Adatkezelési tájékoztató

Verzió: 3.1 · Hatályos: 2026. március 22-től · Adatkezelő: Xenomorph Group Kft. | Doktrina.ai

FONTOS JOGI NYILATKOZAT
Ez a dokumentum az Adatkezelő jogi képviselője által összeállított, teljes körű adatkezelési tájékoztató, amely minden alkalmazandó magyar és európai uniós jogszabályi követelménynek megfelel. A tájékoztató a Doktrina.ai platform valamennyi funkcióját és adatkezelési tevékenységét lefedi, különös tekintettel a jogi szakmára vonatkozó fokozott titoktartási és adatvédelmi előírásokra.

A tájékoztató rendelkezései kötelező erővel bírnak az Adatkezelőre nézve, és azok betartása bírósági eljárásban is kikényszeríthető. Az érintett jogainak gyakorlása tekintetében a jelen tájékoztató az irányadó.

Az (EU) 2016/679 rendelet (GDPR), a 2011. évi CXII. törvény (Infotv.), a 2001. évi CVIII. törvény (Ektv.) és az ügyvédi tevékenységre vonatkozó 2017. évi LXXVIII. törvény (Ütv.) teljes megfelelésével készített tájékoztató. Kérjük, figyelmesen olvassa el, mielőtt a Doktrina.ai platformot használja.

Tartalomjegyzék

1. Bevezetés és hatály 2. Az adatkezelő és elérhetőségei 3. Jogszabályi háttér és alapelvek 4. Az adatkezelés kategóriái, céljai és jogalapjai 5. Különleges adatkategóriák kezelése 6. Ügyvédi titoktartás és az Ütv. szerinti kötelezettségek 7. Adatfeldolgozók és harmadik felek 8. Harmadik országba történő adattovábbítás 9. Adatmegőrzési időszakok 10. Az érintett jogai és érvényesítési eljárása 11. Adatbiztonsági intézkedések 12. Adatvédelmi incidens kezelése 13. Sütik (Cookie-k) és nyomkövetési technológiák 14. Automatizált döntéshozatal és profilalkotás 15. Gyermekek adatainak védelme 16. A platform GDPR-megfelelőségének dokumentálása 17. Felelősségkorlátozás 18. Módosítások és értesítések 19. Jogorvoslat és felügyeleti hatóság 20. Záró rendelkezések

1. Bevezetés és hatály

1.1. A tájékoztató célja

Jelen Adatkezelési Tájékoztató (a továbbiakban: „Tájékoztató") a Xenomorph Group Korlátolt Felelősségű Társaság (a továbbiakban: „Adatkezelő" vagy „Társaság") által üzemeltetett Doktrina.ai elnevezésű jogi mesterséges intelligencia platform (a továbbiakban: „Platform") keretein belül végzett személyes adatkezelési tevékenységekről szóló, az Adatkezelőt jogszabályi kötelezettségként terhelő részletes és teljes körű tájékoztatást tartalmaz.

A Tájékoztató célja, hogy az érintetteket – különösen az ügyvédeket, jogi tanácsadókat, ügyvédjelölteket, joghallgatókat, jogkereső magánszemélyeket és gazdálkodó szervezeteket – az adatkezelés minden releváns aspektusáról átfogóan tájékoztassa, ezzel biztosítva az adatkezelési átláthatóság elvének [GDPR 5. cikk (1) bekezdés a) pont] teljes körű érvényesülését.

A Tájékoztató egyúttal az Adatkezelő jogos érdekeinek védelmét is szolgálja: kifejezett, dokumentált hozzájárulások és jogalapok rögzítésével, valamint az adatkezelési tevékenységek pontos lehatárolásával minimalizálja az adatkezeléssel összefüggő jogi kockázatokat, és megalapozza az Adatkezelő védekezési pozícióját esetleges hatósági vagy bírósági eljárásban.

