How Toko collects, uses, and protects your personal data — in accordance with GDPR and Hungarian law.
| Item | Details |
|---|---|
| Name of Data Controller | Báti Áron Gergely EV |
| Registered seat | 1125 Budapest, Kútvölgyi út 7 |
| Registration number | 60739939 |
| Tax number | 91265610-1-43 |
| Email (data protection matters) | info@aivenue.solutions |
| Website | https://mytoko.hu |
Data processing is carried out in accordance with the GDPR and the Hungarian Privacy Act (Infotv.), following the principles of lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, integrity, and accountability. Accounting documents are governed by Act C of 2000 on Accounting, and payments are governed by tax legislation.
| Data processed | Legal basis | Retention |
|---|---|---|
| Email address, password (encrypted), username, social media handles | Performance of contract – Art. 6(1)(b) | For the duration of the account, then until deletion |
| Data processed | Legal basis | Retention |
|---|---|---|
| Follower count provided, social media profile data, the result of pre-screening, and the fact and outcome of the manual review | Pre-contractual step – Art. 6(1)(b); legitimate interest in the exclusivity of the Platform and fraud prevention – Art. 6(1)(f) | If approved, together with the account; if rejected, for 12 months (for legal claims and to handle repeat applications) |
Note on profiling: pre-screening is carried out using automated tools, but the final decision on acceptance is always made by a human (a member of the Service Provider's staff). Accordingly, this does not constitute solely automated decision-making producing a significant effect on the data subject within the meaning of Article 22 GDPR. See Section 9.
| Data processed | Legal basis | Retention |
|---|---|---|
| Bio text, avatar, products placed on the storefront, layout | Performance of contract – Art. 6(1)(b) | For the duration of the account |
| Data processed | Legal basis | Retention |
|---|---|---|
| Wise beneficiary details, bank account number, billing data, tax number, payment history | Performance of contract – Art. 6(1)(b); accounting and tax law obligation – Art. 6(1)(c) | Accounting documents for 8 years from issuance (Section 169 of the Accounting Act) |
| Data processed | Legal basis | Retention |
|---|---|---|
| Timestamp, pseudonymized IP address (SHA-256 + static salt), browser identifier (user agent), referrer, and the relevant creator_id and product_id | Legitimate interest in attribution (correct settlement of commission) and fraud prevention – Art. 6(1)(f) | 12–24 months, then deleted after aggregation |
Data security note: the Platform does not store the IP address in raw form; it records only its SHA-256 hash generated with a static salt, so it cannot be directly reversed. This is a data-minimization and security measure.
| Data processed | Legal basis | Retention |
|---|---|---|
| Data from strictly necessary cookies; analytics/performance data subject to consent | Strictly necessary cookies: legitimate interest – Art. 6(1)(f); analytics/functional cookies: consent – Art. 6(1)(a) | As set out in the Cookie Notice |
Details are provided in the separate Cookie Notice.
| Data processed | Legal basis | Retention |
|---|---|---|
| Email address, and the subject and delivery status of notifications (e.g. welcome email, approval, payment notice) | Performance of contract – Art. 6(1)(b). Separate consent for marketing newsletters – Art. 6(1)(a) | For the duration of the account; for newsletters, until consent is withdrawn |
| Data processed | Legal basis | Retention |
|---|---|---|
| Click and conversion patterns, ratios, geographic indicators, log of events suspected of fraud (webhook_log) | Legitimate interest of the Service Provider and the Affiliate Networks in preventing abuse – Art. 6(1)(f) | 12 months, or until the conclusion of an investigation, if any |
| Data processed | Legal basis | Retention |
|---|---|---|
| Content of the complaint, contact details, documentation of the investigation | Legal obligation (consumer complaints) – Art. 6(1)(c); and legitimate interest in pursuing legal claims – Art. 6(1)(f) | Consumer protection complaints for 5 years (Consumer Protection Act); otherwise until the limitation period expires |
For data processing, the Service Provider uses the following data processors and recipients. Agreements pursuant to Article 28 GDPR are/will be in place with the data processors.
