Adatkezelési tájékoztató

Hatályos: 2026. március 15-től · Verzió: 2.0

Jelen tájékoztató az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.), valamint a 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatásokról (Ektv.) rendelkezéseivel összhangban készült. Kérjük, figyelmesen olvassa el, mielőtt a Doktrina.ai platformot használja.

1. Adatkezelő adatai

Cégnév	Xenomorph Group Kft.
Képviselő	Török Ádám József (ügyvezető)
Székhely	7400 Kaposvár, 48-as Ifj. Útja 44. 1/5. a.
Adószám	32818473-1-14
Cégjegyzékszám	14-09-321617
Adatvédelmi kapcsolat	adatvedelem@doktrina.ai
Általános kapcsolat	info@doktrina.ai

A Xenomorph Group Kft. nem köteles adatvédelmi tisztviselő (DPO) kinevezésére a GDPR 37. cikke alapján, mivel nem végez közhatalmi vagy közfeladatot ellátó szervi tevékenységet, és adatkezelési tevékenysége nem jár az érintettek rendszeres és szisztematikus, nagy léptékű megfigyelésével, illetve különleges adatategóriák nagy léptékű kezelésével. Adatvédelmi kérdésekben az ügyvezető jár el.

2. Kezelt személyes adatok, célok és jogalapok

2.1 Fiókadatok (Auth)

Adat	Forrás	Cél	Jogalap (GDPR 6. cikk)	Megőrzés
E-mail cím	Regisztráció	Azonosítás, belépés, értesítések	(b) Szerződés teljesítése	Fiók törléséig
Jelszó (bcrypt hash)	Regisztráció	Hitelesítés — nyers jelszó soha nem tárolódik	(b) Szerződés teljesítése	Fiók törléséig
Fiók létrehozásának időpontja	Automatikus	Auditlog, inaktivitás-kezelés	(f) Jogos érdek	Fiók törléséig
Utolsó bejelentkezés időpontja	Automatikus	Biztonság, inaktív fiókok kezelése	(f) Jogos érdek	Fiók törléséig

Adatfeldolgozó: Supabase, Inc. — EU (Frankfurt, AWS eu-central-1)

2.2 Chat üzenetek (Jogi asszisztens)

Adat	Forrás	Cél	Jogalap	Megőrzés
Jogi kérdések szövege	Felhasználó írja	Szolgáltatás nyújtása (AI válasz generálása)	(b) Szerződés	Fiók törléséig / 2 év inaktivitás után
AI válaszok szövege	Generált	Előzmények megjelenítése, folytatás	(b) Szerződés	Fiók törléséig / 2 év inaktivitás után
Chat időbélyege	Automatikus	Sorrend, előzmények kezelése	(b) Szerződés	Fiók törléséig
Chat cím (automatikus/generált)	Automatikus/generált	Navigáció, beszélgetések azonosítása	(b) Szerződés	Fiók törléséig

Fontos: A chat üzenetek szövege — kérdés és kontextus formájában — továbbításra kerül a Google Vertex AI (inferencia, EU – europe-west4) és az Anthropic, PBC (Claude modell, USA – SCC alapján) felé a válasz generálásához. Az AI-szolgáltatók az adatokat kizárólag az inferencia (válaszgenerálás) céljára használják; modellképzésre, tárolásra vagy harmadik fél részére átadásra nem kerülnek sor. A chat üzenetek esetlegesen tartalmazhatnak különleges adatategóriájú (pl. egészségügyi, pénzügyi, jogi) adatokat — ezek kezelése a felhasználó önkéntes döntése és felelőssége.

