Adatkezelési Tájékoztató

Hatályos: 2026. április 9. · Verzió: 1.0
Az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (GDPR) 13-14. cikke alapján
Kiegészítve a 2011. évi CXII. törvény (Infotv.) és az (EU) 2024/1689 rendelet (AI Act) előírásaival

1. Az adatkezelő megnevezése

Adatkezelő neve: Dobó Imre egyéni vállalkozó
Székhely: 4029 Debrecen, Hajnal utca 14. 2/13.
Adószám: 53669401-1-29
E-mail: hello@smartbot.hu
Telefon: +36 30 609 5404
Weboldal: https://smartbot.hu

Az Adatkezelő adatvédelmi tisztviselőt (DPO) nem jelölt ki, tekintettel arra, hogy tevékenysége nem tartozik a GDPR 37. cikkében meghatározott kötelező kijelölési esetkörbe.

2. Az adatkezelés áttekintése

A SmartBot.hu személyes AI asszisztens szolgáltatás, amely adminisztrációs feladatok ellátását segíti mesterséges intelligencia alkalmazásával. A szolgáltatás működéséhez személyes adatok kezelése szükséges. Jelen tájékoztató célja, hogy a GDPR 12. cikkének megfelelően tömör, átlátható, érthető és könnyen hozzáférhető formában ismertesse az adatkezelés részleteit.

3. Adatkezelési tevékenységek részletes leírása

3.1. Regisztráció és fiókkezelés

Adat	Cél	Jogalap	Megőrzés
Név, e-mail cím	Fiók létrehozása, azonosítás, kapcsolattartás	Szerződés teljesítése (6(1)b)	Fiók törlésig
Jelszó (bcrypt hash, 12 round)	Hitelesítés	Szerződés teljesítése (6(1)b)	Fiók törlésig
Google ID, avatar URL	Google-fiókkal történő bejelentkezés	Hozzájárulás (6(1)a)	Fiók törlésig v. visszavonásig
2FA adatok (TOTP secret – AES-256-GCM titkosítva, backup kódok – bcrypt hash)	Fiók biztonsága, kétfaktoros hitelesítés	Hozzájárulás (6(1)a)	2FA kikapcsolásig

3.2. Fizetés és számlázás

Adat	Cél	Jogalap	Megőrzés
E-mail, csomag típus, Stripe ügyfél-azonosító	Előfizetés kezelése, díjak beszedése	Szerződés teljesítése (6(1)b)	Számviteli kötelezettség: 8 év
Bankkártya adatok	Fizetésfeldolgozás	Szerződés teljesítése (6(1)b)	Kizárólag a Stripe tárolja — a SmartBot nem fér hozzá
Számlázási adatok (név, cím, adószám)	Számla kiállítása (Billingo)	Jogi kötelezettség (6(1)c) — Áfa tv., Szt.	8 év (2000. évi C. tv.)

3.3. AI chat beszélgetések

Adat	Cél	Jogalap	Megőrzés
Üzenetek tartalma, időbélyeg	AI asszisztens szolgáltatás nyújtása	Szerződés teljesítése (6(1)b)	Felhasználó törlésig, de legfeljebb fiók inaktívvá válásától 1 év
Üzenet tartalom → cloud AI modell (USA)	AI válasz generálás (cloud modellnél)	Hozzájárulás (6(1)a) + GDPR 49(1)a – kifejezett hozzájárulás harmadik országba továbbításhoz	Ollama nem őrzi meg a feldolgozás után
Token felhasználás (modell, provider, token szám, becsült költség)	Használat mérése, költségszámítás, kvóta kezelés	Jogos érdek (6(1)f)*	Fiók törlésig
Session adatok (gateway – JSONL transcript)	Valós idejű AI kommunikáció fenntartása	Szerződés teljesítése (6(1)b)	Automatikus törlés: 30 nap
Memória index (SQLite, embedding)	Az AI asszisztens kontextuális emlékezete	Szerződés teljesítése (6(1)b)	Fiók törlésig

* Érdekmérlegelési teszt a jogos érdek jogalaphoz (token tracking): Az Adatkezelő jogos érdeke a szolgáltatás használatának mérése a kvóták kezelése, számlázás és a rendszer optimalizálása érdekében. Az érintett érdekei: az adatok nem személyes jellegűek (token számok, modell nevek), nem alkalmasak az érintett profilalkotására. Az érintett jogai nem sérülnek aránytalanul, tekintettel arra, hogy az adatok technikai jellegűek és az érintett számára közvetlen előnnyel járnak (használati statisztikák megtekintése). Eredmény: az Adatkezelő jogos érdeke elsőbbséget élvez.

