Adatkezelési Tájékoztató
Hatályos: 2026. július 15-től. (Tervezet — élesítés előtt javasolt jogi átnézés.)
🇬🇧 English version below — see "Privacy Policy" at the bottom of this page.
A jelen tájékoztató az Ozone H1 szolgáltatás (a továbbiakban: Szolgáltatás) keretében végzett személyesadat-kezelésről nyújt tájékoztatást az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) és az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Infotv.) szerint.
1. Az Adatkezelő
A Szolgáltatás vonatkozásában az adatkezelő – egyben a szerződő fél – kizárólag az alábbi egyéni vállalkozó (az „Ozone" ernyőmárka egyéb szolgáltatásait más adatkezelő nyújthatja):
- Adatkezelő: Bálint Barnabás egyéni vállalkozó
- Székhely: 9012 Győr, Királyszék út 15. 2. ajtó
- Adószám: 59576680-1-28 · Nyilvántartási szám: 57623573
- E-mail (adatvédelmi ügyek is): barnabas@ozone-ai.hu · Telefon: +36 70 343 4288
Az Adatkezelő külön adatvédelmi tisztviselő (DPO) kijelölésére nem kötelezett, és ilyet nem jelölt ki.
2. A Szolgáltató kettős szerepe — kérjük, ezt olvasd el először
A Szolgáltatás kétféle személyes adattal találkozik, és a Szolgáltató eltérő jogi szerepben van a kettővel kapcsolatban. Ez a megkülönböztetés az egész tájékoztató szerkezetét meghatározza:
a) Az Előfizető saját adatai (fiók, számlázás, kapcsolattartás, használati naplók) → itt a Szolgáltató adatkezelő. Ezekre a 3–9. pont vonatkozik.
b) Az Előfizető ügyfeleinek, vendégeinek, érdeklődőinek adatai, amelyek az összekötött platformokon keresztül jutnak a Szolgáltatáshoz (pl. a Meta Lead Ads űrlapon leadott érdeklődés, a Google Cégprofilra írt vendég-értékelés) → itt az Előfizető az adatkezelő, a Szolgáltató pedig kizárólag adatfeldolgozó, aki az Előfizető utasítására, az ő nevében jár el. Ezekre a 10. pont és a külön Adatfeldolgozói Szerződés vonatkozik, amely az ÁSZF elválaszthatatlan melléklete.
Egyszerűen fogalmazva: a Te adataidnak mi vagyunk a felelős kezelője (adatkezelő); a Te vendégeid adatainak Te vagy az adatkezelője, mi csak a megbízásodból nyúlunk hozzájuk. Az adatok tulajdonjogát ez nem érinti — a Szolgáltatásba bevitt adatok az Előfizetőé maradnak (lásd ÁSZF 9.4.).
3. A kezelt adatok köre, célja, jogalapja és megőrzési ideje
| Adatkör | Cél | Jogalap | Megőrzés |
|---|---|---|---|
| Fiók-/regisztrációs adatok (név, e-mail, jelszó kivonata) | a Szolgáltatás nyújtása, az Előfizető azonosítása | szerződés teljesítése – GDPR 6. cikk (1) b) | a szerződés megszűnését követő 30 nap (lásd ÁSZF 6.7.), majd törlés |
| Vállalkozási / üzleti adatok (weboldal címe, márka-/üzleti kontextus, beállítások) | a Szolgáltatás működése (tartalom, elemzés) | szerződés teljesítése – 6. cikk (1) b) | az előfizetés idejére |
| Számlázási adatok (név, cím, adószám) | számlakiállítás, számviteli kötelezettség | jogi kötelezettség – 6. cikk (1) c) (számviteli tv.) | a számviteli törvény szerint 8 év |
| Fizetési tranzakciós adatok (a fizetés ténye, összege, azonosítója) | a díjfizetés lebonyolítása | szerződés teljesítése / jogi kötelezettség | a számviteli megőrzési idő szerint |
| Csatlakoztatott Google-adatok (Search Console és GA4 – kizárólag olvasás: megjelenés, kattintás, pozíció, forgalom, konverzió) | a szerves keresési teljesítmény mérése és riportálása | szerződés teljesítése – 6. cikk (1) b) | az összekötés visszavonásáig / az előfizetés idejére |
| Csatlakoztatott Google Cégprofil-adatok (Google Business Profile – értékelések és üzleti teljesítmény-mutatók: olvasás; egy értékelésre adott válasz közzététele: írás, kizárólag az Előfizető kifejezett jóváhagyásával) | a vendég-értékelések kezelése és a helyi (Google) láthatóság javítása | szerződés teljesítése – 6. cikk (1) b) | az összekötés visszavonásáig / az előfizetés idejére |
| Csatlakoztatott Meta hirdetési adatok (Facebook/Instagram – hirdetési fiók, kampány-, hirdetéscsoport- és hirdetés-szintű aggregált teljesítményadatok: megjelenés, kattintás, költés, elérés, konverzió; a hirdetésekhez tartozó oldalak és kreatívok) | a fizetett hirdetési teljesítmény mérése, elemzése és javaslattétel | szerződés teljesítése – 6. cikk (1) b) | az összekötés visszavonásáig / az előfizetés idejére |
| Csatlakoztatott Google Ads-adatok (hirdetési fiók, kampány-, hirdetéscsoport- és hirdetés-szintű aggregált teljesítményadatok, kulcsszavak, keresési kifejezések) | a fizetett hirdetési teljesítmény mérése, elemzése és javaslattétel | szerződés teljesítése – 6. cikk (1) b) | az összekötés visszavonásáig / az előfizetés idejére |
| Használati és napló-adatok (belépések, műveletek, technikai naplók, hibakövetés) | a Szolgáltatás biztonságos, megbízható működtetése, visszaélés-megelőzés | jogos érdek – 6. cikk (1) f) | legfeljebb 12 hónap |
| AI-interakciós adatok (az AI-asszisztensnek küldött kérdések és a rá adott válaszok) | az asszisztens-funkció nyújtása, a válaszminőség ellenőrzése | szerződés teljesítése – 6. cikk (1) b) | az előfizetés idejére |
| Süti-adatok | lásd a Süti Tájékoztatót | a szükséges sütik: jogos érdek; egyéb sütik: hozzájárulás | a sütik élettartama szerint |
A bankkártya-adatokat az Adatkezelő nem ismeri meg és nem tárolja – azokat közvetlenül a fizetési szolgáltató (OTP Mobil Kft.) kezeli (lásd 6. pont).
