Privacy Policy

1. Controller and contact

The data controller is the Fencivity team, based in Budapest, Hungary. Contact: fencivity@gmail.com. We have not appointed a Data Protection Officer (not required under Article 37 GDPR for our scale of processing); the above address is the single point of contact for all privacy matters.

2. Categories of personal data we process

• Account data — email address, display name, password (hashed and salted by Firebase Authentication — we never see the plaintext), and, if you log in with Google, your Google account identifier.
• Profile data — role (fencer/coach), preferred weapon, hand, club affiliation. Optional: weight, height, birth year (used to estimate calorie burn and basal metabolic rate). You can leave these blank or delete them later; the rest of the Service keeps working.
• Training data — training logs, bouts, opponent notes, uploaded videos, coach-issued plans, coach comments.
• Payment data — Stripe-tokenised customer and subscription identifiers, plan code, billing timestamps, invoice metadata required by Hungarian accounting law. We do not see or store card numbers, CVCs, or expiry dates — these are handled by Stripe on Stripe-hosted forms.
• Technical data — IP address, browser user-agent, device type, aggregate page-view counts via Firebase. Used for security, abuse prevention, and product analytics.
• Communications — emails you send us and our replies.

3. Health-adjacent data (GDPR Article 9)

Optional body-composition fields (weight, height) and derived figures (calorie estimates, BMR, readiness scores) may qualify as health-related data under Article 9 GDPR. We process these only on your explicit consent, given when you choose to fill in those fields. You can withdraw consent at any time by deleting those fields in your profile — the rest of the Service continues to work without them.

4. Purposes and legal bases (GDPR Article 6)

• Performance of contract (Art. 6(1)(b)) — to deliver the training journal you signed up for, including showing your data to a coach you explicitly link.
• Legitimate interest (Art. 6(1)(f)) — to secure the Service, prevent abuse, debug issues, and run aggregate product analytics. A balancing test has been performed; a summary is available on request.
• Legal obligation (Art. 6(1)(c)) — to retain invoicing data under Hungarian accounting law (Act C of 2000 on Accounting, § 169 — currently 8 years).
• Consent (Art. 6(1)(a) and Art. 9(2)(a)) — for optional profile fields (Sec. 3), marketing emails (if any), and non-essential cookies.

5. Recipients and sub-processors

We do not sell your personal data. We share it only with:

• Google Ireland Ltd. — Firebase Authentication, Cloud Firestore, Cloud Storage, Hosting, Cloud Functions. Stored in the EU multi-region. DPA: firebase.google.com/terms/data-processing-terms.
• Stripe Payments Europe Ltd. (Ireland) — payment processing and subscription management. DPA: stripe.com/legal/dpa.
• Your coach, only if you explicitly link one in-app — and only the specific training logs, comments, and videos you have shared with them.
• Authorities or courts, where required by enforceable legal process or to protect legal rights.

6. International transfers

Our primary processors (Google Ireland, Stripe Europe) are EU entities and store data in the EU. Where any onward transfer to a third country occurs (e.g., for global support or fraud-prevention purposes), it is covered by the European Commission's Standard Contractual Clauses or an adequacy decision.

7. Retention

• Account, profile, and training data: kept while your account is active.
• On account deletion: removed from operational systems within 30 days; residual copies on encrypted backups are overwritten within 90 days.
• Invoicing data: retained for 8 years to comply with Hungarian accounting law (Sztv. § 169).
• Security and audit logs: retained for up to 12 months.

8. Your rights under the GDPR

You may exercise the following rights at any time by emailing fencivity@gmail.com:

• Access (Art. 15)
• Rectification (Art. 16)
• Erasure (Art. 17) — most data can also be deleted directly from your profile page
• Restriction (Art. 18)
• Data portability (Art. 20) — JSON export available from the profile
• Objection (Art. 21) — particularly to legitimate-interest processing
• Withdrawal of consent (Art. 7(3)) — without affecting prior lawful processing

We respond within 30 days. We may verify your identity before complying. You also have the right to lodge a complaint with the supervisory authority (see Sec. 12).

9. Children

The Service is intended for users aged 16 or older. Users under 16 may register only with verifiable consent from a parent or legal guardian (GDPR Art. 8). If we learn we have collected personal data of a child under 16 without such consent, we will delete it promptly.

10. Security

We rely on Google Cloud Platform security controls (encryption in transit and at rest, IAM, Firestore security rules) and on Stripe's PCI-DSS Level 1 environment. We will notify affected users and the supervisory authority of a personal-data breach within 72 hours as required by Articles 33-34 GDPR, where the breach is likely to result in a risk to your rights and freedoms.