| Recipient / data processor | Activity | Location / data transfer |
|---|---|---|
| Supabase Inc. | Database, authentication, hosting | USA / EU – see Section 5 |
| Vercel Inc. | Application hosting, edge execution | USA / EU – see Section 5 |
| Wise (Wise Payments Ltd / Wise Europe) | Payments | EU / UK |
| Resend | Transactional emails | USA – see Section 5 |
| Sentry / Better Stack / PostHog (if used) | Error tracking, logging, analytics | USA / EU – see Section 5 |
| Accountant / accounting firm | Accounting and tax tasks | Hungary |
| Affiliate Networks (Dognet, TradeTracker, Vivnetworks, Awin, Amazon, etc.) | Confirmation of conversions, tracking | Independent data controllers; transfer of sub-identifiers (subid) |
| Authorities (NAV, NAIH, courts, etc.) | Based on legal obligation | Hungary / EU |
The above list must be finalized to reflect the providers actually used; the current data processing and sub-processor terms of the cloud providers must be verified.
Certain data processors (e.g. Supabase, Vercel, Resend) may also process data in the United States or in other countries outside the EEA. Such transfers take place subject to appropriate safeguards: based on the provider's certification under the EU–US Data Privacy Framework, or through the use of standard contractual clauses (SCCs) adopted by the European Commission, supplemented where necessary by additional measures. The data subject may request a copy of the relevant safeguards by email at the address given in Section 1.
| Data category | Retention period |
|---|---|
| Account and storefront data | For the duration of the account, then until deletion |
| Accounting documents | 8 years (Section 169 of the Accounting Act) |
| Click / attribution data | 12–24 months, then aggregation/deletion |
| Fraud screening logs | 12 months, longer if under investigation |
| Consumer complaint documentation | 5 years (Consumer Protection Act) |
| Data on rejected applications | 12 months |
Under the GDPR, the data subject has the following rights, which may be exercised by email at the address given in Section 1. The Service Provider shall comply with the request without undue delay and at the latest within one month.
Applications are pre-screened using automated tools (checking the follower-count threshold), but in every case the decision on acceptance is made by a member of the Service Provider's staff through manual review. Accordingly, this does not constitute solely automated decision-making within the meaning of Article 22 GDPR. Fraud screening likewise generates signals, but actual measures (suspension, termination) are decided by a human.
In the event of a personal data breach, the Service Provider shall assess the risk and, where the breach is likely to result in a risk, shall notify the NAIH within 72 hours of becoming aware of it (Article 33 GDPR); in the case of a high risk, the data subjects shall also be informed (Article 34). The Service Provider maintains an internal record of breaches.
The data subject may lodge a complaint with the National Authority for Data Protection and Freedom of Information (NAIH; 1055 Budapest, Falk Miksa utca 9–11.; postal address: 1363 Budapest, Pf. 9.; naih.hu; ugyfelszolgalat@naih.hu), and, in the event of an infringement of their rights, may also turn to a court. Proceedings may also be brought before the regional court (törvényszék) having jurisdiction over the data subject's place of residence or domicile.
Date: Budapest, 15 June 2026.
Data Controller: Báti Áron Gergely EV
Hogyan gyűjti, kezeli és védi a Toko az Ön személyes adatait — a GDPR és a magyar jogszabályoknak megfelelően.
| Megnevezés | Adat |
|---|---|
| Adatkezelő neve | Báti Áron Gergely EV |
| Székhely | 1125 Budapest, Kútvölgyi út 7 |
| Nyilvántartási szám | 60739939 |
| Adószám | 91265610-1-43 |
| E-mail (adatvédelmi ügyek) | info@aivenue.solutions |
| Weboldal | https://mytoko.hu |
Az adatkezelés a GDPR és az Infotv. szerint, a jogszerűség, tisztességesség, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és elszámoltathatóság elvei mentén történik. A számviteli bizonylatokra a számvitelről szóló 2000. évi C. törvény, a kifizetésekre az adójogszabályok az irányadók.
