← Back to GrateUp

Privacy Policy

Effective: April 10, 2026

Summary: GrateUp is a SaaS review management platform. We only collect data necessary to provide the Service. Your data is stored on EU servers, encrypted in transit and at rest, and never sold to third parties.

I. Introduction

This Privacy Policy ("Policy") describes how TeleOptimum Kft. ("we", "us", "Controller") collects, uses, stores, and protects your personal data when you use the GrateUp digital service ("Service"), available at https://grateup.com.

This Policy is issued in accordance with Regulation (EU) 2016/679 ("GDPR") and the Hungarian Act CXII of 2011 on the Right to Informational Self-Determination and Freedom of Information ("Infotv."). It is available at all times at https://grateup.com/privacy.

Data Controller:
TeleOptimum Kft.
Registered office: 7700 Mohacs, Golya utca 5., Hungary
Company registration number: 02 09 080015
Tax number: 23436686-2-02 · EU VAT: HU23436686
Privacy email: privacy@grateup.com
General email: info@grateup.com
Phone: +36 20 514 5439

II. Definitions

Data Subject / User: Any identified or identifiable natural person whose personal data is processed by the Controller.
Personal Data: Any information relating to an identified or identifiable natural person (GDPR Art. 4(1)).
Consent: Any freely given, specific, informed, and unambiguous indication of the Data Subject's wishes (GDPR Art. 4(11)).
Controller: The natural or legal person who determines the purposes and means of the processing of personal data — TeleOptimum Kft.
Processing: Any operation performed on personal data, whether or not by automated means (collection, recording, storage, alteration, retrieval, use, disclosure, erasure, etc.).
Processor: A natural or legal person who processes personal data on behalf of the Controller.
Recipient: A natural or legal person to whom personal data is disclosed.
Third Country: A country outside the European Economic Area (EEA).

III. Data Processing Principles

We process personal data in accordance with the following principles (GDPR Art. 5):

Lawfulness, fairness, and transparency — Data is processed lawfully, fairly, and in a transparent manner.
Purpose limitation — Data is collected for specified, explicit, and legitimate purposes.
Data minimization — Data collected is adequate, relevant, and limited to what is necessary.
Accuracy — Data is kept accurate and up to date.
Storage limitation — Data is kept only for as long as necessary for the stated purpose.
Integrity and confidentiality — Data is processed in a manner that ensures appropriate security.
Accountability — The Controller is responsible for and able to demonstrate compliance with these principles.

IV. User Responsibility

You are responsible for the accuracy and truthfulness of the data you provide. If you provide another person's data, you must have their express consent.
You must be at least 16 years old to use the Service. We do not knowingly collect data from persons under 16. If we discover that a user is under 16, we will delete their account and data promptly.
You are responsible for keeping your login credentials confidential.

V. Purposes of Data Processing

5.1 Account Registration

Attribute	Details
Data processed	Email address, password (bcrypt hash), name, registration timestamp
Legal basis	Consent of the Data Subject / performance of contract — GDPR Art. 6(1)(a)/(b)
Retention period	Until account deletion

5.2 Subscription & Billing

Attribute	Details
Data processed	Billing name, tax number, address (zip, city, street), country, billing type
Legal basis	Performance of contract — GDPR Art. 6(1)(b)
Retention period	8 years (Hungarian tax law statute of limitations)

5.3 Google Business Profile OAuth

Attribute	Details
Data processed	OAuth access & refresh tokens (encrypted with AES-256-GCM), Google account/location IDs, business metadata
Legal basis	Performance of contract — GDPR Art. 6(1)(b)
Retention period	Until Google connection is revoked; tokens are deleted immediately upon disconnection

5.4 Google Reviews

Attribute	Details
Data processed	Reviewer name, star rating, review text, review date
Legal basis	Performance of contract — GDPR Art. 6(1)(b)
Retention period	Until account deletion

5.5 AI Reply Generation

Attribute	Details
Data processed	Review text (sent to AI provider API), generated reply
Legal basis	Performance of contract — GDPR Art. 6(1)(b)
Processor	Third-party AI provider, USA (Standard Contractual Clauses apply)
Retention period	The AI provider does not store API requests; generated replies are retained until account deletion

5.6 QR Card Scans

Attribute	Details
Data processed	IP address, user agent, scan timestamp, card identifier
Legal basis	Legitimate interest — GDPR Art. 6(1)(f) (service operation, fraud prevention)
Retention period	1 year