A hirdetési teljesítményadat nem személyes adat. A Meta és a Google Ads felől beérkező, fent felsorolt adatok aggregált, statisztikai jellegűek (hány megjelenés, mennyi költés) — konkrét személyek azonosítására nem alkalmasak, és a Szolgáltatás nem is kér hozzáférést személyszintű hirdetési adathoz. Az adatkör azért szerepel mégis a táblázatban, mert az Előfizető üzleti adata, és az átláthatóság ezt megkívánja.
4. A csatlakoztatott Google-adatok kezelése (Google API User Data)
Amennyiben az Előfizető összeköti a Google-fiókját, a Szolgáltatás kizárólag olvasási hozzáférést kér a következő hatókörökhöz: `webmasters.readonly` (Google Search Console) és `analytics.readonly` (Google Analytics). Ezeket az adatokat kizárólag az Előfizető szerves keresési teljesítményének mérésére és riportálására használjuk a saját felületén. Ezeket az adatokat nem módosítjuk, nem értékesítjük, harmadik félnek nem adjuk át, és hirdetési célra nem használjuk. Az összeköttetés bármikor visszavonható a Szolgáltatás beállításaiban, illetve a Google-fiók Biztonság menüjében; visszavonás esetén a tárolt hozzáférési (refresh) token törlésre kerül.
Amennyiben az Előfizető a Google Cégprofilját (Google Business Profile) is összeköti, a Szolgáltatás a `business.manage` hatókört kéri. Ezt kizárólag a következőkre használjuk: a vendég-értékelések és az üzleti teljesítmény-mutatók beolvasása a saját felületen való megjelenítéshez; valamint – kizárólag az Előfizető kifejezett, eseti jóváhagyását követően – egy értékelésre adott válasz közzététele az Előfizető nevében. A Szolgáltatás soha nem tesz közzé választ vagy bejegyzést automatikusan, emberi jóváhagyás nélkül.
Amennyiben az Előfizető a Google Ads-fiókját köti össze, a Szolgáltatás a `adwords` hatókört kéri. A hozzáférés alapértelmezetten kizárólag olvasási jellegű (kampány- és teljesítményadatok lekérése). Módosító művelet (pl. költségkeret- vagy licitváltoztatás, hirdetés szüneteltetése) kizárólag akkor történik, ha az Előfizető ezt a magasabb hozzáférési szintet külön, kifejezetten engedélyezte, és minden egyes módosítást külön jóváhagy (lásd 8. pont).
Az Ozone H1 a Google API-któl kapott információk felhasználása és továbbítása megfelel a Google API Services User Data Policy rendelkezéseinek, beleértve a Limited Use követelményeket. Ez a `webmasters.readonly`, `analytics.readonly`, `business.manage` és `adwords` hatókörök mindegyikére teljeskörűen vonatkozik.
A tárolt Google refresh tokent az Adatkezelő titkosítva (AES-256-GCM) tárolja, és kizárólag a művelet végrehajtásához, a memóriában fejti vissza.
5. A csatlakoztatott Meta-adatok kezelése (Meta Platform Data)
Amennyiben az Előfizető összeköti a Meta (Facebook/Instagram) hirdetési fiókját, a Szolgáltatás a Meta Marketing API-n keresztül fér hozzá az Előfizető hirdetési adataihoz.
