Adatvédelmi tájékoztató
Utoljára frissítve: 2026. április 26.
1. Összefoglaló (Your data, in short)
Nem tanítjuk az AI-t az adataidon. Sem mi, sem az általunk használt külső AI szolgáltatók (OpenAI, z.AI) nem használják a Platformon keresztül hozzájuk jutó adatokat modelljeik tanításához.
60 napos default retention. A chat üzenetek, lead adatok és session adatok 60 nap után automatikusan törlődnek. Adatminimalizálás tervezetten.
EU hosting. Az adatokat az EU-ban (Railway) tároljuk. Az AI inference USA-s szolgáltatón keresztül történik, EU SCC és DPF keretében.
Bármikor exportálhatod és törölheted az adataidat.
Subprocessor lista publikus, változás előtt 30 nap értesítést adunk.
2. Az adatkezelő
Cégnév: Intersync Korlátolt Felelősségű Társaság (rövidített: Intersync Kft.) Székhely: 1021 Budapest, Hűvösvölgyi út 32. Cégjegyzékszám: 01-09-424781 Adószám: 32451096-2-41 Email: privacy@echoai.hu Honlap: https://echoai.hu
(a továbbiakban: Szolgáltató vagy EchoAI)
Adatvédelmi felelős: jelenleg nem kötelező, de kapcsolattartásra: privacy@echoai.hu
3. Fogalmak
A jelen tájékoztatóban használt fogalmak értelmezése a GDPR 4. cikke szerint történik. Kiemelten:
Érintett: az a természetes személy, akinek adatait kezeljük.
Adatkezelés: minden olyan művelet, amelyet a személyes adatokkal végzünk.
Adatkezelő (Controller): aki meghatározza az adatkezelés céljait és eszközeit.
Adatfeldolgozó (Processor): aki az Adatkezelő nevében kezeli az adatokat.
Subprocessor: olyan harmadik fél, akit az Adatfeldolgozó bevon az adatkezelésbe.
AI modell: nagy nyelvi modell (LLM), amely a Platform válaszainak generálásához használt.
4. A Szolgáltató szerepe: Controller vs Processor
Az EchoAI kettős szerepet tölt be:
4.1 Adatkezelő (Controller) szerep
A Szolgáltató adatkezelőként jár el a következő adatok tekintetében:
a Felhasználó (Platform előfizető) regisztrációs és fiók adatai;
a Felhasználó fizetési és számlázási adatai;
a Felhasználó használati metrikái (mely funkciókat, mikor);
rendszer- és biztonsági logok;
a Platform weboldalának látogatóiról gyűjtött analitikai adatok.
4.2 Adatfeldolgozó (Processor) szerep
A Szolgáltató adatfeldolgozóként jár el a következők tekintetében:
a Felhasználó által feltöltött Tartalom (Tudásbázis: PDF, szöveg, URL, CSV, YouTube);
a Végfelhasználók által a Platform chatbottal folytatott beszélgetések tartalma;
a Leadekből gyűjtött kontakt adatok (Végfelhasználók személyes adatai);
a Szerződés Asszisztensben tárolt szerződés-adatok.
Ezekben az esetekben a Felhasználó (Platform előfizető) az Adatkezelő, a Szolgáltató az ő utasítására és az ÁSZF + DPA keretében jár el.
5. Az érintettek köre
Három különálló érintetti kört kezel az EchoAI:
5.1 Platform felhasználó (Felhasználó)
A Platformra regisztráló és azt használó természetes személy (általában a Szolgáltató előfizetőjének munkatársa).
5.2 Weboldal látogató (Végfelhasználó)
Aki a Felhasználó weboldalán a beágyazott EchoAI chatbottal beszélget.
5.3 Harmadik személyek a Tartalomban
Ha a Felhasználó által feltöltött Tartalom vagy a Szerződés-mezők harmadik személyek személyes adatait tartalmazzák. Ezekben az esetekben a Szolgáltató adatfeldolgozó.
