Adatvédelmi
tájékoztató.
Tartalom
- Adatkezelő (cég adatai)
- A tájékoztató hatálya
- Az adatkezelés céljai és jogalapjai
- Kezelt adatok köre
- Adatok megőrzési ideje
- Adatfeldolgozók (alvállalkozók)
- Harmadik országokba történő adattovábbítás
- Adatbiztonsági intézkedések
- Az érintett jogai
- Panaszjog (NAIH)
- Cookie-k és helyi tárolás
- Kapcsolat az adatkezelővel
- Módosítások
01Adatkezelő
A jelen tájékoztató szerinti adatkezelő:
Az adatkezelő külön adatvédelmi tisztviselőt (DPO) nem nevezett ki, mert az adatkezelés mértéke nem éri el a GDPR 37. cikkében meghatározott küszöböt. Adatvédelmi kérdésekkel közvetlenül a fenti elérhetőségeken keresztül lehet kapcsolatba lépni.
02A tájékoztató hatálya
Ez a tájékoztató a Replyo szolgáltatás (replyo.hu, api.replyo.hu, admin.replyo.hu, és kapcsolódó aldomainek) használatával összefüggő személyes adatok kezelésére vonatkozik. A szolgáltatás magában foglalja:
- A nyilvános marketing oldal (replyo.hu) látogatóit
- A regisztrált Replyo-előfizetőket (cégek, akik AI chat-et használnak a saját weboldalukon)
- A Replyo-t használó weboldalak látogatóit (akik a chat-tel kommunikálnak)
- A kapcsolati űrlap kitöltőit
A jelen tájékoztató a hatályos jogszabályok, különösen az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Infotv.) szerint készült.
03Az adatkezelés céljai és jogalapjai
| Cél | Jogalap (GDPR 6. cikk) |
|---|---|
| Kapcsolati űrlap kezelése, ajánlat-előkészítés | (1) b) szerződés előkészítése |
| Szolgáltatás nyújtása, számlázás, ügyfél-támogatás | (1) b) szerződés teljesítése |
| Számla kiállítása, könyvelési kötelezettség | (1) c) jogi kötelezettség (2007. évi CXXVII. tv., 2000. évi C. tv.) |
| AI chat üzenetek feldolgozása (válaszadás) | (1) b) szerződés teljesítése — a chat-et használó cég oldalán |
| Visszaélések kivédése, rate-limit, biztonság | (1) f) jogos érdek |
| Hibák, naplók kezelése | (1) f) jogos érdek |
| Direkt marketing (hírlevél) — csak külön hozzájárulás esetén | (1) a) hozzájárulás |
04Kezelt adatok köre
Kapcsolati űrlap (replyo.hu/#contact)
- Vezetéknév, keresztnév
- Email cím
- Telefonszám (opcionális)
- Üzenet szövege
- Időpont, IP cím (visszaélés-kivédés céljából)
- Adatvédelmi nyilatkozat elfogadásának ténye
Replyo-előfizetők (a chat-et megrendelő cégek)
- Cégnév, számlázási név, kapcsolattartó email
- Adószám, számlázási cím (céges előfizetés esetén)
- Weboldal URL
- SimplePay által visszaadott kártya-azonosító (csak az utolsó 4 szám + lejárat — kártyaadatokat NEM tárolunk)
- AI használati statisztikák (token-szám, költség, dátum)
- Számlázási előzmények, Billingo-azonosítók
A Replyo-t használó weboldalak látogatói (chat-felhasználók)
- A chat-be írt üzenet szövege (feldolgozás céljából, az OpenAI API-n keresztül)
- Session azonosító (böngésző-oldali, anonim, kb. 1 órán át tárolt)
- IP cím hash-elt formában (12-karakteres SHA-256 prefix — vissza nem fejthető, csak agreggálható azonosításra)
- User-Agent (böngésző-típus, eszköz)
- Időbélyeg
- Ha a látogató maga megadja: email, telefon (lead-rögzítéshez — a megrendelő cég számára továbbítjuk)
05Adatok megőrzési ideje
| Adattípus | Megőrzési idő |
|---|---|
| Kapcsolati űrlap kitöltése (ha nem köttetik szerződés) | Beérkezéstől számított 2 év, utána törlés |
| Szerződéses előfizetői adatok | Szerződés megszűnése + 5 év (Ptk. szerinti elévülés) |
| Számlázási adatok, kiállított számlák | 8 év (számviteli tv. 169. §) |
| AI chat üzenetek átirata (a megrendelő admin felületén) | Maximum 90 nap, utána automatikus törlés |
| Hash-elt IP címek (rate-limit log) | 7 nap, utána automatikus törlés |
| Hibanaplók (server logs) | 30 nap |
| Direkt marketing email cím (ha hozzájárulás) | Hozzájárulás visszavonásáig |
06Adatfeldolgozók
Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe a szolgáltatás nyújtásához. Mindegyikkel adatfeldolgozói szerződés (GDPR 28. cikk) áll fenn:
| Adatfeldolgozó | Tevékenység | Adat helye |
|---|---|---|
| OpenAI Ireland Ltd. | AI chat válaszgenerálás (Business API tier — beszélgetések NEM mennek modell-tanításba) | EU / USA (Standard Contractual Clauses) |
| OTP Mobil Kft. (SimplePay) | Bankkártyás fizetés, recurring debit, PCI DSS Level 1 | Magyarország |
| Billingo Technologies Zrt. | Számlakibocsátás, NAV adatszolgáltatás | Magyarország |
| Rackhost Zrt. | Szerver-hosting (VPS), hálózati infrastruktúra | Magyarország (Szeged) |
| Google LLC (Fonts CDN) | Webfont-szolgáltatás (csak IP + User-Agent kerül átadásra) | EU / USA (DPF) |
07Harmadik országokba történő adattovábbítás
Az OpenAI API esetén előfordulhat, hogy a chat-üzenetek feldolgozása az Egyesült Államokban található szervereken történik. Az adattovábbítás jogalapja az Európai Bizottság által elfogadott Standard Contractual Clauses (általános szerződési feltételek, GDPR 46. cikk (2) c)), valamint az OpenAI Ireland Ltd. mint EU-s leányvállalat által biztosított GDPR-megfelelőség.
