Adatvédelmi Hatásvizsgálat
Data Protection Impact Assessment (DPIA) — GDPR 35. cikk
Verzió 1.0 · Hatályos: 2026. május 13-tól · Következő felülvizsgálat: 2027. május
Ez a dokumentum a Replyo szolgáltatás (a továbbiakban: Szolgáltatás) működésével kapcsolatos személyes adatkezelések kockázat-arányos elemzését tartalmazza, a GDPR (Általános Adatvédelmi Rendelet, EU 2016/679) 35. cikkének elvárásai szerint. Vállalati ügyfelek (Adatkezelők) számára ezt használhatják belső compliance dokumentációhoz vagy a saját DPIA-juk Replyo-vonatkozású részeként.
1. Rendszerleírás
A Replyo egy SaaS jellegű, AI-alapú chat-asszisztens, amelyet az ügyfél a saját weboldalába egy JavaScript widget beillesztésével integrál. A widget a weboldal látogatóinak (a továbbiakban: végfelhasználók) kérdéseire valós időben válaszol az ügyfél által biztosított tudásbázis alapján.
Adatkezelő: az ügyfél (a Replyo-t a saját weboldalán használja)
Adatfeldolgozó: Csapó Ádám László EV. (Replyo)
Al-adatfeldolgozók: OpenAI Ireland Ltd., Anthropic PBC, Rackhost Zrt., SimplePay Zrt., Billingo Technologies Zrt., SMTP-szolgáltató (lásd DPA)
Adatkezelés célja: ügyfélszolgálati chat, lead-rögzítés, számlázás
Adatkezelés jogalapja: hozzájárulás (GDPR 6.1.a) + szerződéses kötelezettség (6.1.b) + jogos érdek (6.1.f)
Architektúra rövid összefoglaló
- A widget HTTPS-en (TLS 1.2+) kommunikál az api.replyo.hu endpoint-tal.
- Az üzenetek a backendre érkeznek, ahol egy LLM (OpenAI vagy Anthropic) választ generál a tudásbázis kontextusban.
- A beszélgetés-naplók (transcripts) az ügyfél admin-panelén jelennek meg; tárolás napi tarball-backupokba kerül.
- Az adatok tárolóhelye az EU területén lévő Rackhost VPS (Magyarország).
- A LLM hívások az OpenAI / Anthropic API tier-jét érintik, ahol nincs training a beérkező adatból (lásd SCC).
2. Az adatkezelés szükségessége és arányossága
A chat-asszisztens működtetése a végfelhasználó kérdésének és kontextusának feldolgozása nélkül technikailag nem lehetséges. Az adatkezelés a következő alapelvek mentén történik:
- Adattakarékosság (5.1.c): csak a chat lebonyolításához szükséges üzenet-szöveg + technikai metaadatok (timestamp, session-azonosító, IP-hash).
- Célhoz kötöttség (5.1.b): a beszélgetésekből kinyert adatok kizárólag a Szolgáltatás működtetésére, javítására (KB-javaslat) és számlázásra használhatók.
- Korlátozott tárolás (5.1.e): beszélgetések 12 hónapig, ezt követően automatikus törlés.
- Integritás és titoktartás (5.1.f): TLS, mode 0600 fájlok, HMAC session tokenek, CSRF-védelem.
A személyes adatok feldolgozása arányos a Szolgáltatás céljához: a chatbotnak a végfelhasználó kérdésére kell válaszolnia, ami szükségszerűen feltételezi a kérdés feldolgozását. Alternatíva: a végfelhasználó a hagyományos email-támogatást használja (ezt megtartjuk, nem kényszerítjük a chat-használatot).