5.1. Az Előfizető választja meg a hozzáférés szintjét. Az összekötéskor az Előfizető két szint közül választ:
| Szint | Mit tesz lehetővé | Kért engedélyek |
|---|---|---|
| Elemzés (alapértelmezett) | kizárólag olvasás: teljesítményadatok lekérése, elemzés, riport, javaslat | `ads_read`, `business_management`, `pages_show_list`, `pages_read_engagement` |
| Elemzés + végrehajtás | a fentiek, valamint hirdetések módosítása – kizárólag az Előfizető eseti jóváhagyásával | a fentiek, valamint `ads_management`, `pages_manage_ads` |
A választott szint bármikor módosítható vagy visszavonható a Szolgáltatás beállításaiban, illetve a Meta Business Manager felületén (Beállítások → Alkalmazások). Visszavonás esetén a tárolt hozzáférési token haladéktalanul törlésre kerül.
5.2. Mire használjuk. A Meta felől kapott adatokat kizárólag az Előfizető részére nyújtott szolgáltatáshoz használjuk: a saját hirdetési teljesítményének mérésére, elemzésére, a riportok elkészítésére és a javaslattételre a saját felületén.
5.3. Mire NEM használjuk. Ezeket az adatokat nem értékesítjük, harmadik félnek nem adjuk át, más Előfizető felé nem összesítjük, benchmark- vagy piackutatási célra nem használjuk, és nem használjuk a Szolgáltatás AI-modelljeinek betanítására. Egy Előfizető hirdetési adata soha nem hagyja el az adott Előfizető elszigetelt adatterét.
5.4. Megőrzés és törlés. Az adatokat az összekötés fennállásáig, illetve az előfizetés idejére őrizzük. Az Előfizető az összekötés megszüntetésével, illetve a Meta felületén a hozzáférés visszavonásával bármikor kezdeményezheti a törlést; ilyenkor a Meta által küldött értesítés alapján a token azonnal, a kapcsolódó adatok pedig 30 napon belül törlésre kerülnek. Adattörlési kérelem a barnabas@ozone-ai.hu címen is benyújtható, amelyet legkésőbb 5 munkanapon belül teljesítünk.
5.5. Megfelelés. A Szolgáltatás a Meta platformadatok kezelése során a mindenkori Meta Platform Terms és Developer Policies rendelkezései szerint jár el. A tárolt Meta hozzáférési tokent az Adatkezelő titkosítva (AES-256-GCM) tárolja, harmadik félnek nem adja át.
6. Adatfeldolgozók (igénybe vett szolgáltatók)
Az Adatkezelő a Szolgáltatás nyújtásához az alábbi adatfeldolgozókat veszi igénybe. Mindegyikkel a GDPR-nak megfelelő adatfeldolgozói megállapodás van érvényben; az EU-n kívülre irányuló továbbításokat megfelelő garanciák (az Európai Bizottság általános szerződési feltételei / SCC, illetve adatvédelmi keretrendszer) biztosítják.
| Adatfeldolgozó | Székhely | Tárolási / feldolgozási régió | Tevékenység |
|---|---|---|---|
| Supabase Inc. | Szingapúr / USA | EU (`eu-central-2`) | adatbázis (a Szolgáltatás adatainak tárolása) |
| Vercel Inc. | USA | USA (SCC / DPF) | alkalmazás-tárhely (futtatás) |
| Google LLC / Google Ireland Ltd. | USA / Írország | USA / EU (SCC / DPF) | tartalomgenerálás (Gemini AI); mérési és hirdetési adatok lekérése (Search Console, GA4, Cégprofil, Google Ads) |
| GitHub, Inc. (Microsoft) | USA | USA (SCC / DPF) | a generált tartalom közzététele az Előfizető weboldalára |
| Meta Platforms Ireland Ltd. | Írország | EU | a hirdetési teljesítményadatok forrása (Marketing API) |
| Higgsfield AI | USA | USA (SCC) | AI-képgenerálás (prémium képek, kép-újragenerálás) |
| OpenAI | USA | USA (SCC / DPF) | tartalomgenerálás tartalék szolgáltatóként; AI-képgenerálás (gpt-image) |
| Pexels (Canva Germany GmbH) | Németország (EU) | EU | stock fotók a cikkillusztrációkhoz |
| Anthropic | USA | USA (SCC / DPF) | az AI-asszisztens és az elemzési javaslatok generálása |
| DataForSEO | USA | USA (SCC) | rang- és versenytárs-adatok lekérése |
| Functional Software, Inc. (Sentry) | USA | EU (Németország) | hibakövetés, üzemeltetési naplózás |
| Resend | USA | USA (SCC / DPF) | tranzakciós és tájékoztató e-mailek küldése |
| OTP Mobil Kft. (SimplePay) | 1143 Budapest, Hungária körút 17-19. | Magyarország | online bankkártyás fizetés feldolgozása, kártyatokenizálás |
| Billingo / OCTONULL Kft. | Magyarország | Magyarország | elektronikus számla kiállítása és NAV Online Számla adatszolgáltatás |
Az adatfeldolgozók naprakész listája a Szolgáltatás felületén és a jelen tájékoztatóban érhető el. Új adatfeldolgozó bevonásáról vagy cseréjéről az Adatkezelő legalább 30 nappal a változás előtt tájékoztat a Szolgáltatás felületén és e-mailben; az Előfizető a változás ellen indokolt kifogást emelhet (a részletes eljárást lásd az Adatfeldolgozói Szerződés 7.3. pontjában).