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| E-mail, jelszó (titkosított), felhasználónév, közösségi média azonosítók | Szerződés teljesítése – 6. cikk (1) b) | A fiók fennállásáig, majd törlésig |
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| Megadott követőszám, közösségi profil adatai, az előszűrés eredménye, a kézi bírálat ténye és eredménye | Szerződés megkötését megelőző lépés – 6. cikk (1) b); a Platform exkluzivitása és a csalásmegelőzés mint jogos érdek – 6. cikk (1) f) | Jóváhagyás esetén a fiókkal együtt; elutasítás esetén 12 hónapig (jogérvényesítés, ismételt jelentkezés kezelése) |
Megjegyzés a profilozáshoz: az előszűrés automatizált eszközzel történik, de a felvételről a végső döntést minden esetben ember (a Szolgáltató munkatársa) hozza meg. Ezért nem valósul meg kizárólag automatizált, az érintettre jelentős hatást gyakorló döntéshozatal a GDPR 22. cikke értelmében. Lásd a 9. pontot.
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| Bemutatkozó szöveg, avatar, az üzletfelületre helyezett termékek, elrendezés | Szerződés teljesítése – 6. cikk (1) b) | A fiók fennállásáig |
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| Kedvezményezetti (Wise) adatok, bankszámlaszám, számlázási adatok, adószám, kifizetési előzmények | Szerződés teljesítése – 6. cikk (1) b); számviteli és adójogi kötelezettség – 6. cikk (1) c) | A számviteli bizonylatokat a kiállítástól számított 8 évig (Számv. tv. 169. §) |
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| Időbélyeg, álnevesített (SHA-256 + statikus só) IP-cím, böngészőazonosító (user agent), hivatkozó (referrer), az érintett creator_id és product_id | Az attribúció (a jutalék helyes elszámolása), valamint a csalásmegelőzés mint jogos érdek – 6. cikk (1) f) | 12–24 hónap, majd aggregálás után törlés |
Adatbiztonsági megjegyzés: az IP-címet a Platform nem tárolja nyers formában; kizárólag statikus sóval képzett SHA-256 lenyomatát rögzíti, így az közvetlenül nem visszafejthető. Ez adattakarékossági és biztonsági intézkedés.
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| A feltétlenül szükséges sütik adatai; hozzájárulás esetén analitikai/teljesítménymérő adatok | Feltétlenül szükséges sütik: jogos érdek – 6. cikk (1) f); analitikai/funkcionális sütik: hozzájárulás – 6. cikk (1) a) | A Süti tájékoztató szerinti élettartam |
Részletek a külön Süti tájékoztatóban.
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| E-mail cím, az értesítés tárgya és kézbesítési állapota (pl. üdvözlő e-mail, jóváhagyás, kifizetés-értesítés) | Szerződés teljesítése – 6. cikk (1) b). Marketing hírlevélhez külön hozzájárulás – 6. cikk (1) a) | A fiók fennállásáig; hírlevél esetén a hozzájárulás visszavonásáig |
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| Kattintás- és konverziómintázatok, arányszámok, földrajzi jelzők, csalásgyanús események naplója (webhook_log) | A Szolgáltató és az affiliate hálózatok jogos érdeke a visszaélés megelőzésében – 6. cikk (1) f) | 12 hónap, vizsgálat esetén annak lezárásáig |
| Kezelt adatok | Jogalap | Megőrzés |
|---|---|---|
| A panasz tartalma, kapcsolattartási adatok, a kivizsgálás dokumentumai | Jogi kötelezettség (fogyasztói panasz) – 6. cikk (1) c); illetve jogos érdek a jogérvényesítésben – 6. cikk (1) f) | A fogyasztóvédelmi panaszt 5 évig (Fgytv.); egyéb esetben az elévülésig |
A Szolgáltató az adatkezeléshez az alábbi adatfeldolgozókat és címzetteket veszi igénybe. Az adatfeldolgozókkal a GDPR 28. cikke szerinti szerződés van/lesz hatályban.