A jelen Tájékoztató az Általános Szerződési Feltételekkel (ÁSZF) együtt alkotja a Platform használatára vonatkozó teljes szerződéses és adatvédelmi keretet. Az ÁSZF elérhető a következő címen: doktrina.ai/aszf

1.2. Hatály

A Tájékoztató tárgyi hatálya kiterjed a Platform valamennyi funkciójára és az azok használatával összefüggő minden adatkezelési tevékenységre, ideértve, de nem kizárólagosan:

a regisztrációs és bejelentkezési folyamatot;
az AI-alapú jogi asszisztens chat funkciót;
a dokumentumfeltöltési, -szerkesztési és -elemzési funkciókat (Irattár, Dokumentumszerkesztő);
a Due Diligence funkcióhoz kapcsolódó adatkezelést;
a Szerződéselemző funkcióhoz kapcsolódó adatkezelést;
a Beadványszerkesztő funkcióhoz kapcsolódó adatkezelést;
a Határidőkalkulátor funkcióhoz kapcsolódó adatkezelést;
a technikai naplózást és analitikát;
a Platform üzemeltetéséhez szükséges minden egyéb adatkezelési tevékenységet.

A Tájékoztató személyi hatálya az érintettekre terjed ki, azaz minden természetes személyre — ideértve magánszemélyeket, ügyvédeket, ügyvédjelölteket, joghallgatókat, vállalkozókat és gazdálkodó szervezetek képviselőit —, akinek személyes adatai a Platform keretein belül kezelésre kerülnek. Az Adatkezelő az ügyvédi minőséget nem ellenőrzi és nem igazolja; az ügyvédekre vonatkozó fokozott adatvédelmi szabályok betartása az ügyvéd saját felelőssége. A Platform bármely 18. életévét betöltött természetes személy és jogi személy képviselője számára elérhető. A Tájékoztató területi hatálya az Európai Unió területére, valamint azon harmadik országokra terjed ki, amelyekbe a GDPR alapján adattovábbítás történik.

1.3. A Tájékoztató felépítése és értelmezése

A Tájékoztató az alkalmazandó jogszabályoknak, különösen a GDPR 13. és 14. cikkének, az Infotv. 20. §-ának, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) iránymutatásainak megfelelően került megszerkesztésre. A Tájékoztatóban használt fogalmak a GDPR 4. cikke szerinti meghatározásokkal bírnak.

Amennyiben a Tájékoztató egyes rendelkezései és az alkalmazandó jogszabályok között ellentmondás merülne fel, az alkalmazandó jogszabályok rendelkezései az irányadók. Az Adatkezelő a Tájékoztatót a jogszabályváltozásokkal és a hatósági iránymutatások változásával összhangban rendszeresen felülvizsgálja és szükség szerint módosítja.

2. Az adatkezelő és elérhetőségei

2.1. Az adatkezelő azonosító adatai

Cégnév	Xenomorph Group Korlátolt Felelősségű Társaság
Rövidített cégnév	Xenomorph Group Kft.
Platform neve	Doktrina.ai
Cégjegyzékszám	14-09-321617
Adószám	32818473-1-14
Székhely	7400 Kaposvár, 48-as Ifj. Útja 44. 1/5. a.
Képviselő neve	Török Ádám József (ügyvezető)
Bejegyző bíróság	Kaposvári Törvényszék Cégbírósága
Adatvédelmi kapcsolat	info@doktrina.ai
Általános kapcsolat	info@doktrina.ai
Platform URL	https://doktrina.ai
Adatvédelmi kapcsolattartó	Török Ádám József

2.2. Adatvédelmi tisztviselő (DPO)

A GDPR 37. cikke alapján az Adatkezelő nem köteles adatvédelmi tisztviselő (Data Protection Officer, DPO) kinevezésére, mivel:

az Adatkezelő nem közhatalmi szerv vagy közfeladatot ellátó szervezet [GDPR 37. cikk (1) bekezdés a) pont];
az Adatkezelő fő tevékenységei nem foglalnak magukban olyan adatkezelési műveleteket, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagyszabású megfigyelését teszik szükségessé [GDPR 37. cikk (1) bekezdés b) pont];
az Adatkezelő fő tevékenységei nem foglalnak magukban különleges adatkategóriák vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagyszabású kezelését [GDPR 37. cikk (1) bekezdés c) pont].