Az AI-szolgáltatók és a betanítás. Az Adatkezelő az AI-szolgáltatókkal (Google, OpenAI, Anthropic, Higgsfield) olyan feltételekkel áll szerződéses kapcsolatban, amelyek szerint a Szolgáltatáson keresztül átadott adatok nem használhatók fel az adott szolgáltató modelljeinek betanítására. Az Adatkezelő maga sem tanít modellt az Előfizetők adatain.
A fizetéshez kapcsolódó adattovábbítási nyilatkozat az ÁSZF 6.3. pontjában található. A SimplePay (OTP Mobil Kft.) saját adatkezelési tájékoztatója a https://simplepay.hu oldalon érhető el.
Számlázás. A sikeres fizetésekről a számlát a Billingo (OCTONULL Kft.) rendszere állítja ki, és továbbítja a kötelező adatokat a NAV Online Számla rendszerébe. A számlázáshoz kezelt adatok köre: az Előfizető számlázási neve/cégneve, címe, adószáma (ha van), az előfizetés adatai és a fizetett összeg. A számlázási adatokat – a számvitelről szóló 2000. évi C. törvény alapján – a Szolgáltató 8 évig megőrzi (ez a kötelező megőrzés a szerződés megszűnése utáni, az ÁSZF 6.7. pontja szerinti 30 napos adattörléstől független).
7. AI-alapú tartalom- és képgenerálás
7.1. Mit generál a Szolgáltatás. A Szolgáltatás mesterséges intelligencia segítségével szöveges tartalmat (cikkeket, javaslatokat, riport-magyarázatokat, hirdetésszövegeket, értékelés-válaszjavaslatokat) és képeket (cikkillusztrációkat, vizuális elemeket) állít elő.
7.2. Milyen adatból. A generálás bemenete az Előfizető által megadott üzleti kontextus, a weboldalának tartalma és a csatlakoztatott platformokról érkező adat. Személyes adat a generálás bemeneteként nem szükséges, és az Adatkezelő nem is ösztönzi ilyen megadására.
7.3. A cikkek képei — kétféle forrás. A Szolgáltatás a cikkillusztrációkat két forrásból szerzi be:
| Forrás | Mi ez | Ábrázol-e valós személyt? |
|---|---|---|
| Stock fotó (Pexels) | valós, hivatásos fényképfelvétel, ingyenes kereskedelmi licenc alatt | Igen, ábrázolhat. A képen szereplő személyek a Pexels licencfeltételei szerint járultak hozzá a felhasználáshoz. |
| AI-generált kép (Higgsfield, OpenAI) | gépi úton, generatív modellel készült kép | Nem. Nem valós fényképfelvétel, és nem valós, azonosítható személyt ábrázol. |
A Szolgáltatás felülete minden képnél megjelöli a forrást (stock fotó esetén a fotós nevét és a Pexels-hivatkozást is). Az Adatkezelő olyan szolgáltatókat vesz igénybe, amelyek a képek kereskedelmi felhasználhatóságát a felhasználási feltételeikben biztosítják. A képek felhasználási jogára az ÁSZF 9. pontja irányadó.
7.4. Az Előfizető felelőssége. Az AI-generált tartalom javaslat, amelyet a Szolgáltatás az Előfizető rendelkezésére bocsát. A közzététel előtti ellenőrzés – a tartalmi helytállóság, a jogszerűség és a márkával való összhang szempontjából – az Előfizető feladata és felelőssége. Erről az ÁSZF 4.4. pontja rendelkezik részletesen.
7.5. Átláthatóság. A Szolgáltatás felületén minden AI által generált tartalom ilyenként van megjelölve, mielőtt az Előfizető jóváhagyná.
8. Automatizált döntéshozatal és profilalkotás
A Szolgáltatás nem hoz az érintettre nézve joghatással járó vagy őt hasonlóképpen jelentős mértékben érintő, kizárólag automatizált adatkezelésen alapuló döntést a GDPR 22. cikke értelmében.
A Szolgáltatás javaslatokat fogalmaz meg (pl. „ezt a kampányt érdemes szüneteltetni", „ez a cikk-téma hozhat forgalmat"). Ezek a javaslatok:
- az Előfizető üzleti tevékenységére vonatkoznak, nem természetes személyekre;
- nem lépnek életbe automatikusan: minden olyan művelet, amely az Előfizető hirdetési fiókját vagy nyilvános megjelenését megváltoztatja, az Előfizető kifejezett, eseti jóváhagyását igényli;
- az Előfizető által bármikor felülbírálhatók, és a Szolgáltatás minden javaslathoz megadja az indoklást és az alapjául szolgáló adatot.
Az Előfizető a Szolgáltatás beállításaiban kikapcsolhatja az automatikus javaslattételt.
9. Harmadik országba történő adattovábbítás
Egyes adatfeldolgozók (pl. Vercel, Google, OpenAI, Anthropic, Higgsfield, DataForSEO, Supabase) az Európai Gazdasági Térségen kívül (jellemzően az Amerikai Egyesült Államokban) is végezhetnek adatfeldolgozást, illetve ott van a székhelyük. Az ilyen továbbítások jogszerűségét az Európai Bizottság általános szerződési feltételei (SCC), illetve – ahol alkalmazható – az EU–USA Adatvédelmi Keret (Data Privacy Framework) szerinti tanúsítás biztosítja. A Szolgáltatás központi adatbázisa fizikailag az Európai Unió területén található.