6. Kezelt adatok kategóriánként
6.1 Platform felhasználó (Controller szerep)
| Adatkategória | Konkrét adatok | Jogalap | Cél | Megőrzés |
|---|---|---|---|---|
| Google OAuth hitelesítés | Név, email, profilkép | GDPR 6.1.b (szerződés) | Fiók azonosítás | Fiók aktív + 30 nap |
| Számlázási adatok | Név, cégnév, adószám, cím (Stripe tárolja) | GDPR 6.1.b és 6.1.c (jogi köt.) | Számlázás, ÁFA | 8 év (szvt.) |
| Használati metrika | Belépések, feature-használat, utolsó aktivitás | GDPR 6.1.f (jogos érdek) | Szolgáltatás javítása, biztonság | 60 nap |
| Rendszerlog | IP, user-agent, időbélyeg | GDPR 6.1.f | Biztonság, incidens-kezelés | 6 hó |
6.2 Weboldal látogató / Végfelhasználó (Processor szerep, Felhasználó adatkezelőként)
| Adatkategória | Konkrét adatok | Jogalap (Felhasználó határozza meg) | Megőrzés |
|---|---|---|---|
| Chat üzenetek | A Végfelhasználó beírt szövegei + AI válaszok | Felhasználó dönti el (szerz., jogos érdek, hozzájárulás) | 60 nap default |
| Session cookie | Session ID, beszélgetési állapot | Funkcionális, 6.1.f | Session végéig, max 60 nap |
| Fájlfeltöltések | Chatbe feltöltött dokumentumok | Felhasználó dönti | 60 nap |
| IP cím, user-agent | Technikai adatok a chat látogatótól | Biztonság, GDPR 6.1.f | 60 nap |
| Lead űrlap: név | Ha a Végfelhasználó önként megadja | GDPR 6.1.a (hozzájárulás) vagy 6.1.b | 60 nap default; Felhasználó saját retention-t is beállíthat |
| Lead űrlap: email | Ha önként megadja | mint fent | mint fent |
| Lead űrlap: telefon | Ha önként megadja | mint fent | mint fent |
| Lead űrlap: egyéb | Szabad szöveg, többválasztós | mint fent | mint fent |
6.3 Harmadik személyek a Tartalomban
Ha a Felhasználó PDF-et, URL-t, CSV-t, YouTube-videót vagy szerződéssablont tölt fel, amely harmadik személyek adatait (nevet, email címet, telefonszámot) tartalmazza:
A Felhasználó felel azért, hogy rendelkezzen a megfelelő jogalappal a szerepeltetésükhöz (pl. üzleti kontakt, szerződéses fél).
A Szolgáltató a Felhasználó utasítására feldolgozóként jár el.
A megőrzés a Felhasználó által beállított policy szerint, default 60 nap az aktív használat után.
6.4 Platform weboldal (echoai.hu) látogatók
| Adatkategória | Adat | Jogalap | Megőrzés |
|---|---|---|---|
| Analitikai | Oldal-látogatás, eszköz, forrás | Cookie-hozzájárulás (PostHog EU) | 6 hó |
| Google Analytics | Session, events | Cookie-hozzájárulás | GA default |
| Funkcionális cookie | Preferenciák, login | Nem igényel hozzájárulást | Session |
7. Az adatkezelés céljai
A Platform szolgáltatás nyújtása (fiók-kezelés, chat, tudásbázis, lead, szerződés, integrációk)
Számlázás és könyvelés (jogi kötelezettség)
Ügyféltámogatás (kapcsolat a Felhasználóval)
Biztonság és csalás-megelőzés (rendszerlogok elemzése)
A szolgáltatás javítása (anonimizált, összesített metrikák alapján)
Marketing (külön hozzájárulás alapján, opcionális newsletter)
8. AI modellek használata és a tanítási kérdés
8.1 Hogyan működik
A Platform válaszait külső nagy nyelvi modell (LLM) szolgáltatók generálják:
OpenAI (USA) — elsődleges szolgáltató a Végfelhasználói chat és a Tudásbázis lekérdezésekhez.
z.AI (USA) — másodlagos, csak háttérműveletekhez (pl. tartalom-indexelés, metaadat-kinyerés), amelyekhez nem kerül továbbításra személyes Végfelhasználói adat.