Az Adatkezelő ugyanakkor önként biztosítja, hogy minden adatvédelmi kérdésben az ügyvezető személyesen jár el, és az adatvédelmi kapcsolattartó elérhetőségén folyamatosan rendelkezésre áll. Az Adatkezelő fenntartja a jogot arra, hogy a platform növekedésével összefüggésben önkéntes alapon DPO-t nevezzen ki, amelyről az érintetteket haladéktalanul tájékoztatja.

3. Jogszabályi háttér és alapelvek

3.1. Alkalmazandó jogszabályok

Jogszabály	Megnevezés	Relevancia
(EU) 2016/679 rendelet	GDPR – Általános Adatvédelmi Rendelet	Elsődleges adatvédelmi jogalap
2011. évi CXII. tv.	Infotv. – Információs önrendelkezési jog és információszabadság	Nemzeti végrehajtó jogszabály
2001. évi CVIII. tv.	Ektv. – Elektronikus kereskedelmi szolgáltatások	Elektronikus szolgáltatások szabályai
2017. évi LXXVIII. tv.	Ütv. – Ügyvédi tevékenységről szóló törvény	Ügyvédi titoktartás, különleges adatvédelem
2013. évi V. tv.	Ptk. – Polgári Törvénykönyv	Szerződéses jogviszonyok, kárfelelősség
2012. évi C. tv.	Btk. – Büntetőtörvénykönyv	Adatvisszaélés, jogsértések büntetőjogi következményei
(EU) 2022/2065 rendelet	DSA – Digitális Szolgáltatásokról szóló rendelet	Platformfelelősség
(EU) 2024/1183 rendelet	eIDAS 2 – Elektronikus azonosítás	Digitális azonosítás
NAIH iránymutatások	Hatósági állásfoglalások és útmutatók	Értelmezési segédlet

3.2. Az adatkezelés alapelvei

Az Adatkezelő a személyes adatok kezelése során maradéktalanul érvényesíti a GDPR 5. cikkében rögzített alapelveket:

a) Jogszerűség, tisztességes eljárás és átláthatóság
Minden adatkezelési tevékenységnek megfelelő jogalapja van [GDPR 6. cikk, 9. cikk]; az adatkezelés az érintettekkel szemben tisztességesen zajlik; az érintetteket teljes körűen tájékoztatjuk az adatkezelés körülményeiről. Az Adatkezelő különösen gondot fordít arra, hogy a tájékoztatás érthetőség szempontjából is megfeleljen.

b) Célhoz kötöttség
Az adatokat meghatározott, egyértelmű és jogszerű célból gyűjtik, és azokat nem kezelik e célokkal össze nem egyeztethető módon. Az Adatkezelő az adatokat kizárólag az e Tájékoztatóban megjelölt célokra használja fel; azokat más célra — így különösen profilalkotásra, célzott reklámra vagy adatértékesítésre — nem használja.

c) Adattakarékosság
Az adatkezelés tárgyát képező személyes adatok az adatkezelés céljai szempontjából megfelelők és relevánsak, és a szükségesre korlátozódnak.

d) Pontosság
Az adatok pontosak és szükség esetén naprakészek; az Adatkezelő minden észszerű lépést megtesz annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse.

e) Korlátozott tárolhatóság
Az adatokat olyan formában tárolják, amely az érintett azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Az Adatkezelő részletes adatmegőrzési szabályzatot alkalmaz (lásd 9. fejezet).

f) Integritás és bizalmas jelleg
Az adatok kezelése oly módon történik, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

g) Elszámoltathatóság
Az Adatkezelő felelős az alapelvek betartásáért, és azt igazolni is képes [GDPR 5. cikk (2) bekezdés]. Az Adatkezelő az adatkezelési tevékenységekről nyilvántartást vezet [GDPR 30. cikk].

