GDPR & adatvédelem

A Replyo úgy működik, hogy egy vállalati audit-on átmenjen. Itt összefoglaljuk a kulcskérdéseket — a teljes jogi dokumentumokra linkelünk.

Mi gyűlik, hová kerül, meddig

Chat üzenetek (user szöveg + bot válasz, timestamp, IP-hash): a saját Rackhost VPS-ünkön, EU-ban, 12 hónapig. Utána automatikus törlés.
Lead adatok (email, telefon, név — ha a végfelhasználó megadja): ugyanitt, 24 hónapig vagy amíg te állítod.
Számlázási adatok (cégnév, adószám, kártya-token, last4): a SimplePay-nél (kártya), Billingo-nál (számla), nálunk a tenant.json-ban. 8 év jogszabályi megőrzés.
Audit log (admin műveletek): a saját szerverünkön, mode 0600, 24 hónapig.

Az LLM-hívások (OpenAI / Anthropic) az API-tier-en futnak — nem használják az adatot tréningre, és 30 napon belül törlik abuse-monitoring céljából.

Jogi dokumentumok

DPA — Adatfeldolgozói szerződés: a kötelezettségek a Replyo (mint adatfeldolgozó) és az ügyfél (mint adatkezelő) között.
DPIA — Data Protection Impact Assessment: GDPR 35. cikk szerinti kockázatelemzés. Vállalati compliance team szokta kérni.
SCC — Standard Contractual Clauses: az EU→USA adattovábbítás jogi alapja az OpenAI / Anthropic hívásokhoz.
Adatvédelmi tájékoztató: a végfelhasználóknak szóló közérthető verzió.

Mindegyikre tudunk elektronikus aláírt PDF változatot küldeni — írj a dpa@replyo.hu címre, 5 munkanapon belül érkezik.

Adatexport (Article 20)

Bármikor lehívhatod az összes adatodat egy ZIP-be:

Portál → Adatkezelés szekció
Teljes export letöltése gomb
Pár másodperc alatt készül egy ZIP, amiben:
- tenant.json — beállítások, brand, KB
- transcripts/*.jsonl — minden chat-beszélgetés napi bontásban
- leads/*.jsonl — a beszélgetésekből kinyert lead-ek
- payments/*.jsonl — terhelési history
- invoices/*.pdf — minden Billingo-számla

Az export 24 óráig érhető el egy aláírt linken; utána automatikusan törlődik a temp tárhelyről. Kérésenként max. 1 export / 24 óra (rate-limit).

Fiók-törlés (Article 17 — feledéshez való jog)

A fiókod teljes adattartalmával együtt törölhető. 30 napos türelmi időt biztosítunk, hogy meggondoltad eseten visszavonhasd.

Videó — 1:30

Hogyan töröld a fiókodat

Hamarosan

Lemondod a csomagot (lásd Lemondás).
Portál → Adatkezelés → Fiók törlése
30 napos türelmi idő indul. A bot azonnal lekapcsol, de az adatok még megvannak.
Ezalatt visszavonhatod (egy kattintással).
30 napos határidő után automatikus, fizikai törlés:
- tenant.json + tenant-products.json törölve
- transcripts/<tenant>-*.jsonl törölve
- leads/<tenant>.jsonl törölve
- feedback/<tenant>.jsonl, nps/<tenant>.jsonl törölve
- usage/<tenant>-*.json törölve

Mit NEM tudunk törölni Jogszabályi okból a számlákat 8 évig kötelesek vagyunk megőrizni (Billingo + a Replyo audit-log). Ez nem a chat-adatra vonatkozik, hanem a kiállított számlákra. A számlák PII-jét (cégnév, adószám, cím) viszont anonimizáljuk a tenant.json törlése után.

Süti / consent kezelés

A widget v2 cookie consent-tel jön: Functional, Analytics, Marketing külön kapcsolóval. A végfelhasználó eldöntheti, hogy a chat-beszélgetése perzisztálódjon-e a localStorage-ban (functional), a feedback gombok meglegyenek-e (analytics), és a marketing pixel-ek aktiválódjanak-e (marketing).

A consent record-ot a saját rendszered is olvashatja (cookie consent management, dashboard):

window.addEventListener('replyo:widget-consent', function (ev) {
  // ev.detail = { functional, analytics, marketing, ts }
});

Al-adatfeldolgozók (sub-processors)

A Replyo a következő szolgáltatókat veszi igénybe:

Rackhost Zrt. (HU) — VPS / tárhely
OpenAI Ireland Ltd. + USA — GPT API (SCC alapján)
Anthropic PBC (USA) — Claude API (SCC alapján)
SimplePay Zrt. (HU) — kártya-feldolgozás
Billingo Technologies Zrt. (HU) — elektronikus számlázás
Backblaze Inc. (EU region) — off-site backup
SMTP-szolgáltató — email kézbesítés

Új sub-processor bevonása előtt min. 30 nappal email-ben szólunk; kifogás esetén rendkívüli felmondás.

Adatvédelmi incidens

Ha incidens történik (jogosulatlan hozzáférés, adatszivárgás), GDPR 33. cikk szerint 72 órán belül értesítjük:

A felügyeleti hatóságot (NAIH)
A téged (mint Adatkezelőt), aki továbbítja az érintettjeidnek, ha szükséges

Az incidens-kezelési folyamatunk dokumentált — kérésre megküldjük.

Audit jog

A DPA alapján évente egyszer auditot kezdeményezhetsz nálunk (a saját ügyfélfeldolgozásod ellenőrzésére). 30 napos előzetes egyeztetéssel, munkanapokon, díjmentesen. Részletek: DPA 7. pont.

Tanulnál vizuálisan? Tovább: Videó tutorialok →