10. Az Előfizető ügyfeleinek adatai — a Szolgáltató mint adatfeldolgozó
A 2. b) pontban jelzett esetekben a Szolgáltatás olyan személyes adatokkal találkozik, amelyek nem az Előfizetőre, hanem az ő ügyfeleire, vendégeire vagy érdeklődőire vonatkoznak. Jellemzően:
| Adatkör | Honnan érkezik | Ki az adatkezelő |
|---|---|---|
| Vendég-értékelések (az értékelő neve, a szöveg, az értékelés) | Google Cégprofil | az Előfizető |
| Érdeklődői (lead) adatok (név, e-mail, telefonszám, az űrlapon megadott egyéb adat) | Meta Lead Ads űrlap | az Előfizető |
| Weboldal-látogatói mérési adatok (aggregált) | GA4 / Search Console | az Előfizető |
Ezekben az esetekben:
- az Előfizető az adatkezelő — ő dönti el, milyen célból és jogalapon gyűjti ezeket az adatokat, és az ő felelőssége az érintettek tájékoztatása;
- a Szolgáltató kizárólag adatfeldolgozó — az Előfizető dokumentált utasítása alapján, kizárólag a Szolgáltatás nyújtása érdekében kezeli ezeket, saját célra soha nem használja;
- a felek közötti jogviszonyt a GDPR 28. cikke szerinti Adatfeldolgozói Szerződés szabályozza, amely az ÁSZF elfogadásával automatikusan létrejön, és annak elválaszthatatlan mellékletét képezi.
Ha Ön egy Előfizetőnk vendége vagy érdeklődője, és a saját adataival kapcsolatban kíván élni a jogaival, kérjük, közvetlenül ahhoz a vállalkozáshoz forduljon, amelynek az adatait megadta (a szálláshelyhez). Ha hozzánk fordul, kérelmét indokolatlan késedelem nélkül továbbítjuk az érintett Előfizetőnek, és értesítjük Önt erről.
11. Az érintett jogai
Az érintettet a GDPR alapján az alábbi jogok illetik meg, amelyeket a barnabas@ozone-ai.hu címen gyakorolhat:
- hozzáférés a kezelt adataihoz;
- helyesbítés (pontatlan adat javítása);
- törlés („elfeledtetéshez való jog"), a jogszabályi megőrzési kötelezettség korlátai között;
- az adatkezelés korlátozása;
- adathordozhatóság (a szerződés teljesítésén/hozzájáruláson alapuló, automatizált adatkezelésnél);
- tiltakozás a jogos érdeken alapuló adatkezelés ellen;
- a hozzájárulás visszavonása (a visszavonás a korábbi adatkezelés jogszerűségét nem érinti).
Az Adatkezelő a kérelmet indokolatlan késedelem nélkül, legkésőbb egy hónapon belül teljesíti.
12. Jogorvoslat
12.1. Felügyeleti hatóság: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Cím: 1055 Budapest, Falk Miksa utca 9-11. · Levelezési cím: 1363 Budapest, Pf. 9. · E-mail: ugyfelszolgalat@naih.hu · Web: https://naih.hu
12.2. Az érintett a jogainak megsértése esetén bírósághoz is fordulhat (a per a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható).
13. Adatbiztonság
Az Adatkezelő a kockázattal arányos technikai és szervezési intézkedéseket alkalmaz, így különösen:
- titkosított adattárolás és -átvitel (TLS);
- a fizetési, valamint a Google- és Meta-hozzáférési titkok titkosítása (AES-256-GCM), visszafejtés kizárólag a memóriában, a művelet végrehajtásának idejére;
- bérlőnkénti (tenant) hozzáférés-elkülönítés (row-level security) — egy Előfizető adata más Előfizető számára technikailag sem érhető el;
- a hozzáférések korlátozása a szükséges minimumra;
- a hozzáférési tokenek soha nem kerülnek ki az Adatkezelő szervereiről, azokat harmadik félnek nem adja át.
A személyes adatokat az Adatkezelő bizalmasan kezeli. Adatvédelmi incidens esetén az Adatkezelő a GDPR 33–34. cikke szerint jár el: a NAIH-ot 72 órán belül értesíti, és – magas kockázat esetén – az érintetteket is tájékoztatja.
14. Módosítás
Az Adatkezelő a jelen tájékoztatót jogosult módosítani; a mindenkor hatályos változat a Szolgáltatás felületén érhető el. Lényeges változásról az Adatkezelő tájékoztatást ad.
Privacy Policy
Effective from 15 July 2026. (Draft — legal review recommended before going live.)
🇭🇺 This is a courtesy English translation of the Hungarian text above. In case of any discrepancy, the Hungarian version prevails.
This Privacy Policy explains how personal data is processed in connection with the Ozone H1 service (the "Service"), in accordance with Regulation (EU) 2016/679 (GDPR) and Hungarian Act CXII of 2011 on Informational Self-Determination and Freedom of Information.