3.3. Adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk)

Az Adatkezelő — a GDPR 30. cikke alapján fennálló kötelezettségének teljesítéseként — az adatkezelési tevékenységeiről belső nyilvántartást vezet (Records of Processing Activities, RoPA). Ez a nyilvántartás tartalmazza az összes adatkezelési tevékenység részletes leírását, az alkalmazott jogalapokat, az adatkategóriákat, az adatmegőrzési időszakokat és az alkalmazott biztonsági intézkedéseket. A nyilvántartás a NAIH számára kérésre rendelkezésre áll.

4. Az adatkezelés kategóriái, céljai és jogalapjai

Az alábbiakban az Adatkezelő a Platform valamennyi funkciójához kapcsolódó adatkezelési tevékenységet részletesen bemutatja a GDPR 13. cikkének megfelelően. Minden egyes adatkezelési célhoz megjelölésre kerül az alkalmazott jogalap, az adatkategória, a megőrzési időszak és az esetlegesen érintett adatfeldolgozók.

4.1. Regisztrációs és fiókadatok

Adatkategória	Forrás	Cél	Jogalap (GDPR 6. cikk)	Megőrzési idő
E-mail cím	Regisztrációs űrlap	Azonosítás, bejelentkezés, rendszerértesítések, kapcsolattartás	(b) Szerződés teljesítése	Fiók törléséig
Jelszó (kizárólag bcrypt hash+salt formában)	Regisztrációs űrlap	Hitelesítés — nyers jelszó soha nem tárolódik és nem naplózódik	(b) Szerződés teljesítése	Fiók törléséig
Fiók létrehozásának időbélyege	Automatikus rendszeradat	Auditlog, inaktivitás-kezelés, GDPR 30. cikk szerinti nyilvántartás	(f) Jogos érdek: biztonság, visszaélés-megelőzés	Fiók törléséig
Utolsó bejelentkezés időbélyege	Automatikus rendszeradat	Biztonság, inaktív fiókok azonosítása és kezelése	(f) Jogos érdek: biztonság	Fiók törléséig
Előfizetési csomag adatai	Fizetési folyamat / kiválasztás	Hozzáférési szintek kezelése, számlázás	(b) Szerződés teljesítése	Számlázási kötelezettség fennállásáig + 8 év (Számv. tv.)
Opcionális: ügyvédi kamarai szám	Regisztrációs űrlap (opcionális)	Ügyvédi minőség ellenőrzése, fokozott szolgáltatások engedélyezése	(a) Hozzájárulás — az ügyvédi kamarai szám megadása önkéntes és kizárólag önbevallás alapján történik; az Adatkezelő az ügyvédi minőséget nem ellenőrzi	Fiók törléséig vagy hozzájárulás visszavonásáig
Opcionális: teljes név / cégnév	Regisztrációs űrlap (opcionális)	Személyre szabott megjelenítés, számlázás	(b) Szerződés teljesítése (ha megadva)	Fiók törléséig

Jogos érdek mérlegelési teszt (GDPR 6. cikk (1)(f)): Az Adatkezelő jogos érdeke: a Platform biztonsága, a visszaélések megelőzése, az inaktív fiókok kezelése. Mérlegelés eredménye: a naplózott adatok köre minimális és arányos; az érintett érdeke nem szenved aránytalan sérelmet, mivel az adatok kizárólag belső biztonsági célra kerülnek felhasználásra, harmadik félnek nem kerülnek átadásra. Adatfeldolgozók: Supabase, Inc. — EU (Frankfurt, AWS eu-central-1); Supabase pgvector — RAG keresés (jogszabály-vektorizálás).