2.3 Feltöltött dokumentumok (Irattár / Könyvtár)

Adat	Forrás	Cél	Jogalap	Megőrzés
Dokumentum fájl (PDF, DOCX stb.)	Feltöltés	AI elemzés, irattár, szerkesztés	(b) Szerződés	Felhasználó törli / fiók törlésekor
Fájlnév, méret, feltöltés dátuma	Automatikus	Megjelenítés, kezelés	(b) Szerződés	A fájllal együtt törlődik
Kinyert szöveg (OCR)	Automatikus	AI feldolgozás (elemzés, kitöltés, szerkesztés)	Nem tárol — csak az API hívás idejéig	Nem tárolódik

Adatfeldolgozók: Supabase, Inc. (tárolás, EU-west1) · Google Vertex AI (szövegkinyerés, elemzés, generálás — inferencia, nem tárol). A feltöltött dokumentumok nem kerülnek felhasználásra AI-modell képzéséhez. A Dokumentumszerkesztő funkció (pl. személyi igazolvány alapján szerződéskitöltés) képként feltöltött adatokat dolgoz fel — ezek szintén csak az aktuális feldolgozás idejéig kerülnek az AI-hoz, tárolásra nem kerülnek.

2.4 Precedens kereső és Szerződéselemző

A Precedens kereső és Szerződéselemző funkciók használata során a beírt keresési kifejezések és a feltöltött/beillesztett szerződésszövegek az AI-modellek felé kerülnek továbbításra elemzés céljából. Ezek az adatok nem tárolódnak önálló adatbázisban — csak az aktuális munkamenet idejéig léteznek, kivéve, ha a felhasználó explicit módon menti a dokumentumot az Irattárba. Az Irattárba mentett dokumentumokra a 2.3 pont rendelkezései vonatkoznak.

2.5 Technikai / szerver adatok

Adat	Forrás	Cél	Jogalap	Megőrzés
IP-cím	Minden kérés	Biztonság, hibaelhárítás	(f) Jogos érdek	30 nap
User-Agent (böngésző, OS)	Minden kérés	Hibaelhárítás, kompatibilitás	(f) Jogos érdek	30 nap
Szerverhiba-logok	Automatikus	Hibaelhárítás	(f) Jogos érdek	30 nap

Adatfeldolgozó: Google Cloud Run (EU – europe-west4) · Cloudflare, Inc. (CDN, DDoS-védelem, USA – SCC alapján)

2.6 Google Analytics 4 (analitika)

Adat	Mi ez?	Megőrzés
Anonimizált IP-cím	Ország/város szintű helyadat — pontos IP nem tárolódik	2 év
Munkamenet azonosító	Véletlenszerű szám, nem köthető személyhez	2 év
Megtekintett oldalak, kattintások	Aggregált forgalmi adat	2 év
Eszköz típusa, böngésző	Technikai adat	2 év
Tartózkodási idő, visszafordulási arány	Aggregált	2 év

Adatfeldolgozó: Google LLC (USA) — Standard Szerződési Feltételek (SCC) alapján. Az analitika kizárólag hozzájárulás alapján aktív (GDPR 6. cikk (1)(a)). Beleegyezés hiányában a Google Consent Mode v2 keretrendszer sütimentes, aggregált modellezési adatokat alkalmaz. Beleegyezését bármikor visszavonhatja a sütibeállítások módosításával.

3. Adatfeldolgozók teljes listája

Szolgáltató	Tevékenység	Adatkezelés helye	Garancia
Supabase, Inc.	Adatbázis (Auth, chat, irattár), fájltárolás	EU – Frankfurt (AWS eu-central-1) / EU-west1	DPA + EU adattárolás, GDPR-megfelelő
Google Cloud (Vertex AI)	AI modell inferencia (jogi chat, dokumentumelemzés, OCR, generálás)	EU – europe-west4 (Hollandia)	Google Cloud DPA, GDPR-megfelelő, adatok nem kerülnek modellképzésre
Anthropic, PBC	Claude AI modell (komplex jogi elemzések végső szövegírása)	USA	Standard Szerződési Feltételek (SCC) az EU–USA adattovábbításhoz
Google Cloud Run	Alkalmazásszerver (Next.js futtatása)	EU – europe-west4 (Hollandia)	Google Cloud DPA, GDPR-megfelelő
Cloudflare, Inc.	DNS, CDN, DDoS-védelem, domain-kezelés	EU + USA (globális hálózat)	SCC, Cloudflare DPA, GDPR-megfelelő
Google LLC (Analytics)	Webanalitika (GA4)	USA	SCC, Google Ads DPA, csak hozzájárulás alapján aktív

Az adatfeldolgozókkal kötött szerződések biztosítják, hogy az adatfeldolgozók kizárólag az adatkezelő utasításai szerint járjanak el, és megfelelő technikai és szervezési intézkedésekkel védjék az adatokat.