5.7 Internal Feedback (Review Gate)

Attribute	Details
Data processed	Star rating, written feedback, IP address
Legal basis	Legitimate interest — GDPR Art. 6(1)(f)
Retention period	1 year

5.8 Barion Payment

Attribute	Details
Data processed	Payment transaction data (card data is handled exclusively by Barion; we never store card details)
Legal basis	Performance of contract — GDPR Art. 6(1)(b)
Processor	Barion Payment Zrt., 1117 Budapest, Irinyi J. u. 4-20. (National Bank of Hungary license: H-EN-I-1064/2013)
Retention period	8 years (Hungarian tax law statute of limitations)

5.9 Billingo Invoicing

Attribute	Details
Data processed	Billing data (name, address, tax number, email)
Legal basis	Legal obligation — GDPR Art. 6(1)(c) (Hungarian accounting act)
Processor	Billingo Technologies Zrt., Budapest
Retention period	8 years (Hungarian tax law statute of limitations)

5.10 Barion Pixel

Attribute	Details
Data processed	Anonymized browsing data, IP address
Legal basis	Legitimate interest — GDPR Art. 6(1)(f) (fraud prevention)
Pixel ID	BP-VBGoQ9jyoq-9B
Processor	Barion Payment Zrt.

5.11 Newsletter & Notifications

Attribute	Details
Data processed	Email address
Legal basis	Consent — GDPR Art. 6(1)(a)
Retention period	Until consent is withdrawn

5.12 Server Logs

Attribute	Details
Data processed	IP address, user agent, request URL, timestamp
Legal basis	Legitimate interest — GDPR Art. 6(1)(f) (security)
Retention period	30 days

VI. Cookies

The Service uses the following cookies:

Cookie	Purpose	Type	Duration
Session cookie	User session management	Strictly necessary	Until browser is closed
CSRF token	Cross-site request forgery protection	Strictly necessary	Session
Barion Pixel cookie	Fraud prevention (managed by Barion)	Functional	Managed by Barion
_ga, _ga_*	Google Analytics 4 — website usage statistics and visitor behavior	Statistics	2 years
Language preference	Stores selected language	Functional	1 year

Strictly necessary cookies do not require consent. Functional cookies are set based on your interaction with the Service. Statistics cookies (Google Analytics) are used to understand how visitors interact with the website; the data is anonymized.

VII. Data Transfers & Processors

We share personal data only with the following processors, strictly for the purposes described above:

Processor	Purpose	Location	Safeguards
Third-party AI provider	AI content generation	USA	Standard Contractual Clauses (SCC)
Barion Payment Zrt.	Payment processing	1117 Budapest, Hungary	National Bank of Hungary supervision
Billingo Technologies Zrt.	Invoicing	Budapest, Hungary	EU
Contabo GmbH	Hosting / infrastructure	Munich, Germany	EU
Google LLC	Google Business Profile API	Mountain View, CA, USA	Standard Contractual Clauses (SCC)

For transfers to the United States (Google, AI providers), Standard Contractual Clauses adopted by the European Commission ensure an adequate level of data protection as required by GDPR Chapter V.

VIII. Data Security

We implement appropriate technical and organizational measures to protect your personal data:

All data in transit is protected with TLS 1.2+ encryption.
OAuth tokens are encrypted at rest using AES-256-GCM.
Passwords are hashed with bcrypt (never stored in plain text).
CSRF protection on all state-changing requests.
Server access is restricted to SSH key-based authentication only.
Regular automated backups are performed and stored securely.

IX. Your Rights

Under the GDPR, you have the following rights regarding your personal data:

Right of access (Art. 15) — You may request a copy of all personal data we hold about you.
Right to rectification (Art. 16) — You may request correction of inaccurate data.
Right to erasure ("right to be forgotten") (Art. 17) — You may request deletion of your data, subject to legal retention obligations.
Right to restriction of processing (Art. 18) — You may request restriction of processing under certain conditions.
Right to data portability (Art. 20) — You may request your data in a structured, machine-readable format.
Right to object (Art. 21) — You may object to processing based on legitimate interest.
Right to withdraw consent (Art. 7(3)) — Where processing is based on consent, you may withdraw it at any time without affecting the lawfulness of prior processing.

To exercise any of these rights, contact us at privacy@grateup.com. We will respond within 30 days.