8.2 Mi történik az adatokkal
Amikor a Felhasználó vagy Végfelhasználó chat-üzenetet küld vagy tartalmat tölt fel:
A Platform az adatot a Railway EU régióban lévő adatbázisba menti.
A válasz generálásához szükséges adat-részlet (prompt + kontextus) az OpenAI API-n keresztül az OpenAI szervereire küldődik.
Az OpenAI generálja és visszaadja a választ.
A válasz és a bemenet eltárolódik a 60 napos retention policy szerint.
8.3 NEM történik modell tanítás
A Szolgáltató kijelenti:
Sem a Szolgáltató, sem az OpenAI, sem a z.AI nem használja a Platformon keresztül hozzájuk jutó adatokat saját AI modellek tanításához.
Az OpenAI-val kötött szerződés OpenAI Enterprise Privacy terms alapján a Szolgáltató "zero data retention" vagy ennek megfelelő opciót használ, amely kizárja a tanítási célú felhasználást.
A z.AI háttérműveletekhez kizárólag nem-személyes, strukturális feladatokra kerül használatra.
8.4 Automatizált döntéshozatal (GDPR Art. 22)
A Platform által generált AI válaszok nem minősülnek "kizárólag automatizált döntéshozatalnak, amely a Végfelhasználóra joghatással bír vagy őt hasonlóképpen jelentősen érinti" a GDPR 22. cikke értelmében. Ennek ellenére a Végfelhasználónak és a Felhasználónak lehetősége van a válaszok áttekintésére, megvitatására és emberi ügyintézőhöz fordulásra (ha a Felhasználó weboldalán elérhető ilyen opció).
9. Subprocessorok (adatfeldolgozók)
A Szolgáltató az alábbi harmadik felekkel működik együtt az adatkezelés során. A jelen szakasz tartalmazza a teljes, hatályos listát; változás esetén a 30 napos előzetes értesítési eljárás szerint frissítjük (ld. lent).
| Név | Szerep | Adatkategória | Ország | Biztosíték |
|---|---|---|---|---|
| OpenAI, LLC | Elsődleges LLM inference | Chat input/output, Tudásbázis részletek | USA | EU SCCs 2021 + DPF (Data Privacy Framework) certified |
| z.AI | Háttér LLM (nem kap személyes adatot) | Csak anonim strukturális adatok | USA | EU SCCs 2021 |
| Railway | Hosting, adatbázis | Minden backend adat | EU régió | GDPR-compliant hoster |
| Cloudflare R2 | Fájltárolás (PDF, CSV, DOCX, képek) | Feltöltött fájlok | Global / EU | GDPR-compliant, SCCs |
| Stripe Payments Europe Ltd. | Fizetés | Számlázási és fizetési adatok | Írország (EU) / USA | SCCs |
| Postmark (ActiveCampaign) | Tranzakciós email | Email cím, email tartalom | USA | EU SCCs + DPF certified |
| Google (OAuth + Analytics) | Hitelesítés, analitika | Google profil adatok, látogatói analitika | USA | DPF certified |
| PostHog EU | Termék analitika | Anonimizált használati események | EU régió | GDPR-compliant |
Változások:
Új subprocessor bevonása előtt legalább 30 naptári nappal értesítjük a Felhasználókat emailben és a Platformon belüli üzenetben.
A Felhasználónak joga van kifogást emelni. Ha a Felhasználó kifogása ellenére a Szolgáltató a subprocessort bevonja, a Felhasználó felmondhatja az előfizetést.
Az Adatfeldolgozó biztosítja, hogy minden subprocessorral a jelen tájékoztatóval egyenértékű adatvédelmi kötelezettségeket tartalmazó írásbeli szerződést köt — különösen a biztonsági intézkedésekre, a titoktartásra, és a Személyes Adatok saját modell-tanításhoz való felhasználásának tilalmára (különösen: OpenAI, z.AI).