1. The Controller
The controller in respect of the Service — and the contracting party — is exclusively the sole proprietor below. ("Ozone" is an umbrella brand; other services under it may be provided by a different controller.)
- Controller: Barnabás Bálint, sole proprietor (egyéni vállalkozó)
- Registered seat: Királyszék út 15, 2nd floor, 9012 Győr, Hungary
- Tax number: 59576680-1-28 · Registration number: 57623573
- E-mail (including data protection matters): barnabas@ozone-ai.hu · Phone: +36 70 343 4288
The Controller is not required to appoint a Data Protection Officer and has not appointed one.
2. Our dual role — please read this first
The Service encounters two kinds of personal data, and the Controller acts in a different legal role for each:
a) The Subscriber's own data (account, billing, contact details, usage logs) → here we act as a controller. Sections 3–9 apply.
b) The data of the Subscriber's customers, guests and prospects, which reaches the Service through connected platforms (e.g. an enquiry submitted via a Meta Lead Ads form, a guest review on a Google Business Profile) → here the Subscriber is the controller and we act solely as a processor, acting on the Subscriber's instructions and on their behalf. Section 10 and the separate Data Processing Agreement apply — the DPA is an integral annex to the Terms of Service.
In plain terms: your data is ours to safeguard as controller; your guests' data belongs to you, and we only touch it on your instruction. This does not affect ownership — data entered into the Service remains the Subscriber's (see ToS 9.4).
3. Categories of data, purposes, legal bases and retention
| Data category | Purpose | Legal basis | Retention |
|---|---|---|---|
| Account / registration data (name, e-mail, password hash) | providing the Service, identifying the Subscriber | performance of a contract – Art. 6(1)(b) | 30 days after the contract ends (see ToS 6.7), then deleted |
| Business data (website address, brand/business context, settings) | operation of the Service (content, analysis) | performance of a contract – Art. 6(1)(b) | for the term of the subscription |
| Billing data (name, address, tax number) | invoicing, accounting obligations | legal obligation – Art. 6(1)(c) | 8 years (Hungarian Accounting Act) |
| Payment transaction data (fact, amount, identifier of payment) | processing the fee payment | contract / legal obligation | per the accounting retention period |
| Connected Google data (Search Console and GA4 – read-only: impressions, clicks, position, traffic, conversions) | measuring and reporting organic search performance | performance of a contract – Art. 6(1)(b) | until the connection is revoked / for the subscription term |
| Connected Google Business Profile data (reviews and business performance metrics: read; publishing a reply to a review: write, only with the Subscriber's explicit approval) | managing guest reviews and improving local visibility | performance of a contract – Art. 6(1)(b) | until the connection is revoked / for the subscription term |
| Connected Meta advertising data (Facebook/Instagram – ad account, campaign, ad set and ad level aggregated performance metrics: impressions, clicks, spend, reach, conversions; associated Pages and creatives) | measuring, analysing and advising on paid advertising performance | performance of a contract – Art. 6(1)(b) | until the connection is revoked / for the subscription term |
| Connected Google Ads data (ad account, campaign, ad group and ad level aggregated performance metrics, keywords, search terms) | measuring, analysing and advising on paid advertising performance | performance of a contract – Art. 6(1)(b) | until the connection is revoked / for the subscription term |
| Usage and log data (logins, actions, technical logs, error tracking) | secure and reliable operation, abuse prevention | legitimate interest – Art. 6(1)(f) | 12 months at most |
| AI interaction data (prompts to and responses from the AI assistant) | providing the assistant function, quality assurance | performance of a contract – Art. 6(1)(b) | for the term of the subscription |
| Cookie data | see the Cookie Policy | strictly necessary cookies: legitimate interest; others: consent | per cookie lifetime |
We never see or store card data — it is handled directly by the payment provider (OTP Mobil Kft.); see Section 6.
Advertising performance data is not personal data. The Meta and Google Ads data listed above is aggregated and statistical (how many impressions, how much spend) and cannot identify individuals. The Service does not request access to person-level advertising data. It is listed here because it is the Subscriber's business data and transparency requires it.
4. Processing of connected Google data (Google API User Data)
If the Subscriber connects their Google account, the Service requests read-only access to the following scopes: `webmasters.readonly` (Google Search Console) and `analytics.readonly` (Google Analytics). This data is used solely to measure and report the Subscriber's organic search performance within their own dashboard. We do not modify, sell, transfer to third parties, or use this data for advertising purposes. The connection can be revoked at any time in the Service settings or in the Google Account Security menu; upon revocation the stored refresh token is deleted.
If the Subscriber also connects their Google Business Profile, the Service requests the `business.manage` scope. It is used solely to: read guest reviews and business performance metrics for display in the Subscriber's own dashboard; and — only after the Subscriber's explicit, case-by-case approval — publish a reply to a review on the Subscriber's behalf. The Service never publishes a reply or post automatically, without human approval.
If the Subscriber connects their Google Ads account, the Service requests the `adwords` scope. Access is read-only by default (retrieving campaign and performance data). Any modifying operation (e.g. changing budgets or bids, pausing an ad) occurs only if the Subscriber has explicitly enabled the higher access level and approves each individual change (see Section 8).
