Adatfeldolgozási Megállapodás (DPA)
Hatályos: 2026. május 13-tól · Verzió 1.0 · GDPR Art. 28 kompatibilis
Mi ez? Ha a Replyo szolgáltatást használja a weboldalán, akkor Ön (vagy a cége) az adatkezelő, mi pedig az adatfeldolgozó a látogatóinak személyes adatai vonatkozásában. A GDPR (EU 2016/679) 28. cikke alapján a két fél között írásos megállapodásnak kell léteznie — ezt a dokumentumot Ön a regisztrációval ezúton elfogadta.
1. Felek
1.1. Adatfeldolgozó (Replyo)
1.2. Adatkezelő
Az a természetes vagy jogi személy, aki a Replyo szolgáltatást használja és a weboldalába integrálta a chat widget-et. Az adatkezelő a regisztráció során megadott adatok (cégnév, székhely, képviselő, adószám) szerint azonosítható.
2. A feldolgozás tárgya
A Replyo chat asszisztens a weboldal látogatóitól a következő személyes adatokat dolgozhatja fel:
| Adat-kategória | Forrása | Cél | Megőrzés |
|---|
| Beszélgetés-tartalom (chat üzenetek) | Látogató bevitele | AI válasz előállítása, hibakeresés | 90 nap |
| Lead-adatok (email, telefon, név) | Látogató önként megadja | Kapcsolatfelvétel az érdeklődővel | Az adatkezelő törléséig |
| Anonim session ID | Sütiként/sessionStorage-ban | Beszélgetés-folytonosság ugyanazon a tab-on belül | 7 nap (localStorage TTL) |
| Hashelt IP (SHA-256) | HTTP kapcsolat | Visszaélés-szűrés, rate-limit | 30 nap |
3. Adatfeldolgozói feladatok
A Replyo a következő technikai műveleteket végzi a beérkező adatokkal:
- A chat üzenetet az OpenAI / Anthropic LLM API-jához továbbítja válasz generálásához
- A teljes beszélgetést tárolja az adatkezelő admin panel + portál hozzáférésével
- Ha a látogató vásárlási / érdeklődési szándékot mutat, lead-rögzítést végez
- Statisztikai aggregátumokat számít (kérdés-volumen, leggyakoribb kérdések, sikertelen válaszok)
4. Al-feldolgozók (sub-processors)
A Replyo a következő harmadik fél szolgáltatásokat veszi igénybe a feladat ellátásához:
| Cég | Helye | Mit dolgoz fel |
|---|
| OpenAI, OpCo, LLC | USA (EU adatküldési záradékkal) | Chat üzenet → AI válasz generálás |
| Anthropic PBC | USA (EU adatküldési záradékkal) | Chat üzenet → AI válasz (preview módban) |
| Rackhost Zrt. | Magyarország (EU) | Tárhely-szolgáltatás (szerver, adatbázis) |
| SimplePay (OTP Mobil Kft.) | Magyarország (EU) | Csak az Előfizető kártyaadatai — látogatókról nem dolgoz fel adatot |
| Billingo Hungary Kft. | Magyarország (EU) | Csak az Előfizető számlázási adatai |
Új al-feldolgozó bevonásáról a Replyo legalább 30 nappal a változás előtt értesíti az Előfizetőt. Az Előfizető kifogás esetén jogosult a Szerződést megszüntetni.
5. Adatbiztonság
A Replyo a következő technikai és szervezési intézkedéseket alkalmazza:
- TLS 1.3 titkosítás minden HTTPS forgalomon
- HMAC-SHA256 aláírt session token-ek (12 órás TTL)
- OTP-alapú portal bejelentkezés (8 karakter, 10 perc TTL, 5 próbálkozási limit)
- Path-traversal védelem minden tenant-fájl hozzáférésnél
- SSRF védelem a weboldal-feldolgozónál (privát IP-k blokkolva)
- Rate-limiting kritikus végpontokon (rate-limit per IP, per route)
- Napi automatikus backup (14 napos retenció)
- Domain lock — a chat csak az Előfizető regisztrált weboldaláról hívható
6. Az Adatkezelő (Előfizető) jogai és kötelezettségei
Az Adatkezelő a következő jogokkal rendelkezik:
- Hozzáférés: bármikor megtekinthet minden adatát a portálon (beszélgetések, leadek, számlák, billing).
- Exportálás (GDPR Art. 20): a portál Beállítások tabjából egy klikkel teljes JSON-export.
- Helyesbítés: minden tárolt adat (kapcsolat, számlázás, KB) szerkeszthető a portálon.
- Törlés (GDPR Art. 17): 30 napos visszavonási idővel teljes fiók-törlés a portálon. A 30 nap után minden adat törlődik a futó rendszerből; a backup 14 nap után teljesen elavul.
- Adatfeldolgozás korlátozása: a portál opt-out checkboxai (heti insights, KB-frissítés) tiltják a marketing-jellegű email-eket.
Az Adatkezelő köteles:
- A weboldalának látogatóit tájékoztatni (adatvédelmi tájékoztatóban) hogy chat funkció működik az oldalon és milyen adatokat dolgoz fel a Replyo.
- Cookie consent banner-t használni a weboldalán, ha a chat persistence (7 napos localStorage) aktív.
- A lead-adatok kezelését saját adatvédelmi tájékoztatójában szerepeltetni.
7. Az érintettek (látogatók) jogai
A weboldal látogatóinak jogai elsősorban az Adatkezelő (Előfizető) felé érvényesíthetők. Ha egy látogató közvetlenül a Replyo-hoz fordul (pl. törlési kérelemmel), továbbítjuk az Adatkezelőhöz és segítünk a kérelem feldolgozásában.
8. Incidens-kezelés
Adatvédelmi incidens (data breach) esetén a Replyo 72 órán belül értesíti az Adatkezelőt emailben. Az értesítés tartalmazza: az incidens jellegét, az érintett adatkörök leírását, a várható következményeket, és a megtett enyhítő intézkedéseket.
9. Megszűnés
A Szolgáltatási Szerződés megszűnésekor a Replyo:
- az Adatkezelő választása szerint visszaadja vagy törli a feldolgozott személyes adatokat;
- a portál Adatexport funkcióval önkiszolgáló módon biztosítja az adatok kinyerését;
- 30 napos visszavonási időt biztosít a törlés előtt;
- 14 napig az utolsó backup-okban őriz egy másolatot, utána az is törlődik.
10. Záró rendelkezések
A jelen DPA a Replyo Általános Szerződési Feltételeinek (ÁSZF) kiegészítő melléklete. Ellentmondás esetén a DPA rendelkezései az irányadók adatvédelmi kérdésekben.
Kérdés / panasz / kérelem: info@replyo.hu — visszaigazolást 48 órán belül kapsz.