3. Az érintett adatok és érintettek köre
| Adatkategória | Példa | Forrás | Megőrzés |
|---|
| Chat üzenet tartalma |
A végfelhasználó által beírt szöveg + a bot válasza |
A widget input mezője |
12 hónap, majd auto-törlés |
| Technikai metaadatok |
IP-hash (SHA-256, 12 karakter prefix), User-Agent, timestamp |
HTTP fejléc |
12 hónap (transcripts-szel együtt) |
| Lead-adatok |
Email, telefon, név — ha a végfelhasználó megadja |
Chat-beszélgetés vagy lead-form |
Az ügyfél által beállított retenció, default 24 hó |
| Számlázási adatok (ügyfél) |
Cégnév, adószám, számlázási cím, kártya-token, last4 |
Signup form |
8 év (jogszabályi kötelem) |
| Sentiment-jelzés |
"frustrated/positive/neutral" — regex alapján |
Származékos (üzenet-szövegből) |
A beszélgetéssel együtt törlődik |
Érintettek
- Az ügyfél (Adatkezelő) végfelhasználói — a weboldal-látogatók, akik a chat-tel beszélnek.
- Az ügyfél képviselői — a portal/admin felület használói (név, email, IP).
- Leadek — azok a végfelhasználók, akik a beszélgetésben megadtak kontaktadatot.
Különleges kategóriájú adatok
A Replyo nem dolgoz fel különleges kategóriájú (egészségügyi, politikai, vallási, biometrikus stb.) adatokat. Ha a végfelhasználó ilyet ír a chatbe, a rendszer technikailag tárolja, de az ügyfélnek (Adatkezelőnek) kötelessége a tájékoztatóban szerepeltetni ezt a lehetőséget. Az ÁSZF tiltja a Replyo szándékos felhasználását egészségügyi diagnosztikára vagy hasonló tevékenységre.
4. Adatfolyam
A személyes adatok útja vázlatosan:
- Végfelhasználó beír egy kérdést a widget-be (HTTPS, TLS 1.2+).
- A kérés a api.replyo.hu Fastify backendre érkezik (Rackhost VPS, EU).
- A backend a tudásbázis kontextusát összeállítja, és a kérdést átküldi az OpenAI / Anthropic API tier-jének (Írország / USA). Training-re nem kerül.
- Az LLM válasza a backendre érkezik vissza, onnan stream-elve a widget-be.
- A teljes párbeszéd (user+bot) egy JSON Lines fájlba ír be (transcripts/), mode 0600.
- Napi backup → off-site (Backblaze B2, EU régió, AES-256, verzionált).
- 12 hó után az automatikus housekeeping cron törli a régi transcript-fájlokat.
5. Kockázat-azonosítás
| Kockázat | Valószínűség | Hatás | Bruttó kockázat |
|---|
| Cross-tenant adatkilátás (egyik ügyfél a másikét látja) |
Alacsony |
Magas |
KÖZEPES |
| LLM hallucinálás → félrevezető válasz |
Közepes |
Alacsony–közepes |
KÖZEPES |
| Prompt-injection (rosszindulatú user-tartalom) |
Közepes |
Közepes |
KÖZEPES |
| Adattovábbítás USA-ba (OpenAI/Anthropic) |
Magas |
Alacsony–közepes |
KÖZEPES |
| Admin jelszó kiszivárgás / brute-force |
Alacsony |
Magas |
KÖZEPES |
| Backup / restore visszaállítás kiszivárogtatja a régi adatokat |
Alacsony |
Közepes |
ALACSONY |
| Disk failure → adatvesztés |
Alacsony |
Magas |
KÖZEPES |
| Session token eltérítés (XSS / CSRF) |
Alacsony |
Magas |
KÖZEPES |
| A végfelhasználó akaratlanul PII-t ír a chat-be |
Magas |
Alacsony |
ALACSONY |
| Számlázási kártya-token visszaélés |
Nagyon alacsony |
Magas |
ALACSONY |
6. Védelmi intézkedések
Technikai intézkedések
- Tenant-szigetelés: minden REST-endpoint
isSafeTenantId regex-szel validál, az LLM-prompt sentinel-elválasztókkal védi az ügyfél-kontextust.