10. Adatfeldolgozói jogviszony (DPA, GDPR 28. cikk)
Amikor a Szolgáltató a Felhasználó utasítására kezel személyes adatokat (ld. a 4.2 Processor szerep — pl. a Felhasználó weboldalán beszélgető Végfelhasználók chat-tartalma, lead-adatai, vagy a Felhasználó tudásbázisába feltöltött tartalomban szereplő személyes adatok), a Szolgáltató adatfeldolgozóként jár el a GDPR 28. cikke szerint.
A jogviszony részletes feltételeit — különösen az adatkezelés tárgya és időtartama, a felek kötelezettségei, biztonsági intézkedések (TOMs), subprocessor-kezelés, auditálási jog, incidens-bejelentés, adatok visszaszolgáltatása-törlése és nemzetközi továbbítás — az Adatfeldolgozói Szerződés (DPA) tartalmazza.
10.1 A DPA elérhetősége
Online verzió (mindenkinek elérhető): echoai.hu/dpa
B2B külön aláírható, PDF-formátumú változat (vállalati ügyfeleknek, compliance-igényre): kérhető privacy@echoai.hu címen.
10.2 A DPA mint az ÁSZF része
A DPA — akár online elfogadással, akár külön aláírt verzióban — az ÁSZF elválaszthatatlan részét képezi. A Felhasználó az ÁSZF elfogadásával egyúttal a DPA online verzióját is elfogadja.
10.3 Konfliktus esetén
Ha a DPA és az ÁSZF egyéb rendelkezései a személyes adatok kezelését illetően konfliktusban állnak, a DPA az irányadó.
10.4 Részletes Security Overview
B2B ügyfelek kérésére részletes biztonsági áttekintést bocsátunk rendelkezésre (TOMs, infrastruktúra, hozzáférés-vezérlés, incidenskezelési protokoll): security@echoai.hu.
11. Nemzetközi adattovábbítás
11.1 Adattárolás helye
Primary tárolás: EU régió (Railway, Cloudflare R2 EU, PostHog EU).
AI inference: USA (OpenAI), de az adatok nem kerülnek tanítási célra felhasználásra, és a retention OpenAI-oldalon "zero retention" beállítású, vagy legfeljebb 30 napig tárolódik abuse monitoring céljából.
11.2 Az USA-transzfer jogalapja
Mivel az OpenAI, Postmark és Google USA-beli szolgáltatók, a személyes adatok USA-ba továbbítása történik. Ennek jogi alapja:
EU Standard Contractual Clauses (SCCs) 2021 — az OpenAI és Postmark esetén a Szolgáltató megkötötte.
EU-US Data Privacy Framework (DPF) — az OpenAI, Postmark és Google DPF-certified. A DPF adekvát védelmi szintet biztosít az EU Bizottsági határozat alapján.
Kiegészítő technikai intézkedések: titkosítás TLS-szel, hozzáférési korlátozások, nyilatkozatok.
11.3 Az UK (Egyesült Királyság)
UK-érintettek adataira az UK GDPR és az UK International Data Transfer Addendum (IDTA) alkalmazandó, a fenti SCCs kiegészítéseként.
12. Megőrzési idők részletesen
| Adat | Megőrzés | Törlés módja |
|---|---|---|
| Fiók személyes adatok | Aktív előfizetés ideje alatt + 30 nap | Automatikus törlés fiók megszüntetés után |
| Chat üzenetek (Végfelhasználó) | 60 nap | Automatikus, napi batch |
| Lead adatok | 60 nap (vagy Felhasználó általi export, törlés) | Automatikus vagy manuális |
| Feltöltött Tartalom (PDF, szöveg, URL, CSV, YouTube) | Felhasználó törléséig, vagy fiók megszűnés + 30 nap | Felhasználó vagy rendszer |
| Szerződéssablonok és generált szerződések | Felhasználó törléséig | Felhasználó |
| Számviteli dokumentumok (számlák) | 8 év (számviteli tv. 169. §) | Jogi kötelezettség miatt nem törölhető |
| Rendszerlogok | 6 hó | Automatikus rotáció |
| Biztonsági mentések | Legfeljebb 90 nap | Backup rotáció |
| Analitikai adatok (PostHog, GA) | 6 hó (PostHog) / GA default | Szolgáltató-specifikus |
13. Cookie-k és tracking technológiák
Ez a szakasz a Cookie Tájékoztató szerepét is betölti (külön Cookie Policy helyett).