3.4. Integrációk

Adat	Cél	Jogalap	Megőrzés
API kulcsok, OAuth tokenek (AES-256-GCM titkosítva)	Harmadik fél szolgáltatások összekapcsolása (Google Calendar, Billingo, Telegram stb.)	Hozzájárulás (6(1)a)	Integráció törléséig
Automatizációs naplók (status, output, error)	Automatizált feladatok futtatása, hibaelhárítás	Jogos érdek (6(1)f)	Fiók törlésig
API hívás naplók (method, path, statusCode)	Hibakeresés, teljesítmény-monitorozás	Jogos érdek (6(1)f)	90 nap

3.5. Jogi elfogadások nyomon követése

Adat	Cél	Jogalap	Megőrzés
Felhasználó azonosító, IP cím, böngésző (user agent), elfogadás időpontja	ÁSZF és Adatkezelési Tájékoztató elfogadásának dokumentálása, elszámoltathatóság	Jogi kötelezettség (6(1)c) — GDPR 7(1) cikk	A jogviszony fennállása + 5 év

3.6. Weboldal analitika és marketing (smartbot.hu)

Adat	Cél	Jogalap	Megőrzés
IP cím, böngésző típus, látogatási adatok, oldalmegtekintések	Weboldal látogatottsági statisztikák (Google Analytics GA4)	Hozzájárulás (6(1)a)	Google: 14 hónap (alapértelmezett)
IP cím, böngésző adatok, kattintási adatok	Hirdetési kampányok mérése, konverziókövetés (Facebook Pixel)	Hozzájárulás (6(1)a)	Meta: max. 180 nap
IP cím	Google Fonts betöltése (tipográfia)	Jogos érdek (6(1)f)	Google nem őrzi meg

A Google Analytics és Facebook Pixel sütik kizárólag a felhasználó előzetes hozzájárulásával aktiválódnak (cookie banner). Részletek: Süti tájékoztató.

3.7. Cookie-k és böngésző-oldali tárolás

Részletes tájékoztató: Süti tájékoztató

Süti/adat	Típus	Cél	Megőrzés
`access_token` (JWT)	Feltétlenül szükséges	Bejelentkezés fenntartása	15 perc
`refresh_token` (JWT)	Feltétlenül szükséges	Session megújítás	7 nap
IndexedDB – `smartbot_device`	Technikai (demo)	Eszköz azonosítás WebSocket-hez	Böngésző törlésig

A SmartBot nem használ analitikai, marketing, reklám vagy harmadik feles nyomkövető sütiket, Google Analytics-et, Facebook Pixelt vagy Google Fonts-ot.

4. Adatfeldolgozók és harmadik fél címzettek

Szolgáltató	Cél	Kezelt adatok	Hely	DPA
Neon Tech Inc.	Adatbázis hosting (PostgreSQL)	Minden felhasználói adat	EU (Frankfurt, AWS eu-central-1)	neon.com/dpa
Stripe Inc.	Fizetésfeldolgozás	E-mail, kártyaadatok, tranzakciók	EU/USA	stripe.com/dpa
Billingo Technologies Zrt.	Online számlázás	Név, cím, adószám, tételek	EU (Magyarország)	Billingo ÁSZF/DPA
Ollama Inc.	AI modell futtatás (cloud modellek)	Chat üzenetek tartalma	USA	ollama.com/privacy
Hostinger International Ltd.	Szerver hosting (VPS)	Infrastruktúra szint	EU (Frankfurt, DE)	Hostinger DPA
Google LLC	OAuth bejelentkezés + Google Analytics (smartbot.hu)	E-mail, név, avatar; látogatottsági adatok, IP cím	USA/EU	Google DPA
Meta Platforms Inc.	Facebook Pixel (smartbot.hu)	Látogatási adatok, IP cím, böngésző adatok	USA/EU	Meta DPA
Let's Encrypt (ISRG)	SSL/TLS tanúsítványok	Domain nevek (nem személyes adat)	USA	N/A

5. Adattovábbítás harmadik országba (USA)

Fontos tájékoztatás — GDPR V. fejezet:
A cloud AI modellek (Qwen, Kimi, MiniMax, GLM) használata esetén a chat üzenetek tartalma az Európai Unión kívülre, az Amerikai Egyesült Államokba kerül feldolgozásra az Ollama Inc. infrastruktúráján keresztül. Az Ollama adatvédelmi nyilatkozata szerint a cloud szolgáltatás nem őrzi meg a felhasználói adatokat a feldolgozás után.

