners (cloud hosting, payment gateways) under strict Data Processing Agreements (DPA).

4.3. Infrastructure Security: All data transmission is secured via end-to-end HTTPS (SSL/TLS) encryption. Data is stored in physically and logically protected, closed server environments.

Section 5. User Rights and Data Deletion

5.1. Users may initiate the deletion of their account and personal data at any time via [email protected].

5.2. Upon request, data is permanently deleted or anonymized so it can no longer be linked to the Data Subject.

5.3. Users have the right to access, rectify, or request the portability of their data.

Section 6. Safety Warnings and Age Limit

6.1. The use of the Application is strictly prohibited while driving, operating machinery, or performing any hazardous activity requiring focused attention.

6.2. The Application is not intended for individuals under the age of 16.

Section 7. List of Applicable Laws

  1. GDPR: Regulation (EU) 2016/679 (General Data Protection Regulation).
  2. Privacy Act: Act CXII of 2011 on the Right to Informational Self-Determination.
  3. Civil Code: Act V of 2013 on the Civil Code of Hungary.
  4. E-commerce Act: Act CVIII of 2001 on electronic commerce services.
  5. Accounting Act: Act C of 2000 on Accounting (retention of financial records).