4.1.a. A tárolt adatok teljes köre

Az Adatkezelő az alábbi adatokat tárolja tartósan a Supabase infrastruktúrán:

Felhasználói fiók (profiles tábla): belső felhasználói azonosító (UUID), e-mail cím, teljes név (opcionális), előfizetési csomag, havi token kvóta, felhasznált tokenek száma, regisztráció időpontja, profil utolsó módosításának időpontja.
Chat előzmények (chats tábla): chat azonosító, chat cím (az első kérdésből automatikusan generált), létrehozás időpontja, utolsó módosítás időpontja.
Chat üzenetek (messages tábla): üzenet azonosító, chat azonosító, felhasználói azonosító, üzenet szerepe (felhasználói kérdés vagy AI válasz), üzenet teljes szöveges tartalma (ideértve a jogi kérdéseket, a feltöltött dokumentumokból kinyert szöveget és az AI válaszait), küldés időpontja.
Irattár — dokumentumok (user_documents tábla + Supabase Storage): dokumentum azonosító, fájlnév, MIME típus, fájlméret, feltöltés időpontja, felhasználói azonosító (metaadat az adatbázisban); a fájl bináris tartalma (PDF, DOCX, TXT, XLSX, PPT, JPG, PNG, WEBP, HEIC formátumban, max. 100 MB) a Supabase Storage user-documents bucketjében tárolódik, elérési út: {user_id}/{timestamp}_{fájlnév}. A feltöltött fájlok az Irattár oldalon bármikor törölhetők.
Token felhasználási napló (token_usage_log tábla): felhasznált tokenek száma, AI modell neve, időbélyeg.
Hozzáférési kérelmek (access_requests tábla): e-mail cím, kérelem státusza (pending/approved/rejected), beküldés időpontja.
Hozzájárulási napló (consent_logs tábla): hozzájárulási döntés (granted/denied), elfogadott kategóriák, érvényes tájékoztató verziószáma, IP-cím, user-agent, időbélyeg, felhasználói azonosító (bejelentkezett felhasználónál) vagy null (anonim látogatónál).

4.2. AI jogi asszisztens chat funkció

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
Jogi kérdések, beadványok, szövegek (chat input)	Felhasználó által begépelt/beillesztett	AI válasz generálása; előzmények kezelése; kontextus fenntartása a munkamenetben	(b) Szerződés teljesítése	Fiók törléséig / 24 hónap inaktivitás után automatikus törlés
AI által generált válaszok (chat output)	Generált (Vertex AI / Claude)	Előzmények megjelenítése, munkamenet folytatása, felhasználói élmény	(b) Szerződés teljesítése	Fiók törléséig / 24 hónap inaktivitás után
Chat időbélyegek (üzenet küldési időpont)	Automatikus	Üzenetek sorrendjének meghatározása, előzmények kezelése	(b) Szerződés teljesítése	Fiók törléséig
Chat cím (automatikus vagy manuális)	Automatikus / felhasználó	Navigáció, munkafolyamat-azonosítás	(b) Szerződés teljesítése	Fiók törléséig
Metaadatok (munkamenet ID, modell verzió)	Automatikus rendszeradat	Hibakeresés, minőségbiztosítás, GDPR 30. cikk nyilvántartás	(f) Jogos érdek: minőségbiztosítás, hibaelhárítás	30 nap