| Címzett / adatfeldolgozó | Tevékenység | Hely / adattovábbítás |
|---|---|---|
| Supabase Inc. | Adatbázis, hitelesítés, tárhely | USA / EU – 5. pont |
| Vercel Inc. | Alkalmazás-tárhely, edge futtatás | USA / EU – 5. pont |
| Wise (Wise Payments Ltd / Wise Europe) | Kifizetések | EU / UK |
| Resend | Tranzakciós e-mailek | USA – 5. pont |
| Sentry / Better Stack / PostHog (ha használt) | Hibakövetés, naplózás, analitika | USA / EU – 5. pont |
| Könyvelő / könyvelőiroda | Számviteli, adóügyi feladatok | Magyarország |
| Affiliate hálózatok (Dognet, TradeTracker, Vivnetworks, Awin, Amazon, stb.) | Konverziók visszaigazolása, követés | Önálló adatkezelők; az al-azonosítók (subid) továbbítása |
| Hatóságok (NAV, NAIH, bíróság stb.) | Jogszabályi kötelezettség alapján | Magyarország / EU |
A fenti listát a ténylegesen használt szolgáltatókkal kell véglegesíteni; a felhő-szolgáltatók aktuális adatkezelési és adatfeldolgozói feltételeit ellenőrizni kell.
Egyes adatfeldolgozók (pl. Supabase, Vercel, Resend) az Egyesült Államokban vagy más, az EGT-n kívüli országban is kezelhetnek adatot. Az ilyen továbbítás megfelelő garanciák mellett történik: az adott szolgáltató EU–USA Adatvédelmi Keret (Data Privacy Framework) szerinti tanúsítása alapján, vagy az Európai Bizottság által elfogadott általános szerződési feltételek (SCC) alkalmazásával, szükség szerint kiegészítő intézkedésekkel. Az érintett a megfelelő garanciák másolatát az 1. pont szerinti e-mailen kérheti.
| Adatkör | Megőrzési idő |
|---|---|
| Fiók- és üzletfelület-adatok | A fiók fennállásáig, majd törlésig |
| Számviteli bizonylatok | 8 év (Számv. tv. 169. §) |
| Kattintási / attribúciós adatok | 12–24 hónap, majd aggregálás/törlés |
| Csalásszűrési naplók | 12 hónap, vizsgálat esetén tovább |
| Fogyasztói panasz dokumentációja | 5 év (Fgytv.) |
| Elutasított jelentkezés adatai | 12 hónap |
Az érintettet a GDPR alapján az alábbi jogok illetik meg, amelyeket az 1. pont szerinti e-mailen gyakorolhat. A Szolgáltató a kérelmet indokolatlan késedelem nélkül, legkésőbb egy hónapon belül teljesíti.
A jelentkezések előszűrése automatizált eszközzel (követőszám-küszöb vizsgálatával) történik, a felvételről azonban minden esetben a Szolgáltató munkatársa dönt kézi felülvizsgálat keretében. Így nem valósul meg kizárólag automatizált döntéshozatal a GDPR 22. cikke szerint. A csalásszűrés szintén jelzéseket állít elő, de a tényleges intézkedésekről (felfüggesztés, megszüntetés) ember dönt.
Adatvédelmi incidens esetén a Szolgáltató a kockázatot megvizsgálja, és – ha az valószínűsíthetően kockázattal jár – az incidenst a tudomásszerzéstől számított 72 órán belül bejelenti a NAIH-nak (GDPR 33. cikk), magas kockázat esetén az érintetteket is tájékoztatja (34. cikk). Az incidensekről a Szolgáltató belső nyilvántartást vezet.
Az érintett panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhat (NAIH; 1055 Budapest, Falk Miksa utca 9–11.; postacím: 1363 Budapest, Pf. 9.; naih.hu; ugyfelszolgalat@naih.hu), valamint jogsérelem esetén bírósághoz. A per az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.
Kelt: Budapest, 2026. június 15.
Adatkezelő: Báti Áron Gergely EV