Ozone H1's use and transfer of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements. This applies in full to the `webmasters.readonly`, `analytics.readonly`, `business.manage` and `adwords` scopes.
Stored Google refresh tokens are encrypted at rest (AES-256-GCM) and decrypted in memory only for the duration of the operation.
5. Processing of connected Meta data (Meta Platform Data)
If the Subscriber connects their Meta (Facebook/Instagram) advertising account, the Service accesses their advertising data through the Meta Marketing API.
5.1. The Subscriber chooses the level of access. At connection time, the Subscriber selects one of two levels:
| Level | What it enables | Permissions requested |
|---|---|---|
| Analysis (default) | read-only: retrieving performance data, analysis, reporting, recommendations | `ads_read`, `business_management`, `pages_show_list`, `pages_read_engagement` |
| Analysis + execution | the above, plus modifying ads — only with the Subscriber's case-by-case approval | the above, plus `ads_management`, `pages_manage_ads` |
The selected level can be changed or revoked at any time in the Service settings, or in Meta Business Manager (Settings → Apps). Upon revocation the stored access token is deleted without delay.
5.2. What we use it for. Meta data is used solely to provide the Service to the Subscriber: to measure and analyse their own advertising performance, produce reports, and generate recommendations within their own dashboard.
5.3. What we do NOT use it for. We do not sell this data, transfer it to third parties, aggregate it across Subscribers, use it for benchmarking or market research, or use it to train the Service's AI models. One Subscriber's advertising data never leaves that Subscriber's isolated data space.
5.4. Retention and deletion. Data is retained for the duration of the connection and the subscription. The Subscriber may trigger deletion at any time by disconnecting in the Service or revoking access on Meta's side; upon Meta's notification the token is deleted immediately and related data within 30 days. A data deletion request may also be submitted to barnabas@ozone-ai.hu, which we fulfil within 5 working days at the latest.
5.5. Compliance. The Service processes Meta platform data in accordance with the applicable Meta Platform Terms and Developer Policies. Stored Meta access tokens are encrypted at rest (AES-256-GCM) and are never shared with third parties.
6. Processors (service providers we use)
The Controller engages the processors listed below. A GDPR-compliant data processing agreement is in place with each; transfers outside the EEA are safeguarded by appropriate measures (European Commission Standard Contractual Clauses and/or a data privacy framework certification).
| Processor | Seat | Storage / processing region | Activity |
|---|---|---|---|
| Supabase Inc. | Singapore / USA | EU (`eu-central-2`) | database (storage of Service data) |
| Vercel Inc. | USA | USA (SCC / DPF) | application hosting |
| Google LLC / Google Ireland Ltd. | USA / Ireland | USA / EU (SCC / DPF) | AI content generation (Gemini); retrieval of measurement and advertising data (Search Console, GA4, Business Profile, Google Ads) |
| GitHub, Inc. (Microsoft) | USA | USA (SCC / DPF) | publishing generated content to the Subscriber's website |
| Meta Platforms Ireland Ltd. | Ireland | EU | source of advertising performance data (Marketing API) |
| Higgsfield AI | USA | USA (SCC) | AI image generation (premium images, image regeneration) |
| OpenAI | USA | USA (SCC / DPF) | content generation as fallback; AI image generation (gpt-image) |
| Pexels (Canva Germany GmbH) | Germany (EU) | EU | stock photography for article illustrations |
| Anthropic | USA | USA (SCC / DPF) | generating assistant responses and analytical recommendations |
| DataForSEO | USA | USA (SCC) | ranking and competitor data |
| Functional Software, Inc. (Sentry) | USA | EU (Germany) | error tracking, operational logging |
| Resend | USA | USA (SCC / DPF) | transactional and informational e-mail delivery |
| OTP Mobil Kft. (SimplePay) | Hungária krt. 17-19, 1143 Budapest, Hungary | Hungary | online card payment processing, card tokenisation |
| Billingo / OCTONULL Kft. | Hungary | Hungary | e-invoicing and NAV Online Invoice reporting |
The current list of processors is available in the Service and in this Policy. We notify Subscribers of any addition or replacement of a processor at least 30 days in advance, in the Service and by e-mail; the Subscriber may raise a reasoned objection (see Section 7.3 of the Data Processing Agreement).
AI providers and training. The Controller's contractual arrangements with its AI providers (Google, OpenAI, Anthropic, Higgsfield) provide that data passed through the Service is not used to train those providers' models. The Controller does not train any model on Subscriber data either.
The data transfer declaration relating to payments is set out in Section 6.3 of the Terms of Service. SimplePay's own privacy notice is available at https://simplepay.hu.
Invoicing. Invoices for successful payments are issued through Billingo (OCTONULL Kft.), which reports the mandatory data to the Hungarian Tax Authority's Online Invoice system. Data processed for invoicing: the Subscriber's billing name, address, tax number (if any), subscription details and amount paid. Billing data is retained for 8 years under Hungarian Act C of 2000 on Accounting (independent of the 30-day deletion after contract termination under ToS 6.7).