KRITIKUS FIGYELMEZTETÉS — ÜGYVÉDI TITOKTARTÁS ÉS KÜLÖNLEGES ADATOK:
A chat funkció használata során az érintett által begépelt üzenetek az AI inferencia céljából továbbításra kerülnek a Google Vertex AI (EU – europe-west3, Hollandia) felé. Az Adatkezelő kizárólag Google Vertex AI infrastruktúrán futtatott Gemini modelleket alkalmaz; közvetlen Anthropic API kapcsolat nincs. Az Adatkezelő kifejezetten felhívja az ügyvédek figyelmét, hogy az ügyvédekre vonatkozó titoktartási kötelezettség (Ütv. 9. §) kiterjed minden olyan információra, amelyet az ügyvéd az ügyféltől a megbízás kapcsán szerzett tudomására. A Google Cloud adatfeldolgozási feltételei (Cloud Data Processing Addendum, CDPA) alapján a Vertex AI a felhasználók által bevitt adatokat kizárólag az aktuális inferencia (válaszgenerálás) elvégzéséhez használja; modellképzésre, tartós tárolásra vagy harmadik félnek történő továbbításra az adatok nem kerülnek.

4.3. Dokumentumfeltöltés és -szerkesztés (Irattár / Dokumentumszerkesztő)

A Platform Irattár és Dokumentumszerkesztő funkciói lehetővé teszik fájlok (PDF, DOCX, JPEG, PNG stb.) feltöltését, tárolását, AI-alapú elemzését és szerkesztését. Ez a funkció különösen érzékeny, mivel jogi dokumentumok — köztük esetlegesen személyes adatokat és titkos tartalmakat hordozó iratok — kerülhetnek feltöltésre.

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
Feltöltött dokumentum fájl (PDF, DOCX, kép stb.)	Felhasználó által feltöltött	AI elemzés, irattárban való tárolás, szerkesztés, keresés	(b) Szerződés teljesítése	Felhasználó explicit törléséig vagy fiók törlésekor
Fájl metaadatok (fájlnév, méret, MIME típus, feltöltés dátuma)	Automatikus	Megjelenítés, kereshetőség, fájlkezelés	(b) Szerződés teljesítése	A kapcsolódó fájllal együtt törlődik
Kinyert szöveg (OCR / szövegelemzés)	Automatikus feldolgozás	AI elemzés, tartalom-kinyerés — kizárólag az aktuális API hívás idejéig létezik	Nem kerül tárolásra — csak memóriában él a feldolgozás idejéig	Nem tárolódik
Dokumentumelemzési eredmény (generált összefoglaló, kivonatok)	AI generált	Megjelenítés a felhasználónak; opcionálisan menthetők az Irattárba	(b) Szerződés teljesítése (ha mentésre kerül)	Felhasználó törléséig, ha mentve van; egyébként munkamenet végéig
Személyi igazolványon szereplő adatok (Dokumentumszerkesztőben)	Felhasználó által feltöltött kép	Szerződés-kitöltési sablon feltöltése — kizárólag az adott feldolgozási lépésig	Nem tárolódik — csak a feldolgozás idejéig az AI API memóriában	Nem tárolódik
Szerződéssablonok (rendszerszinten tárolt)	Adatkezelő által előkészített	Sablonok biztosítása a felhasználóknak	(b) Szerződés teljesítése	Platform fennállásáig

Fontos adatbiztonsági garancia: A feltöltött dokumentumok a Supabase Storage szolgáltatásban, privát, felhasználóhoz kötött tárolóban kerülnek elhelyezésre, amelyhez más felhasználók nem férhetnek hozzá (Row Level Security). A dokumentumok elérése előre aláírt (pre-signed), rövid lejáratú URL-ekkel történik. Adatfeldolgozók: Supabase, Inc. (EU – tárolás), Google Vertex AI (EU – europe-west3, inferencia). A feltöltött dokumentumok nem kerülnek felhasználásra AI-modell képzéséhez.

4.4. Due Diligence funkció

A Due Diligence funkció segítségével az ügyvéd vagy jogi szakember cégek, szerződő felek, ingatlanok vagy tranzakciók átvilágítását végezheti el AI-támogatással. Ez a funkció különösen érzékeny, mivel az átvilágítás tárgya harmadik személyek személyes adatait, cégadatait vagy vagyoni helyzetét érintheti.