4. Mi NEM kerül tárolásra

Jelszó plaintext formában — soha nem tároljuk, csak bcrypt hash-t
Dokumentumokban szereplő AI feldolgozás közbeni szöveg — nem marad a szerveren a feldolgozás után
Bankártya / fizetési adat — nincs fizetési funkció a felhasználói felületen
Különleges adatkategóriák önálló nyilvántartásban — csak akkor dolgozzuk fel, ha a felhasználó chat üzenetbe vagy dokumentumba belefoglalja, és kizárólag a szolgáltatás nyújtása céljából
Más felhasználók adatai — mindenki kizárólag saját adataihoz fér hozzá

5. Különleges adatkategóriák kezelése

A Doktrina.ai jogi chat, precedens kereső és szerződéselemző funkciói esetén előfordulhat, hogy a felhasználó olyan szöveget ír be vagy tölt fel, amely különleges adatkategóriákat tartalmaz a GDPR 9. cikke értelmében (pl. egészségügyi adatok, szakszervezeti tagság, büntetőjogi adatok, pénzügyi helyzet). Ezeket az adatokat az adatkezelő nem gyűjti szándékosan és kifejezetten, azonban a szolgáltatás természetéből adódóan azok megjelenhetnek a felhasználó által önkéntesen bevitt tartalmakban.

Az ilyen adatok kezelésének jogalapja a GDPR 9. cikk (2) bekezdés (a) pontja szerint az érintett kifejezett hozzájárulása, amelyet a platform használatával és az adott tartalom megadásával ad meg. A Dokumentumszerkesztő esetén (pl. személyi igazolvány alapján szerződéskitöltés) az igazolványon szereplő személyes adatok kizárólag az adott dokumentum kitöltéséig kerülnek feldolgozásra, majd automatikusan megsemmisülnek.

6. Sütik (Cookies)

Az oldalon két kategóriájú sütit alkalmazunk: szükséges (beleegyezés nélkül is aktív, a szolgáltatás működéséhez elengedhetetlen) és analitikai (csak hozzájárulás alapján aktív). Marketing célú, profilalkotó vagy harmadik fél nyomkövetési sütiket nem alkalmazunk.

Szükséges sütik (mindig aktív, GDPR 6. cikk (1)(b) alapján)

Süti neve	Típus	Cél	Lejárat
`sb-access-token`	HttpOnly, Secure	Supabase hitelesítési munkamenet (bejelentkezési állapot fenntartása)	1 óra (auto-megújítás)
`sb-refresh-token`	HttpOnly, Secure	Munkamenet megújítása újabb bejelentkezés nélkül	7 nap
`gdpr-analytics`	localStorage	Süti-beleegyezési döntés rögzítése — nem személyes adat	Visszavonásig / 365 nap

Analitikai sütik (csak hozzájárulással, GDPR 6. cikk (1)(a) alapján)

Süti neve	Szolgáltató	Cél	Lejárat
`_ga`	Google LLC	Egyedi látogatók megkülönböztetése (véletlenszerű azonosító)	2 év
`_ga_XXXXXXXX`	Google LLC	Munkamenet állapot tárolása GA4-hez	2 év
`_gid`	Google LLC	Látogatók megkülönböztetése (24 órás azonosító)	24 óra

7. Az érintett jogai

A GDPR III. fejezete (13–22. cikkek) alapján Ön az alábbi jogokkal rendelkezik:

Jog	Tartalom	Hogyan gyakorolható
Hozzáférés (15. cikk)	Tájékoztatás kérése az Önről kezelt adatokról	E-mailben: adatvedelem@doktrina.ai
Helyesbítés (16. cikk)	Pontatlan adatok kijavítása	Profilbeállítások / e-mail
Törlés / „elfeledtetés" (17. cikk)	Összes adat azonnali törlése	Beállítások → „Fiók törlése" (azonnali, visszavonhatatlan)
Korlátozás (18. cikk)	Adatkezelés felfüggesztésének kérése	E-mailben: adatvedelem@doktrina.ai
Adathordozhatóság (20. cikk)	Adatok géppel olvasható formátumban	E-mailben kérhető (JSON/CSV formátumban, 30 napon belül)
Tiltakozás (21. cikk)	Jogos érdeken alapuló kezelés elleni tiltakozás	E-mailben: adatvedelem@doktrina.ai
Hozzájárulás visszavonása	Analitikai sütik kikapcsolása	Sütibeállítások / böngésző sütik törlése

Kérelmeit az adatvedelem@doktrina.ai e-mail címre küldheti. A kérelemre 30 napon belül (szükség esetén 60 nappal meghosszabbítva) válaszolunk. A válasz ingyenes, kivéve ha a kérelem egyértelműen megalapozatlan vagy túlzó.

8. Adatbiztonsági intézkedések

Titkosítás tároláskor: AES-256 at-rest encryption (Supabase / Google Cloud)
Titkosítás átvitelkor: TLS 1.3 minden kommunikációs csatornán
Jelszókezelés: bcrypt hash + salt — nyers jelszó soha nem tárolódik és nem kerül naplózásra
Hozzáférés-vezérlés: Row Level Security (RLS) a Supabase adatbázisban — minden felhasználó kizárólag saját adataihoz fér hozzá
Fájlizoláció: A feltöltött dokumentumok privát, felhasználóhoz kötött tárolóban (Supabase Storage bucket) kerülnek elhelyezésre, előre aláírt URL-ekkel
DDoS-védelem: Cloudflare hálózati szintű védelme
API-kulcsok: Szerver oldalon tárolva, soha nem kerülnek a kliens oldalra
Adatvédelmi incidens: Az adatkezelő az incidenst 72 órán belül köteles bejelenteni a NAIH-nak, ha az valószínűsíthetően kockázatot jelent az érintettekre nézve (GDPR 33. cikk)

9. Harmadik országba történő adattovábbítás

Az alábbi esetekben kerülhet sor az Európai Gazdasági Térségen (EGT) kívüli adattovábbításra:

Anthropic, PBC (USA): Chat üzenetek komplex elemzési kérés esetén a Claude AI modellhez kerülnek — Standard Szerződési Feltételek (SCC, 2021/914/EU határozat) alapján
Google LLC (USA) — Analytics: Anonimizált analitikai adatok — SCC alapján, csak hozzájárulással
Cloudflare, Inc. (USA): DNS, CDN hálózat — SCC + Cloudflare DPA alapján

Az SCC-k másolata kérésre rendelkezésre bocsátható. Az adatfeldolgozók kötelesek az adatokat kizárólag az utasított célra felhasználni és megfelelő védelmet biztosítani.

10. Gyermekek adatainak védelme

A Doktrina.ai szolgáltatás kizárólag 18 éven felüli, cselekvőképes személyek számára érhető el. A platform nem gyűjt tudatosan 18 év alatti személyek adatait. Ha tudomásunkra jut, hogy kiskorú regisztrált, az adatait haladéktalanul töröljük.

11. Jogorvoslat és felügyeleti hatóság

Ha úgy véli, hogy adatkezelésünk megsérti a GDPR vagy az Infotv. rendelkezéseit, panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):

Weboldal: naih.hu
Cím: 1055 Budapest, Falk Miksa u. 9–11.
E-mail: ugyfelszolgalat@naih.hu
Telefon: +36 (1) 391-1400

Az Infotv. 22. §-a alapján bírósághoz is fordulhat. A per — az érintett választása szerint — a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindítható.

12. A tájékoztató módosítása

Az adatkezelő fenntartja a jogot jelen tájékoztató módosítására. Lényeges változás esetén a felhasználókat e-mailben értesítjük, és a módosított tájékoztató hatálybalépése előtt legalább 15 nappal közzétesszük azt az oldalon. A szolgáltatás folytatólagos használata a módosítás elfogadásának minősül.

Utolsó módosítás: 2026. március 15. — Xenomorph Group Kft. / Doktrina.ai

Általános Szerződési Feltételek ← Főoldal