7. AI-generated content and images
7.1. What the Service generates. The Service uses artificial intelligence to produce text (articles, recommendations, report explanations, ad copy, suggested review replies) and images (article illustrations, visual assets).
7.2. From what input. Generation is based on the business context provided by the Subscriber, their website content, and data from connected platforms. Personal data is not required as input and the Controller does not encourage its provision.
7.3. Article images — two sources. The Service sources article illustrations from two places:
| Source | What it is | Does it depict real people? |
|---|---|---|
| Stock photography (Pexels) | genuine professional photographs under a free commercial licence | Yes, it may. People shown consented to use under the Pexels licence terms. |
| AI-generated image (Higgsfield, OpenAI) | machine-generated image | No. Not a real photograph, and does not depict a real, identifiable person. |
The Service labels the source of every image (for stock photos, including the photographer's name and the Pexels attribution). The Controller uses providers whose terms of use permit commercial use of the images. Usage rights are governed by Section 9 of the Terms of Service.
7.4. The Subscriber's responsibility. AI-generated content is a recommendation placed at the Subscriber's disposal. Reviewing it before publication — for factual accuracy, legality and brand fit — is the Subscriber's task and responsibility. See Section 4.4 of the Terms of Service.
7.5. Transparency. All AI-generated content is labelled as such in the Service before the Subscriber approves it.
8. Automated decision-making and profiling
The Service does not make decisions based solely on automated processing which produce legal effects concerning a data subject or similarly significantly affect them, within the meaning of Article 22 GDPR.
The Service produces recommendations (e.g. "consider pausing this campaign", "this article topic could drive traffic"). These recommendations:
- concern the Subscriber's business activity, not natural persons;
- do not take effect automatically: any operation that alters the Subscriber's advertising account or public presence requires the Subscriber's explicit, case-by-case approval;
- can be overridden by the Subscriber at any time; every recommendation is accompanied by its rationale and the underlying data.
The Subscriber can disable automatic recommendations in the Service settings.
9. Transfers to third countries
Some processors (e.g. Vercel, Google, OpenAI, Anthropic, Higgsfield, DataForSEO, Supabase) may process data outside the European Economic Area (typically in the United States), or are seated there. Such transfers are safeguarded by the European Commission's Standard Contractual Clauses (SCC) and, where applicable, certification under the EU–US Data Privacy Framework. The Service's primary database is physically located in the European Union.
10. The Subscriber's customers' data — where we act as processor
In the cases flagged in Section 2(b), the Service encounters personal data relating not to the Subscriber but to their customers, guests or prospects. Typically:
| Data category | Source | Who is the controller |
|---|---|---|
| Guest reviews (reviewer name, text, rating) | Google Business Profile | the Subscriber |
| Lead data (name, e-mail, phone, other form fields) | Meta Lead Ads form | the Subscriber |
| Website measurement data (aggregated) | GA4 / Search Console | the Subscriber |
In these cases:
- the Subscriber is the controller — they determine the purpose and legal basis, and are responsible for informing data subjects;
- we act solely as a processor — processing only on the Subscriber's documented instructions, solely to provide the Service, never for our own purposes;
- the relationship is governed by the Data Processing Agreement under Article 28 GDPR, which comes into force automatically upon acceptance of the Terms of Service and forms an integral annex to them.
If you are a guest or prospect of one of our Subscribers and wish to exercise your rights, please contact the business you gave your data to (the accommodation provider) directly. If you contact us, we will forward your request to the relevant Subscriber without undue delay and notify you accordingly.
11. Data subject rights
Under the GDPR, data subjects have the following rights, exercisable at barnabas@ozone-ai.hu:
- access to their data;
- rectification of inaccurate data;
- erasure ("right to be forgotten"), within the limits of statutory retention obligations;
- restriction of processing;
- data portability (for automated processing based on contract or consent);
- objection to processing based on legitimate interest;
- withdrawal of consent (without affecting the lawfulness of prior processing).
The Controller responds without undue delay and within one month at the latest.
12. Remedies
12.1. Supervisory authority: Hungarian National Authority for Data Protection and Freedom of Information (NAIH). Address: Falk Miksa utca 9-11, 1055 Budapest · Postal: 1363 Budapest, Pf. 9 · E-mail: ugyfelszolgalat@naih.hu · Web: https://naih.hu
12.2. Data subjects may also bring an action before a court (proceedings may be initiated before the court of their place of residence or stay).
13. Data security
The Controller applies technical and organisational measures proportionate to the risk, in particular:
- encrypted storage and transmission (TLS);
- encryption of payment, Google and Meta access secrets (AES-256-GCM), decrypted in memory only for the duration of the operation;
- per-tenant isolation using row-level security — one Subscriber's data is not technically reachable by another;
- access limited to the necessary minimum;
- access tokens never leave the Controller's servers and are never shared with third parties.
Personal data is treated as confidential. In the event of a personal data breach, the Controller acts under Articles 33–34 GDPR: notifying NAIH within 72 hours and, in case of high risk, informing the data subjects.
14. Changes
The Controller may amend this Policy; the version in force is always available in the Service. Subscribers are informed of material changes.