X. Legal Remedies

If you believe your rights have been violated, you may:

Contact us directly at privacy@grateup.com.
File a complaint with the Hungarian National Authority for Data Protection and Freedom of Information (NAIH):
Address: 1055 Budapest, Falk Miksa utca 9-11., Hungary
Website: naih.hu
Email: ugyfelszolgalat@naih.hu
Pursue judicial remedy before the competent court of your place of residence.

XI. Changes to This Policy

We may update this Policy from time to time. If we make material changes that affect your rights, we will notify you by email at least 15 days before the changes take effect. The current version is always available at https://grateup.com/privacy.

XII. Effective Date

This Privacy Policy is effective as of April 10, 2026.

Adatkezelési Tájékoztató

Hatályos: 2026. április 10.

Összefoglaló: A GrateUp egy SaaS alapon működő véleménykezelő platform. Kizárólag a Szolgáltatás nyújtásához szükséges adatokat gyűjtjük. Adatait EU-s szervereken tároljuk, titkosítva továbbítjuk és tároljuk, harmadik félnek soha nem adjuk el.

I. Bevezetés

Jelen Adatkezelési Tájékoztató („Tájékoztató”) leírja, hogy a TeleOptimum Kft. („Adatkezelő”, „mi”) hogyan gyűjti, használja, tárolja és védi az Ön személyes adatait a GrateUp digitális szolgáltatás („Szolgáltatás”) használata során, amely elérhető a https://grateup.com címen.

A Tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendelete („GDPR”) és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) alapján készült. A Tájékoztató bármikor elérhető a https://grateup.com/privacy címen.

Adatkezelő:
TeleOptimum Kft.
Székhely: 7700 Mohács, Gólya utca 5.
Cégjegyzékszám: 02 09 080015
Adószám: 23436686-2-02 · EU adószám: HU23436686
Adatvédelmi email: privacy@grateup.com
Általános email: info@grateup.com
Telefon: +36 20 514 5439
Tárhelyszolgáltató: Contabo GmbH, Aschauer Straße 32a, 81549 München, Germany

II. Értelmező fogalmak

Érintett / Felhasználó: Azonosított vagy azonosítható természetes személy, akinek személyes adatait az Adatkezelő kezeli.
Személyes adat: Az érintettre vonatkozó bármely információ, amely alapján az érintett azonosított vagy azonosítható (GDPR 4. cikk (1)).
Hozzájárulás: Az érintett akaratának önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű kinyilvánítása (GDPR 4. cikk (11)).
Adatkezelő: Az a természetes vagy jogi személy, aki a személyes adatok kezelésének céljait és eszközeit meghatározza — TeleOptimum Kft.
Adatkezelés: A személyes adatokon végzett bármely művelet (gyűjtés, rögzítés, tárolás, megváltoztatás, lekérdezés, felhasználás, közlés, törlés stb.).
Adatfeldolgozó: Az a természetes vagy jogi személy, aki az Adatkezelő nevében személyes adatokat kezel.
Címzett: Az a természetes vagy jogi személy, akivel a személyes adatot közlik.
Harmadik ország: Az Európai Gazdasági Térségen (EGT) kívüli ország.

III. Az adatkezelés alapelvei

A személyes adatokat a következő elvek szerint kezeljük (GDPR 5. cikk):

Jogszerűség, tisztességesség, átláthatóság — Az adatokat jogszerűen, tisztességesen és átlátható módon kezeljük.
Célhoz kötöttség — Az adatgyűjtés meghatározott, egyértelmű és jogszerű célból történik.
Adattakarékosság — Csak a cél szempontjából szükséges adatokat gyűjtjük.
Pontosság — Az adatokat pontosan és naprakészen tartjuk.
Korlátozott tárolhatóság — Az adatokat csak a szükséges ideig tároljuk.
Integritás és bizalmasság — Az adatokat megfelelő biztonsággal kezeljük.
Elszámoltathatóság — Az Adatkezelő felelős az alapelvek betartásáért és képes azt igazolni.

IV. A Felhasználó felelőssége

Ön felelős az általa megadott adatok pontosságáért és valódiságáért. Ha más személy adatait adja meg, az érintett személy kifejezett hozzájárulásával kell rendelkeznie.
A Szolgáltatás használatához legalább 16 évesnek kell lennie. 16 év alatti személyektől tudatosan nem gyűjtünk adatot. Ha tudomásunkra jut, hogy egy felhasználó 16 év alatti, haladéktalanul töröljük fiókját és adatait.
Ön felelős bejelentkezési adatainak bizalmas kezeléséért.