13.1 Mi a cookie?
A cookie kis méretű szöveges fájl, amelyet a böngésző tárol a látogató eszközén. A Platform cookie-kat, lokális tárolást (localStorage) és hasonló technológiákat használ.
13.2 Használt cookie-kategóriák
13.2.1 Szigorúan szükséges (funkcionális) cookie-k
Ezek a Platform működéséhez nélkülözhetetlenek. Nem igényelnek hozzájárulást, mert a Felhasználó által kifejezetten kért szolgáltatás nyújtásához szükségesek.
| Cookie | Cél | Megőrzés |
|---|---|---|
| session_id | Bejelentkezési munkamenet fenntartása | Session végéig |
| echoai_org | Aktív Szervezet megjegyzése | 30 nap |
| csrf_token | Cross-site kérelem-hamisítás elleni védelem | Session végéig |
| echoai_chat_session | Chat beszélgetési állapot | 24 óra |
13.2.2 Analitikai cookie-k
A termék- és marketing-analitikához használt cookie-k. Explicit hozzájárulás szükséges.
| Cookie | Szolgáltató | Cél | Megőrzés |
|---|---|---|---|
| ph_* (pl. ph_ingestion_id) | PostHog EU | Termék-használat elemzése (feature-használat, heatmap) | 1 év |
| _ga, _ga_* | Google Analytics | Látogatói statisztika, forrás követés | 2 év |
| _gid | Google Analytics | Felhasználó-azonosítás munkamenetenként | 24 óra |
13.2.3 Marketing cookie-k
Jelenleg nem használunk marketing (reklám, retargeting) célú cookie-kat. Ha ez változik, előzetesen értesítjük a Felhasználókat és külön hozzájárulást kérünk.
13.3 Cookie-consent
A Platform első látogatásakor cookie-consent banner jelenik meg:
Csak szükséges — csak a funkcionális cookie-k aktívak.
Összes elfogadása — analitikai cookie-k is aktívak.
Beállítások — kategóriánkénti választás.
A hozzájárulás bármikor módosítható a weboldal alján található "Cookie beállítások" linkre kattintva. A módosítás a hatálybalépéstől érvényes, a korábbi, hozzájárulás alapján gyűjtött adatokra a változtatás nem hat vissza (de a Felhasználó kérheti ezek törlését a 15. pont szerint).
13.4 Hogyan kapcsold ki a böngésződben
A cookie-kat a böngésződ beállításain keresztül is kikapcsolhatod:
Figyelem: a szigorúan szükséges cookie-k kikapcsolása esetén a Platform bizonyos funkciói nem elérhetők.
13.5 Nyomon követés tiltása (Do Not Track)
A "Do Not Track" (DNT) böngésző-jelzést tiszteletben tartjuk — aktív DNT esetén analitikai cookie-kat alapértelmezetten nem sütünk le.
14. Biztonsági intézkedések
A Szolgáltató megfelelő technikai és szervezési intézkedéseket tesz, különösen:
Titkosítás átvitel közben: TLS 1.2+ minden kapcsolathoz.
Titkosítás nyugalomban: AES-256 az adatbázisban és a fájltárolóban.
Hozzáférés-kezelés: role-based access control (RBAC), kétfaktoros hitelesítés adminisztrátori hozzáférésekhez.
Audit naplózás: biztonsági szempontú logok 6 hónapig.