5.1. Érintett szolgáltatások és garanciák

Szolgáltató	Továbbított adat	Garancia
Ollama Inc.	Chat üzenet tartalom (cloud modellnél)	Érintett kifejezett hozzájárulása (GDPR 49(1)a) + az adatokat nem őrzik meg
Stripe Inc.	Fizetési adatok	EU-US Data Privacy Framework (DPF) tanúsított + Standard Contractual Clauses (SCC)
Google LLC	OAuth bejelentkezési adatok	EU-US DPF tanúsított + SCC
Google LLC (Analytics)	Látogatottsági adatok, IP cím (smartbot.hu)	Hozzájárulás (6(1)a) + EU-US DPF + Google Consent Mode v2
Meta Platforms Inc.	Látogatási adatok, konverzió adatok (smartbot.hu)	Hozzájárulás (6(1)a) + EU-US DPF + SCC

5.2. Az adattovábbítás elkerülésének lehetősége

A Felhasználónak lehetősége van saját AI modell API kulcs megadására (pl. lokális modell, EU-ban hostolt szolgáltatás), amely esetben a chat üzenetek nem kerülnek harmadik fél szolgáltatóhoz és nem hagyják el az EU-t.

6. Automatizált döntéshozatal és profilalkotás

A GDPR 22. cikke alapján tájékoztatjuk, hogy:

6.1. Automatizált döntéshozatal

A SmartBot AI asszisztens automatizált adatfeldolgozást végez a chat válaszok generálásánál. Ez az automatizált feldolgozás:

NEM hoz a Felhasználóra nézve joghatással bíró vagy őt hasonlóan jelentős mértékben érintő döntést
Kizárólag a Felhasználó által kért adminisztrációs feladatok végrehajtását szolgálja
A Felhasználó bármikor felülvizsgálhatja és módosíthatja az AI által javasolt műveleteket
Az AI által végrehajtott műveletek (pl. számlakiállítás Billingóban, e-mail küldés) minden esetben a Felhasználó kifejezett utasítására és jóváhagyásával történnek

6.2. Profilalkotás

Profilalkotás nem történik. Az AI asszisztens memória funkciója kizárólag a Felhasználó saját munkamenetéhez kapcsolódó információk megjegyzését szolgálja (pl. ügyféladatok, szokások, preferenciák). Ezeket az adatokat:

Nem használjuk marketing célra
Nem osztjuk meg harmadik féllel (a cloud AI feldolgozáson kívül)
Nem használjuk más felhasználók adataival összevetve
Kizárólag az adott Felhasználó AI asszisztensének kontextusában használjuk

7. Az érintettek jogai

A GDPR III. fejezete alapján a Felhasználót az alábbi jogok illetik meg. Az Adatkezelő a kérelmeket indokolatlan késedelem nélkül, de legkésőbb 30 napon belül teljesíti.

Hozzáféréshez való jog (15. cikk): Tájékoztatást kérhet arról, hogy személyes adatai kezelése folyamatban van-e, és ha igen, jogosult a kezelt adatokhoz és a kezelés részleteihez hozzáférni. Az Adatkezelő az adatok másolatát díjmentesen bocsátja rendelkezésre.
Helyesbítéshez való jog (16. cikk): Kérheti pontatlan személyes adatai haladéktalan kijavítását, valamint hiányos adatai kiegészítését.
Törléshez való jog – „elfeledtetéshez való jog" (17. cikk): Kérheti személyes adatai törlését. Az Adatkezelő köteles a törlésre, ha az adatokra már nincs szükség, a hozzájárulást visszavonták, vagy az adatkezelés jogellenes. A törlés nem vonatkozik a jogszabályi kötelezettség (pl. számviteli megőrzés: 8 év) alapján kezelt adatokra.
Adatkezelés korlátozásához való jog (18. cikk): Kérheti az adatkezelés korlátozását, ha vitatja az adatok pontosságát, az adatkezelés jogellenes, vagy az Adatkezelőnek már nincs szüksége az adatokra.
Adathordozhatósághoz való jog (20. cikk): Kérheti, hogy személyes adatait tagolt, széles körben használt, géppel olvasható formátumban (JSON) megkapja, és jogosult ezen adatokat másik adatkezelőnek továbbítani.
Tiltakozáshoz való jog (21. cikk): Tiltakozhat a jogos érdek alapú adatkezelés ellen. Tiltakozás esetén az Adatkezelő az adatokat nem kezeli tovább, kivéve ha bizonyítja, hogy az adatkezelést kényszerítő erejű jogos okok indokolják.
Automatizált döntéshozatallal szembeni jog (22. cikk): Kérheti, hogy ne terjedjen ki rá kizárólag automatizált adatkezelésen alapuló döntés. A SmartBot jelenleg nem hoz ilyen döntést (lásd 6.1. pont).
Hozzájárulás visszavonása: A hozzájáruláson alapuló adatkezelés (Google OAuth, 2FA, integrációk, cloud AI modell) esetén a hozzájárulás bármikor, indoklás nélkül visszavonható. A visszavonás nem érinti a visszavonás előtti adatkezelés jogszerűségét.

