Adatkezelési tájékoztató
Figyelem: Ez a szöveg sablon alapján készült, és ügyvédi átnézésre, valamint a [KITÖLTENDŐ]-jelölésű adatok pótlására szorul a hatályba lépés előtt.
1. Az adatkezelő adatai
Adatkezelő neve: Digital Care Studio Kft.
Székhely: [KITÖLTENDŐ: székhely]
Adószám: [KITÖLTENDŐ: adószám]
Kapcsolat (adatvédelmi ügyek): [KITÖLTENDŐ: adatvedelem@hellobot.hu]
2. Az adatkezelés jogalapja és elvei
Az adatkezelés az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) alapján történik. Az adatok kezelése az alábbi jogalapokon nyugszik:
- Szerződés teljesítése (GDPR 6. cikk (1) b)): regisztráció, előfizetés kezelése, számlázás.
- Jogi kötelezettség (GDPR 6. cikk (1) c)): számviteli törvény szerinti megőrzés (8 év).
- Jogos érdek (GDPR 6. cikk (1) f)): biztonság, visszaélés-megelőzés, rate-limiting.
- Hozzájárulás (GDPR 6. cikk (1) a)): marketing e-mailek (ha a Felhasználó feliratkozott).
3. Kezelt adatok köre és célja
3.1 Regisztrált felhasználók
| Adat | Cél | Megőrzési idő |
|---|---|---|
| E-mail cím | Azonosítás, kapcsolattartás, értesítések | Fiók törlésig |
| Jelszó (hash) | Hitelesítés (Supabase Auth kezeli) | Fiók törlésig |
| Chatbot-konfiguráció, feltöltött dokumentumok | Szolgáltatás nyújtása | Fiók törlésekor azonnal |
| Számlázási adatok (név, cím, adószám) | Számlakiállítás | 8 év (számviteli törvény) |
| Előfizetési és fizetési előzmények | Számlázás, support | 8 év (számviteli törvény) |
| Bejelentkezési napló (időbélyeg, IP-cím) | Biztonság, visszaélés-megelőzés | 90 nap |
3.2 Chat-látogatók (a bot végfelhasználói)
| Adat | Cél | Megőrzési idő |
|---|---|---|
| Chat-üzenetek (kérdések és válaszok) | Bot válasz generálása; a bot tulajdonosa láthatja az előzményeket | [KITÖLTENDŐ: pl. 90 nap vagy a bot tulajdonosa törléséig] |
| Session-azonosító (localStorage, 7 nap) | Chatbeszélgetés folytonosságának biztosítása | 7 nap (böngészőben tárolt) |
| IP-cím (csak hash-elt formában, memóriában) | Visszaélés-megelőzés (rate-limiting) | Kérés teljesítésekor törlődik; nem kerül adatbázisba |
A chat-látogatók személyazonossága önmagában nem kerül azonosításra. Az IP-cím kizárólag egyirányú hash formájában, memóriában él a rate-limiting időablakáig, és nem kerül sem adatbázisba, sem naplóba.
4. Adatfeldolgozók
Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe (az adatok harmadik feleknek nem adja el, és nem adja át direktmarketing célra):
| Adatfeldolgozó | Cél | Helyszín |
|---|---|---|
| Supabase Inc. | Adatbázis (Postgres), fájltároló, hitelesítés | EU adatközpont (Frankfurt) |
| Anthropic PBC | AI válasz generálása — a feltöltött dokumentum-részletek és chat-üzenetek a kérés feldolgozásához kerülnek továbbításra | USA (SCCs alapján) |
| OpenAI, L.L.C. | AI funkciók (pl. szöveg-vektorizálás) — ugyanúgy részletek kerülnek továbbításra | USA (SCCs alapján) |
| Barion Payment Zrt. | Bankkártyás fizetés feldolgozása | Magyarország |
| Billingo Technologies Zrt. | E-számla kiállítása | Magyarország |
| Hostinger International Ltd. | E-mail küldés (SMTP), webtárhely | EU |
| Functional Software Inc. (Sentry) | Hibakövetés — kizárólag technikai adatok, személyes adat nélkül (erre a Sentry SDK konfigurálva van) | USA (SCCs alapján) |
5. Harmadik országokba történő adattovábbítás
Az Anthropic, OpenAI és Sentry USA-ban székelnek. Az adattovábbítás az EU–USA Standard Contractual Clauses (SCCs) alapján, az érvényes adatvédelmi keretrendszer szerint történik. A chat-üzenetek és dokumentum-részletek kizárólag a válasz generálásához szükséges mértékben kerülnek továbbításra, és az API-hívások után a szolgáltatók nem tárolják azokat (lásd az egyes szolgáltatók adatfeldolgozói feltételeit).
6. Az érintett jogai
Az érintett (regisztrált felhasználó) az alábbi jogokkal rendelkezik:
- Hozzáférési jog (GDPR 15. cikk): betekintés a kezelt adatokba — Beállítások → Adataim exportálása menüpont.
- Helyesbítési jog (GDPR 16. cikk): téves adatok javítása — Beállítások menüpontban önkiszolgálóan.
- Törlési jog (GDPR 17. cikk): fiók és adatok törlése — Beállítások → Fiók törlése menüpont; a törlés azonnal és visszavonhatatlanul hatályos (kivéve a számviteli törvény által előírt 8 éves megőrzési kötelezettség alá eső számlák).
- Adathordozhatósági jog (GDPR 20. cikk): JSON formátumú export — Beállítások → Adataim exportálása.
- Tiltakozási jog (GDPR 21. cikk): jogos érdek alapján végzett adatkezelés ellen tiltakozhat; a kérésre 30 napon belül válaszolunk.
- Panasz benyújtásának joga: a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH; naih.hu; 1055 Budapest, Falk Miksa u. 9-11.).
7. Adatbiztonság
Az adatok tárolása TLS/SSL titkosított kapcsolaton keresztül történik. A Supabase adatbázis Row Level Security (RLS) védelemmel ellátott — minden felhasználó kizárólag a saját adataihoz fér hozzá. A BYOK csomag esetén a saját API-kulcsok titkosítva kerülnek tárolásra (AES-256); ezek naplókba soha nem kerülnek, és kliensoldalra soha nem kerülnek visszaküldésre.
8. Sütik (cookie-k)
A HelloBot kizárólag a működéshez szükséges sütiket és localStorage-bejegyzéseket használ (részletesen: Cookie-szabályzat). Marketing, analitika vagy hirdetési célú süti, harmadik feles nyomkövetés nem alkalmazott.
9. A tájékoztató módosítása
Az adatkezelő fenntartja a jogot jelen tájékoztató módosítására. A lényeges változásokról e-mailben értesíti az érintetteket; a módosítás az értesítéstől számított 30 nap múlva lép hatályba.
Hatályos: [KITÖLTENDŐ: dátum]