V. Adatkezelési célok részletesen

5.1 Regisztráció

Jellemző	Részletek
Kezelt adatok	E-mail cím, jelszó (bcrypt hash), név, regisztráció időpontja
Jogalap	Érintett hozzájárulása / szerződés teljesítése — GDPR 6. cikk (1) a)/b)
Megőrzési idő	A fiók törléséig

5.2 Előfizetés és fizetés

Jellemző	Részletek
Kezelt adatok	Számlázási név, adószám, cím (irányítószám, város, utca), ország, számlázás típusa
Jogalap	Szerződés teljesítése — GDPR 6. cikk (1) b)
Megőrzési idő	8 év (adójogi elévülési idő)

5.3 Google Business Profile OAuth

Jellemző	Részletek
Kezelt adatok	OAuth access és refresh token (AES-256-GCM titkosítással), Google fiók/helyszín azonosítók, üzleti metaadatok
Jogalap	Szerződés teljesítése — GDPR 6. cikk (1) b)
Megőrzési idő	A Google kapcsolat bontásáig; a token azonnal törlődik lekapcsoláskor

5.4 Google vélemények

Jellemző	Részletek
Kezelt adatok	Értékelő neve, csillagszám, vélemény szövege, dátum
Jogalap	Szerződés teljesítése — GDPR 6. cikk (1) b)
Megőrzési idő	A fiók törléséig

5.5 AI válasz generálás

Jellemző	Részletek
Kezelt adatok	Vélemény szövege (továbbítva az AI szolgáltató API-jának), generált válasz
Jogalap	Szerződés teljesítése — GDPR 6. cikk (1) b)
Adatfeldolgozó	Harmadik fél AI szolgáltató, USA (SCC garanciák alkalmazásával)
Megőrzési idő	Az AI szolgáltató nem tárolja az API kéréseket; a generált válasz a fiók törléséig megőrzésre kerül

5.6 QR kártya szkennelések

Jellemző	Részletek
Kezelt adatok	IP cím, user agent, szkennelés időpontja, kártya azonosító
Jogalap	Jogos érdek — GDPR 6. cikk (1) f) (szolgáltatás működtetése, csalásmegelőzés)
Megőrzési idő	1 év

5.7 Belső visszajelzés (review gate)

Jellemző	Részletek
Kezelt adatok	Csillagszám, szöveges visszajelzés, IP cím
Jogalap	Jogos érdek — GDPR 6. cikk (1) f)
Megőrzési idő	1 év

5.8 Barion fizetés

Jellemző	Részletek
Kezelt adatok	Fizetési tranzakció adatok (kártyaadatokat kizárólag a Barion kezeli; mi soha nem tárolunk kártyaadatokat)
Jogalap	Szerződés teljesítése — GDPR 6. cikk (1) b)
Adatfeldolgozó	Barion Payment Zrt., 1117 Budapest, Irinyi J. u. 4-20. (MNB engedély: H-EN-I-1064/2013)
Megőrzési idő	8 év (adójogi elévülési idő)

5.9 Billingo számlázás

Jellemző	Részletek
Kezelt adatok	Számlázási adatok (név, cím, adószám, e-mail)
Jogalap	Jogi kötelezettség — GDPR 6. cikk (1) c) (számviteli törvény)
Adatfeldolgozó	Billingo Technologies Zrt., Budapest
Megőrzési idő	8 év (adójogi elévülési idő)

5.10 Barion Pixel

Jellemző	Részletek
Kezelt adatok	Anonimizált böngészési adatok, IP cím
Jogalap	Jogos érdek — GDPR 6. cikk (1) f) (csalásmegelőzés)
Pixel ID	BP-VBGoQ9jyoq-9B
Adatfeldolgozó	Barion Payment Zrt.

5.11 Hírlevél / értesítések

Jellemző	Részletek
Kezelt adatok	E-mail cím
Jogalap	Hozzájárulás — GDPR 6. cikk (1) a)
Megőrzési idő	A hozzájárulás visszavonásáig

5.12 Naplófájlok (log)

Jellemző	Részletek
Kezelt adatok	IP cím, user agent, kérés URL, időbélyeg
Jogalap	Jogos érdek — GDPR 6. cikk (1) f) (biztonság)
Megőrzési idő	30 nap

VI. Cookie-k (sütik)

A Szolgáltatás az alábbi cookie-kat használja:

Cookie	Cél	Típus	Időtartam
Munkamenet cookie	Felhasználói munkamenet kezelése	Szigorúan szükséges	Böngésző bezárásáig
CSRF token	Cross-site request forgery védelem	Szigorúan szükséges	Munkamenet
Barion Pixel cookie	Csalásmegelőzés (Barion kezeli)	Funkcionális	Barion kezeli
_ga, _ga_*	Google Analytics 4 — weboldal használati statisztikák	Statisztikai	2 év
Nyelvi beállítás	Kiválasztott nyelv tárolása	Funkcionális	1 év

A szigorúan szükséges cookie-k nem igényelnek hozzájárulást. A funkcionális cookie-k a Szolgáltatással való interakció alapján kerülnek beállításra. A statisztikai cookie-k (Google Analytics) a weboldal használatának megértésére szolgálnak; az adatok anonimizáltak.

VII. Adattovábbítás, adatfeldolgozók

Személyes adatokat kizárólag az alábbi adatfeldolgozóknak továbbítunk, a fent leírt célok érdekében:

Adatfeldolgozó	Cél	Székhely	Garanciák
Harmadik fél AI szolgáltató	AI tartalom generálás	USA	Standard Contractual Clauses (SCC)
Barion Payment Zrt.	Fizetési szolgáltató	1117 Budapest, Magyarország	MNB felügyelet
Billingo Technologies Zrt.	Számlázás	Budapest, Magyarország	EU
Contabo GmbH	Tárhelyszolgáltatás	München, Németország	EU
Google LLC	Google Business Profile API	Mountain View, CA, USA	Standard Contractual Clauses (SCC)

Az Egyesült Államokba történő adattovábbítás esetén (Google, AI szolgáltatók) az Európai Bizottság által elfogadott általános szerződési feltételek (SCC) biztosítják a GDPR V. fejezete szerinti megfelelő szintű védelmet.

VIII. Adatbiztonság

Megfelelő technikai és szervezeti intézkedéseket alkalmazunk az Ön személyes adatainak védelme érdekében:

Minden adatátvitelt TLS 1.2+ titkosítás véd.
Az OAuth tokeneket AES-256-GCM titkosítással tároljuk.
A jelszavakat bcrypt hash-sel tároljuk (soha nem sima szövegként).
CSRF védelem minden állapotváltozást okozó kérésnél.
A szerver hozzáférés kizárólag SSH kulcsos hitelesítéssel lehetséges.
Rendszeres automatikus biztonsági mentéseket végzünk.

IX. Az Érintett jogai

A GDPR alapján az alábbi jogok illetik meg Önt személyes adataival kapcsolatban:

Hozzáférés joga (15. cikk) — Kérheti az Önről tárolt összes személyes adat másolatát.
Helyesítés joga (16. cikk) — Kérheti a pontatlan adatok javítását.
Törlés joga („elfeledtetéshez való jog”) (17. cikk) — Kérheti adatai törlését, a jogszabályi megőrzési kötelezettségek figyelembevételével.
Az adatkezelés korlátozásának joga (18. cikk) — Bizonyos feltételek mellett kérheti az adatkezelés korlátozását.
Adathordozhatóság joga (20. cikk) — Kérheti adatait strukturált, géppel olvasható formátumban.
Tiltakozás joga (21. cikk) — Tiltakozhat a jogos érdeken alapuló adatkezelés ellen.
Hozzájárulás visszavonásának joga (7. cikk (3)) — Ahol az adatkezelés hozzájáruláson alapul, azt bármikor visszavonhatja, anélkül, hogy ez érintené a visszavonás előtti adatkezelés jogszerűségét.

Jogai gyakorlásához forduljon hozzánk a privacy@grateup.com címen. 30 napon belül válaszolunk.

X. Jogorvoslat

Ha úgy ítéli meg, hogy jogai sérültek, az alábbi lehetőségek állnak rendelkezésére:

Közvetlenül megkereshet bennünket: privacy@grateup.com.
Panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Honlap: naih.hu
E-mail: ugyfelszolgalat@naih.hu
Bírósági jogorvoslattal élhet az Ön lakóhelye szerinti illetékes bíróságnál.

XI. Módosítások

A Tájékoztatót időről időre frissíthetjük. Lényeges, az Ön jogait érintő változásokról e-mailben értesítjük legalább 15 nappal a hatálybalépés előtt. A mindenkori hatályos változat elérhető a https://grateup.com/privacy címen.

XII. Hatálybalépés

Jelen Adatkezelési Tájékoztató 2026. április 10-én lép hatályba.