Backup: napi automatikus biztonsági mentés, pont-időre visszaállítás.
Sérülékenység-kezelés: rendszeres biztonsági frissítések, függőségek audit.
Adatfeldolgozói szerződések: minden subprocessorral aláírva.
15. Az érintett jogai (GDPR III. fejezet)
Az érintett (Felhasználó és Végfelhasználó egyaránt) jogosult:
15.1 Jogok
Tájékoztatáshoz való jog (GDPR 13-14. cikk) — a jelen tájékoztató is ezt szolgálja.
Hozzáféréshez való jog (15. cikk) — másolatot kérhet a kezelt adatairól.
Helyesbítéshez való jog (16. cikk) — pontatlan adat javítása.
Törléshez való jog ("elfeledtetéshez való jog") (17. cikk).
Adatkezelés korlátozásához való jog (18. cikk).
Adathordozhatósághoz való jog (20. cikk) — strukturált, gépi formátumban.
Tiltakozáshoz való jog (21. cikk) — jogos érdek alapú adatkezelés ellen.
Automatizált döntéshozatallal szembeni jog (22. cikk).
Hozzájárulás visszavonása (7. cikk (3)).
15.2 Gyakorlati útmutató
Platform felhasználó: a legtöbb jogot önkiszolgáló módon gyakorolhatja a Platformon (profil szerkesztés, Szervezet törlés, export funkciók).
Végfelhasználó: keresse közvetlenül a Felhasználót (aki az Adatkezelő), vagy írjon privacy@echoai.hu-ra — mi közvetítünk és segítünk.
Válaszidő: a Szolgáltató a kérelem beérkezését követő 1 hónapon belül reagál, indokolt esetben +2 hónap hosszabbítás lehetséges.
Díj: a kérelem ingyenes, kivéve a visszaélésszerű, ismétlődő vagy nyilvánvalóan megalapozatlan kérelmeket.
16. Gyermekek adatai
A Platform 16 év alatti személyek által nem használható. A Szolgáltató nem gyűjt tudatosan 16 év alatti érintettekre vonatkozó adatot. Ha a Szolgáltató tudomást szerez arról, hogy 16 év alatti személy adatot adott meg a szülői hozzájárulás igazolt beszerzése nélkül, az adatot haladéktalanul törli.
17. Adatvédelmi incidens
17.1 Bejelentés hatósághoz
Adatvédelmi incidens esetén a Szolgáltató az incidens észlelését követő 72 órán belül bejelenti azt a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), kivéve, ha az incidens valószínűleg nem jár kockázattal a természetes személyek jogaira.
17.2 Tájékoztatás az érintettet
Ha az incidens magas kockázattal jár, a Szolgáltató késedelem nélkül tájékoztatja az érintettet is.
17.3 Belső eljárás
A Szolgáltató belső incidens-válasz eljárással rendelkezik, amely tartalmazza: észlelés, klasszifikálás, elszigetelés, kivizsgálás, értesítés, tanulás.
18. Panasz, felügyeleti hatóság
18.1 Kapcsolat a Szolgáltatóval
Ha adatvédelmi aggálya van, elsőként a Szolgáltatót keresse:
Email: privacy@echoai.hu
18.2 NAIH
Panaszt tehet a Nemzeti Adatvédelmi és Információszabadság Hatóságnál:
Székhely: 1055 Budapest, Falk Miksa utca 9-11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391-1400
Email: ugyfelszolgalat@naih.hu
Weboldal: https://www.naih.hu
18.3 Bírósághoz fordulás joga
Jogsértés esetén az érintett bírósághoz fordulhat. A per a Szolgáltató székhelye vagy az érintett lakóhelye szerinti bíróság előtt folytatható le.
19. A jelen tájékoztató változása
19.1 Módosítás
A Szolgáltató fenntartja a jogot a jelen tájékoztató egyoldalú módosítására. Lényeges változás esetén a Szolgáltató legalább 30 naptári nappal a hatálybalépés előtt értesíti a Felhasználókat.