Jogai gyakorlásához kérjük, írjon a hello@smartbot.hu e-mail címre. Az Adatkezelő az érintett személyazonosságának igazolását kérheti a kérelem teljesítése előtt.

8. Adatbiztonsági intézkedések

Az Adatkezelő a GDPR 32. cikke alapján az alábbi technikai és szervezési intézkedéseket alkalmazza:

Titkosítás nyugalmi állapotban: Jelszavak bcrypt hash (12 round), érzékeny adatok (API kulcsok, TOTP) AES-256-GCM titkosítás, refresh tokenek SHA-256 hash
Titkosítás továbbításkor: Minden kommunikáció TLS 1.2+ titkosított (Let's Encrypt), HTTPS minden domainen
Hozzáférés-kezelés: JWT alapú autentikáció (15 perc access + 7 nap refresh), szerepkör-alapú jogosultságkezelés (RBAC)
Kétfaktoros hitelesítés: TOTP (Authenticator app) + backup kódok
Túlterhelés-védelem: Rate limiting — 30 kérés/perc/IP (általános), 10 chat üzenet/perc/IP (widget)
WebSocket biztonság: Ed25519 digitális aláírás, challenge-response (nonce), eszközpárosítás
Cookie biztonság: httpOnly, sameSite: strict, secure (production)
Adatbázis: Neon PostgreSQL — titkosított kapcsolat (SSL), EU régió (Frankfurt), automatikus backup
Szerver: Dedikált VPS (nem shared hosting), Docker konténerizáció, Traefik reverse proxy

9. Adatmegőrzési időtartamok összefoglalása

Adat	Megőrzés	Törlés módja
Fiók adatok (név, email)	Fiók törlésig	Felhasználó kérésére vagy Dashboard-ban
Chat beszélgetések (DB)	Felhasználó törlésig, max. inaktivitástól 1 év	Felhasználó manuálisan vagy fiók törléskor
AI session (gateway)	30 nap automatikus	Automatikus prune (hajnali cron)
Token használat	Fiók törlésig	Fiók törlésekor
Számlázási adatok	8 év (számviteli kötelezettség)	Jogszabályi határidő lejártakor
Jogi elfogadások	Jogviszony + 5 év	Határidő lejártakor
API hívás naplók	90 nap	Automatikus
access_token cookie	15 perc	Automatikus lejárat
refresh_token cookie	7 nap	Automatikus lejárat
IndexedDB (demo)	Böngésző törlésig	Felhasználó böngészőjében

10. Panasztételi és jogorvoslati jog

10.1. Felügyeleti hatóság

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Cím: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
Honlap: www.naih.hu
E-mail: ugyfelszolgalat@naih.hu
Telefon: +36 (1) 391-1400

Az érintett a GDPR 77. cikke alapján jogosult panaszt tenni a NAIH-nál, ha megítélése szerint személyes adatainak kezelése sérti a GDPR rendelkezéseit. Az adatvédelmi hatósági eljárás ügyintézési határideje 150 nap.

10.2. Bírósági jogorvoslat

Az érintett a GDPR 79. cikke alapján bírósághoz fordulhat jogai érvényesítése érdekében. A per az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható (Fővárosi Törvényszék mellett). A bírósági eljárásban a jogi képviselet kötelező.

11. Tájékoztatás az EU AI Act alapján

EU AI Act (2024/1689 rendelet) szerinti besorolás:

Rendszer típus: AI chatbot / személyes asszisztens
Kockázati kategória: Korlátozott kockázat (limited risk)
Vonatkozó kötelezettség: Átláthatósági kötelezettség (50. cikk) — 2026. augusztus 2-tól teljes körűen alkalmazandó
SmartBot szerepe: Deployer (üzemeltető)
GPAI modell szolgáltató: Ollama Inc. (provider)

Átláthatósági nyilatkozat: A SmartBot minden felületen egyértelműen jelzi, hogy a Felhasználó mesterséges intelligenciával kommunikál (pl. „AI Asszisztens", „SmartBot AI"). Az AI által generált tartalom MI segítségével készül.

12. A tájékoztató módosítása

Az Adatkezelő fenntartja a jogot a jelen tájékoztató módosítására. A módosításról a Felhasználókat e-mailben és a Dashboard-on értesíti. A hatályos tájékoztató mindig elérhető a smartbot.hu/adatkezelesi-tajekoztato címen.

13. Vonatkozó jogszabályok

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR)
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)
Az elektronikus kereskedelmi szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (Eker. tv.)
A számvitelről szóló 2000. évi C. törvény
Az általános forgalmi adóról szóló 2007. évi CXXVII. törvény (Áfa tv.)
Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete (AI Act)
A 45/2014. (II. 26.) Korm. rendelet a fogyasztó és a vállalkozás közötti szerződések részletes szabályairól

SmartBot.hu · ÁSZF · Süti tájékoztató · Impresszum