Az OpenAI Business / Enterprise API tier szerint a beadott adatok NEM kerülnek felhasználásra modell-tanításra, és 30 napon belül törlésre kerülnek (kivéve, ha jogi okból megőrzendők).
08Adatbiztonsági intézkedések
- Titkosított adatátvitel: minden kapcsolat HTTPS (TLS 1.2+) protokollal védett
- Hozzáférés-kontroll: az admin felület felhasználónév + erős jelszó + HMAC-aláírt session cookie kombinációval védett
- Titkos kulcsok: az OpenAI API kulcsok, SimplePay merchant secret, Billingo API kulcs a szerver-oldali környezetben titkosítva tárolva
- Bankkártya-adatok: kizárólag a SimplePay PCI DSS Level 1 tanúsított rendszerében; mi csak egy hivatkozó tokent kapunk
- Rate-limiting: visszaélés-kivédés minden publikus endpoint-on
- Audit napló: minden admin tevékenység, API-kulcs változás, prompt-szerkesztés naplózva
- Mentés: napi automatikus biztonsági mentés a kritikus adatokról
- Adatvédelmi incidens kezelés: tudomásszerzéstől számított 72 órán belül NAIH-felé bejelentés, az érintettek értesítése
09Az érintett jogai
A GDPR 15-22. cikke alapján az érintett az alábbi jogokkal élhet:
- Hozzáférési jog (15. cikk) — másolatot kérhetsz a rólad tárolt személyes adatokról
- Helyesbítéshez való jog (16. cikk) — pontatlan adatokat kijavíthatsz / kijavíttathatsz
- Törléshez való jog (17. cikk, „elfeledtetéshez való jog") — a jogszabályi megőrzési idő letelte után kérheted az adataid törlését
- Adatkezelés korlátozásához való jog (18. cikk)
- Adathordozhatósághoz való jog (20. cikk) — strukturált, géppel olvasható formában elkérheted az adataid
- Tiltakozáshoz való jog (21. cikk) — jogos érdeken alapuló adatkezelés ellen, valamint közvetlen üzletszerzés ellen
- Hozzájárulás visszavonása (7. cikk (3)) — hozzájáruláson alapuló adatkezelést bármikor visszavonhatod
- Automatizált döntéshozatallal kapcsolatos jogok (22. cikk) — a Replyo nem hoz automatizált, érintettre vonatkozó jogi hatású döntéseket
A jogok gyakorlására irányuló kérelmedet az adatkezelő emailcímére küldheted (lásd 12. pont). Az adatkezelő 30 napon belül válaszol — összetett esetben ezt egyszer 60 nappal meghosszabbíthatja, erről értesít.
10Panaszjog (NAIH)
Ha úgy érzed, hogy az adatkezelő jogszerűtlenül kezeli a személyes adataidat, panasszal fordulhatsz a Nemzeti Adatvédelmi és Információszabadság Hatósághoz:
Az érintett bírósághoz is fordulhat lakóhelye vagy tartózkodási helye szerinti törvényszéken.
12Kapcsolat az adatkezelővel
Adatvédelmi kérdésekkel, kérelmekkel keress minket az alábbi elérhetőségeken:
13Módosítások
Az adatkezelő fenntartja a jogot a jelen adatvédelmi tájékoztató egyoldalú módosítására. A módosított verzió a közzétételtől számított 15 napos türelmi idővel lép hatályba. A módosításról az érintettek a replyo.hu oldalon közzétett értesítés útján kapnak tájékoztatást.
A korábbi verziók archívuma kérésre rendelkezésre áll.