Adatvédelmi szabályzat
Knowlio.cloud SaaS platform
Hatályos: 2026. július 2-től
Verzió: 1.0
Jogszabályi alap: (EU) 2016/679 rendelet (GDPR); 2011. évi CXII. törvény (Infotv.).
1. Az Adatkezelő
- Adatkezelő: APPON LINE Kft.
- Székhely: Magyarország, 2120 Dunakeszi, Római utca 1/1
- Kapcsolat / adatvédelem: info@knowlio.cloud
2. Kettős szerep: Adatkezelő és Adatfeldolgozó
A Szolgáltatás jellege miatt a Szolgáltató kétféle minőségben jár el:
- Adatkezelőként az Előfizető (fiók-tulajdonos) személyes adatai tekintetében: regisztráció, számlázás, a Szolgáltatás üzemeltetése.
- Adatfeldolgozóként azon személyes adatok tekintetében, amelyeket az Előfizető tölt fel a tudásbázisba, illetve amelyek a chatbotos beszélgetésekben (widget-látogatók, domain-chat felhasználók) keletkeznek. Ezekre nézve az adatkezelő maga az Előfizető, a Szolgáltató pedig az ő utasítására, adatfeldolgozói szerződés (DPA, GDPR 28. cikk) alapján jár el.
Jelen szabályzat elsősorban az Adatkezelőként végzett tevékenységet írja le; az adatfeldolgozói tevékenység részleteit a DPA tartalmazza.
3. A kezelt adatok, célok, jogalapok (Adatkezelőként)
| Adatkör | Cél | Jogalap (GDPR 6. cikk) |
|---|---|---|
| Regisztrációs adatok (név, e-mail, jelszó-hash) | Fiók, azonosítás | (1) b) szerződés |
| Számlázási adatok | Számlázás, könyvelés | (1) c) jogi kötelezettség |
| Előfizető API-kulcsa (OpenAI/Anthropic) | A chatbot működtetése az Előfizető nevében | (1) b) szerződés |
| Használati/napló adatok (IP, eszköz, események, token-mérés) | Biztonság, visszaélés-megelőzés, számlázás alapja | (1) f) jogos érdek |
| Támogatási kommunikáció | Ügyfélszolgálat | (1) b) / f) |
| Marketing e-mail / hírlevél | Megkeresés | (1) a) hozzájárulás |
| Nem szükséges sütik | Analitika, marketing | (1) a) hozzájárulás (lásd Cookie Szabályzat) |
4. Az Előfizető által feltöltött tudásbázis és a chat-adatok (Adatfeldolgozóként)
- Az Előfizető dokumentumokat (PDF, DOCX, XLSX, TXT, MD) tölthet fel, amelyeket a rendszer feldarabol és vektorizál (embedding) a RAG-keresés érdekében. Ezek az adatok, valamint a chatbeszélgetések (widget-látogatók és domain-chat felhasználók üzenetei) személyes adatot is tartalmazhatnak.
- E körben az adatkezelő az Előfizető: ő felel a jogalapért, az érintettek tájékoztatásáért és azért, hogy csak jogszerűen kezelt adatot töltsön fel.
- Az Előfizető nem tölthet fel különleges kategóriájú adatot (GDPR 9. cikk, pl. egészségügyi adat) megfelelő önálló jogalap és garanciák nélkül.
- A Szolgáltató e körben kizárólag az Előfizető utasítására, a DPA szerint jár el; az adatokat AI-modell tanítására nem használja fel.
5. Az API-kulcs kezelése és biztonsága
- Az Előfizető által megadott modell-API-kulcsot a Szolgáltató titkosítva tárolja (nem plaintext), és kizárólag a chatbot működtetéséhez használja.
- Az Előfizető bármikor rotálhatja vagy visszavonhatja a kulcsát.
- A kulccsal indított LLM-hívások a modellszolgáltatóhoz (OpenAI/Anthropic) továbbítódnak; az ott történő adatkezelésre az adott szolgáltató és az Előfizető közötti jogviszony az irányadó.
6. Multi-tenant izoláció
Minden Előfizető adatai (botok, tudásbázis, embeddingek, chat-előzmény) logikailag elkülönítve (multi-tenant izoláció) kerülnek tárolásra, hogy más Előfizetők ne férhessenek hozzá.
7. Adatfeldolgozók és címzettek
| Adatfeldolgozó | Funkció | EU-n kívüli továbbítás |
|---|---|---|
| Rackforest ZRt. 1132 Budapest, Victor Hugo u. 11., 5. em. |
Infrastruktúra, fájltárolás (S3/local) | Nincs |
| Stripe Payments Europe, Ltd. 1 Grand Canal Street Lower Grand Canal Dock Dublin 2 D02 H210 Ireland |
Fizetés-feldolgozás | USA - SCC / EU-US DPF |
| KBOSS.hu Kft 1031 Budapest, Záhony utca 7. |
Számlázás | Nincs |
| Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy L-1855 Luxembourg Luxembourg |
Tranzakciós/marketing e-mail | USA - SCC / EU-US DPF |
| OpenAI / Anthropic | LLM-válaszgenerálás | USA - lásd 8. pont |
8. Harmadik országba történő adattovábbítás
Egyes adatfeldolgozók (különösen az LLM-szolgáltatók, a fizetési és e-mail szolgáltató) az USA-ban is kezelhetnek adatot. Az adattovábbítás garanciái (GDPR 44-49. cikk): EU-US Data Privacy Framework tanúsítás, illetve az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCC). A tudásbázisból és a chatből az LLM-nek továbbított tartalom minimalizálandó.
9. Adatmegőrzési idők
| Adatkör | Megőrzési idő |
|---|---|
| Fiókadatok | a fiók fennállásáig, majd törlésig |
| Számlázási adatok | 2000. évi C. törvény szerint 8 év |
| API-kulcs | a kulcs visszavonásáig / fiók törléséig |
| Napló/biztonsági adatok | max. 12 hónap |
| Tudásbázis, chat-előzmény | az Előfizető beállítása szerint; a szerződés megszűnését követően legfeljebb 30 nap |
10. Az érintett jogai (GDPR 15-22. cikk)
Hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás, hozzájárulás visszavonása.
Kérelem: info@knowlio.cloud
A Szolgáltató a kérelmet 1 hónapon belül teljesíti (indokolt esetben +2 hónap).
A tudásbázisban vagy chatben tárolt személyes adatokra vonatkozó érintetti kérelmet elsődlegesen az adott Előfizetőhöz (mint adatkezelőhöz) kell benyújtani.
11. Adatvédelmi incidens
Incidens esetén a Szolgáltató dokumentál, és kockázat esetén a NAIH felé 72 órán belül bejelent (GDPR 33. cikk); magas kockázat esetén az érintetteket is tájékoztatja.
12. Gyermekek adatai
A Szolgáltatás nem 16 éven aluliaknak szól; 16 év alatt szülői hozzájárulás szükséges (GDPR 8. cikk).
13. Adatbiztonsági intézkedések
Titkosítás átvitel közben és tárolásnál (beleértve az API-kulcsokat), multi-tenant izoláció, hozzáférés-kezelés, naplózás, rate limiting, rendszeres mentés és sérülékenységkezelés a GDPR 32. cikkének megfelelően.
14. Felügyeleti hatóság
NAIH
Nemzeti Adatvédelmi és Információszabadság Hatóság
1055 Budapest, Falk Miksa utca 9-11.
https://www.naih.hu
15. Módosítás
A Szolgáltató a szabályzatot módosíthatja; a hatályos verzió a weboldalon érhető el, lényeges változásról e-mailben értesít.