11. Cookies and similar technologies

• Essential (no consent required) — Firebase Authentication session cookie (so you stay signed in) and localStorage: fencivity_lang (language preference).
• Analytics — optional — aggregate, non-identifying page-view counts via Firebase, requested via the consent banner on first visit. Your choice is stored under localStorage: fencivity_cookie_consent.
• No third-party advertising or cross-site tracking cookies.

You can withdraw or change your choice at any time by clearing the fencivity_cookie_consent entry in your browser storage (Settings → Site data), which will re-show the banner on your next visit.

12. Supervisory authority

If you believe your personal data is processed unlawfully, you may lodge a complaint with the Hungarian National Authority for Data Protection and Freedom of Information (NAIH):

• Address: 1055 Budapest, Falk Miksa utca 9-11.
• Web: naih.hu
• Phone: +36 1 391 1400

You may also approach the supervisory authority of your EU country of residence.

13. Changes

We may update this policy; the "Last updated" date above marks the current version. Material changes will be announced by email or in-app at least 14 days before they take effect.

Adatvédelmi nyilatkozat

1. Adatkezelő és kapcsolat

Az adatkezelő a Fencivity csapat, székhely: Budapest, Magyarország. Kapcsolat: fencivity@gmail.com. Adatvédelmi tisztviselőt nem jelöltünk ki (az adatkezelés mértéke alapján a GDPR 37. cikke szerint nem kötelező); a fenti emailcím minden adatvédelmi ügyben az egyetlen kapcsolattartási pont.

2. Kezelt személyes adatok köre

• Fiókadatok — emailcím, megjelenítendő név, jelszó (a Firebase Authentication hash-eli és sózza — a nyílt szöveget mi sem látjuk), és Google-bejelentkezés esetén a Google-fiókazonosító.
• Profiladatok — szerepkör (vívó/edző), fegyvernem, kezesség, klub. Opcionálisan: testsúly, testmagasság, születési év (kalória- és alapanyagcsere-becsléshez). Ezeket üresen hagyhatod vagy később törölheted; a Szolgáltatás többi része ettől függetlenül működik.
• Edzésadatok — edzésnapló, asszók, ellenfél-jegyzetek, feltöltött videók, edzői tervek, edzői kommentek.
• Fizetési adatok — Stripe által tokenizált ügyfél- és előfizetés-azonosítók, csomagkód, számlázási időbélyegek, számviteli jogszabály által megkövetelt számla-metaadatok. Teljes kártyaszámot, CVC-t és lejárati dátumot NEM látunk és NEM tárolunk — ezeket közvetlenül a Stripe kezeli a Stripe által üzemeltetett űrlapokon.
• Technikai adatok — IP-cím, böngésző user-agent, eszköztípus, aggregált oldal-megtekintési adatok (Firebase). Biztonsági, visszaélés-megelőzési és termékelemzési célokra.
• Kommunikáció — a nekünk küldött és tőlünk kapott emailek.

3. Egészségügyi jellegű adatok (GDPR 9. cikk)

Az opcionális testösszetétel-mezők (testsúly, testmagasság) és az ezekből származtatott értékek (kalória-becslés, BMR, készenléti pontszám) a GDPR 9. cikke alapján egészségügyi adatnak minősülhetnek. Ezeket kizárólag a kifejezett hozzájárulásod alapján kezeljük, amelyet a mezők kitöltésével adsz meg. A hozzájárulást bármikor visszavonhatod azzal, hogy a mezőket törlöd a profilodban — a Szolgáltatás többi része ettől függetlenül működik.

4. Célok és jogalapok (GDPR 6. cikk)

• Szerződés teljesítése (6. cikk (1) b) — a megrendelt edzésnapló-szolgáltatás nyújtása, beleértve az általad kifejezetten párosított edző számára történő megjelenítést.
• Jogos érdek (6. cikk (1) f) — a Szolgáltatás biztonsága, visszaélés-megelőzés, hibajavítás és aggregált termékelemzés. Érdekmérlegelés készült; összefoglalója kérésre rendelkezésre áll.
• Jogi kötelezettség (6. cikk (1) c) — számlázási adatok megőrzése a számvitelről szóló 2000. évi C. törvény 169. § alapján (jelenleg 8 év).
• Hozzájárulás (6. cikk (1) a és 9. cikk (2) a) — opcionális profilmezők (3. szakasz), marketing email (ha van), nem feltétlenül szükséges sütik.