- HMAC session tokenek (12h TTL, base64url payload + SHA-256 sig). Külön
ADMIN_SESSION_SECRET és PORTAL_SESSION_SECRET, 90 naponta rotálandó.
- CSRF védelem double-submit pattern (X-CSRF-Token vs. HMAC-derived cookie hash) minden state-changing endpoint-on.
- CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Permissions-Policy minden HTML-response-on.
- Prompt-injection védelem: a feltöltött user-tartalom sentinel-elválasztókba van wrap-elve, regex-szel kiszűrjük az "Ignore previous instructions"-szerű mintákat.
- Rate-limit: minden public endpoint-on (3/s csúcs, IP+session alapú).
- Cloudflare Turnstile CAPTCHA a signup és OTP endpoint-okon.
- HTTPS-only Traefik redirect-to-https minden routerre; TLS 1.2+, certResolver Let's Encrypt.
- Fájlrendszer izoláció: minden tenant-érintett fájl mode 0600, az admin-audit log append-only.
- IP-hash SHA-256 első 12 karakter — a transcript-tárolásban nem őrződik nyers IP.
Szervezési intézkedések
- Backup: napi tarball + off-site (Backblaze B2, EU, verzionált, retention 30 nap).
- Disaster Recovery (DR): ha a VPS megsemmisül, a backup-tarball-ból új VPS-re 2 óra alatt visszaállítható.
- Sentry error tracking (DSN-gated, PII-redactor) — ismeretlen hibák nem maradnak a logban.
- Audit log (config/admin-audit.jsonl, mode 0600): minden admin művelet rögzítve.
- Health alert: ha a /healthz figyelmeztetést jelez (régi backup, nem futó cron, disk-tele), email az adminnak.
- Felelős sebezhetőség-bejelentés: security.html +
/.well-known/security.txt.
- Secret rotation reminders: 90 naponta automatikus emlékeztető (admin password, session secret-ek, LLM-key).
- Unit + integration tesztek a billing state-machine-re, auth-ra, coupon-redeem-re.
- Munkavállalói titoktartás: a Szolgáltató jelenleg egyszemélyes vállalkozás; külsős fejlesztő bevonás esetén titoktartási nyilatkozat (NDA).
7. Maradék kockázat
A fenti intézkedésekkel az összes azonosított kockázat ALACSONY vagy KÖZEPES szintre csökken. Nincs MAGAS kockázatú maradék elem, amely a 36. cikk szerinti felügyeleti hatóság előzetes konzultációját tenné szükségessé.
Az egyetlen tudatosan elfogadott maradék kockázat: az OpenAI / Anthropic API-hívások az USA-t is érintik. Erre a kockázatra a SCC (Standard Contractual Clauses) appendix nyújt jogi alapot — kötelező szerződéses standardklauzulák szerint történik az adattovábbítás.
8. Konzultáció és felülvizsgálat
- DPO konzultáció: a Szolgáltató méretéből adódóan nincs kötelező DPO; a Szolgáltató kapcsolódó kérdésekben szakmai segítséget bevon (külső jogász).
- Érintettek konzultálása: a felhasználói visszajelzéseket az info@replyo.hu címen fogadjuk; rendszeres jelzések alapján 6 havonta felülvizsgáljuk a DPIA-t.
- Felülvizsgálat: évente, vagy ha (a) új al-adatfeldolgozó bekerül, (b) új adatkategória bevezetése történik, (c) jogszabály-változás történik.
- Verziókezelés: a verzió a fejlécen, korábbi verziók kérésre. Lényeges változások esetén az ügyfeleket emailben értesítjük.
Letöltés vállalati compliance-hez: ezt a HTML-oldalt PDF formátumban a böngésződ "Nyomtatás → Mentés PDF-be" funkciójával készítheted. Aláírt változatot az
dpa@replyo.hu címen kérhetsz, 5 munkanapon belül érkezik.
Kapcsolódó dokumentumok: Adatfeldolgozói szerződés (DPA) · SCC appendix · Adatvédelmi tájékoztató · ÁSZF · Biztonsági politika