5. Címzettek és adatfeldolgozók

Személyes adatot nem értékesítünk. Csak az alábbiak kapnak hozzáférést:

• Google Ireland Ltd. — Firebase Authentication, Cloud Firestore, Cloud Storage, Hosting, Cloud Functions. EU multi-region tárolás. Adatfeldolgozói szerződés: firebase.google.com/terms/data-processing-terms.
• Stripe Payments Europe Ltd. (Írország) — fizetésfeldolgozás és előfizetés-kezelés. Adatfeldolgozói szerződés: stripe.com/legal/dpa.
• Az edződ, kizárólag ha az alkalmazásban kifejezetten párosítod — és csak azon edzésnaplók, kommentek és videók körében, amelyeket vele megosztottál.
• Hatóságok vagy bíróságok, amennyiben jogszabály vagy érvényes hatósági aktus ezt megköveteli, illetve jogi igények érvényesítése érdekében.

6. Harmadik országba történő továbbítás

Az elsődleges adatfeldolgozóink (Google Ireland, Stripe Europe) EU-s entitások, és az adatokat az EU területén tárolják. Amennyiben egyes esetekben mégis sor kerül harmadik országba történő továbbítására (pl. globális ügyfélszolgálat vagy csalásmegelőzés céljából), azt az Európai Bizottság általános adatvédelmi szerződéses feltételei (SCC) vagy megfelelőségi határozat biztosítja.

7. Megőrzési idők

• Fiók-, profil- és edzésadatok: a fiók fennállásáig.
• Fióktörlés esetén: az éles rendszerekből 30 napon belül eltávolításra kerülnek; a titkosított biztonsági mentésekben maradt másolatokat 90 napon belül felülírjuk.
• Számlázási adatok: a számvitelről szóló 2000. évi C. törvény 169. § alapján 8 évig.
• Biztonsági és audit naplók: legfeljebb 12 hónapig.

8. A GDPR szerinti jogaid

Az alábbi jogokat bármikor gyakorolhatod a fencivity@gmail.com címen:

• Hozzáférés (15. cikk)
• Helyesbítés (16. cikk)
• Törlés (17. cikk) — a legtöbb adat közvetlenül a profiloldalról is törölhető
• Korlátozás (18. cikk)
• Adathordozhatóság (20. cikk) — JSON-export elérhető a profilból
• Tiltakozás (21. cikk) — különösen a jogos érdeken alapuló adatkezelés ellen
• Hozzájárulás visszavonása (7. cikk (3)) — a korábbi jogszerű adatkezelés érintése nélkül

Megkeresésedre 30 napon belül válaszolunk. A teljesítés előtt indokolt esetben azonosítjuk a személyedet. Panasszal a felügyeleti hatósághoz is fordulhatsz (lásd 12. szakasz).

9. Kiskorúak

A Szolgáltatás 16. életévét betöltött felhasználóknak szól. 16 év alatt regisztrációhoz szülő vagy törvényes képviselő igazolható hozzájárulása szükséges (GDPR 8. cikk). Amennyiben tudomásunkra jut, hogy 16 év alatti gyermek adatát hozzájárulás nélkül kezeljük, azt haladéktalanul töröljük.

10. Biztonság

A Google Cloud Platform biztonsági kontrolljaira (titkosítás átvitel közben és nyugalmi állapotban, IAM, Firestore biztonsági szabályok) és a Stripe PCI-DSS Level 1 környezetére támaszkodunk. Személyes adatok megsértése esetén az érintett felhasználókat és a felügyeleti hatóságot a GDPR 33-34. cikke szerint 72 órán belül értesítjük, amennyiben a jogsértés valószínűsíthetően kockázattal jár a jogaidra és szabadságaidra.

11. Sütik és hasonló technológiák

• Szükséges (hozzájárulás nem kell) — Firebase Authentication session-süti (a bejelentkezésed fenntartásához) és localStorage: fencivity_lang (nyelvi beállítás).
• Analitika — opcionális — aggregált, nem azonosító oldal-megtekintési adatok Firebase-en keresztül; a süti-tájékoztatón keresztül lehet hozzájárulni vagy elutasítani. A választás a böngészőben tárolódik (localStorage: fencivity_cookie_consent).
• Hirdetési vagy keresztoldali nyomkövető sütit NEM használunk.

A választást bármikor visszavonhatod vagy módosíthatod a böngésződ webhelyadatainak ürítésével (Beállítások → Webhely-adatok → fencivity_cookie_consent törlése), ami a következő látogatáskor újra megjeleníti a süti-tájékoztatót.

12. Felügyeleti hatóság

Ha úgy ítéled meg, hogy a személyes adataidat jogellenesen kezeljük, panaszt tehetsz a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):

• Cím: 1055 Budapest, Falk Miksa utca 9-11.
• Web: naih.hu
• Telefon: +36 1 391 1400

EU-s tartózkodási helyed szerinti felügyeleti hatósághoz is fordulhatsz.

13. Változások

A nyilatkozatot módosíthatjuk; a fenti „Utolsó frissítés" dátum jelzi a hatályos verziót. Lényegi változásról legalább 14 nappal a hatálybalépés előtt emailben vagy alkalmazáson belül értesítünk.