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
Due diligence kérés szövege (entitás neve, kérdések)	Felhasználó által begépelt	AI elemzés elvégzése, web keresés, összefoglaló generálás	(b) Szerződés teljesítése	Munkamenet végéig, hacsak a felhasználó nem menti el
Weben keresett adatok (Serper.dev API)	Nyilvánosan elérhető webes tartalom	Jogi precedensek, céginformációk, közlemények keresése	(b) Szerződés teljesítése; (f) Jogos érdek	Nem tárolódik — csak az aktuális kérés idejéig
Weboldalak teljes szövege (Jina AI)	Nyilvánosan elérhető webes oldal	Tartalomelemzés, teljes szöveg kinyerése (pl. bírósági határozat)	(b) Szerződés teljesítése	Nem tárolódik — csak az aktuális kérés idejéig
Generált due diligence összefoglaló	AI generált	Megjelenítés a felhasználónak; opcionálisan menthető Irattárba	(b) Szerződés teljesítése (ha mentve)	Mentés esetén: felhasználó törléséig; egyébként: munkamenet végéig
Harmadik személyek adatai (ha a kérésben szerepelnek)	Felhasználó által bevitt	Az átvilágítás elvégzéséhez szükséges kontextus biztosítása	(f) Jogos érdek: jogi kockázatelemzés / (b) Szerződés	Munkamenet végéig, hacsak nem kerül mentésre

Harmadik személyek adatairól szóló különös rendelkezés: Ha az ügyvéd a due diligence kérésben harmadik személyek személyes adatait adja meg, ezek az adatok kizárólag az aktuális munkamenet idejéig kezeltetnek. Az Adatkezelő nem tárol és nem dolgoz fel harmadik személyek adatait saját adatbázisában. A harmadik személyek adatainak megadásáért kizárólag az adatokat bevivő ügyvéd/felhasználó felelős.

4.5. Szerződéselemző funkció

A Szerződéselemző funkció lehetővé teszi szerződések és jogi dokumentumok szöveges vagy fájlalapú feltöltését, majd AI-alapú elemzését, kockázatelemzését és záradékok értékelését. Ez a funkció — különösen ha az ügyvéd ügyféladatokat tartalmazó szerződést tölt fel — komoly adatvédelmi kockázatot hordozhat.

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
Feltöltött/beillesztett szerződés szövege	Felhasználó által feltöltött/begépelt	AI-alapú elemzés, kockázatértékelés, záradékok azonosítása	(b) Szerződés teljesítése	Csak munkamenet idejéig, hacsak Irattárba nem menti
Elemzési eredmény (AI által generált értékelés)	AI generált	Megjelenítés; opcionális mentés	(b) Szerződés teljesítése	Mentés esetén: felhasználó törléséig; egyébként: munkamenet végéig
Keresési lekérdezések (szerződéstípusra, záradékra)	Felhasználó által begépelt	Releváns elemzési kontextus meghatározása	(b) Szerződés teljesítése	Munkamenet végéig

4.6. Beadványszerkesztő funkció

A Beadványszerkesztő az ügyvéd számára bírósági vagy hatósági beadványok, kérelmek, fellebbezések és egyéb jogi dokumentumok AI-segédlettel való megszerkesztését teszi lehetővé. Erre a funkcióra különösen figyelni kell, mivel a beadványokban tárgyalt ügyek harmadik személyek személyes és esetlegesen különleges adatait tartalmazzák.

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
Tényállás-leírás, felek adatai (felhasználó által megadott)	Felhasználó által begépelt	Beadvány tervezet generálása	(b) Szerződés teljesítése	Munkamenet végéig / Irattárba mentve: fiók törléséig
Generált beadvány szövege	AI generált	Megjelenítés, letölthetőség, opcionális mentés	(b) Szerződés teljesítése	Mentés esetén: fiók törléséig; egyébként: munkamenet végéig
Sablonválasztás (beadvány típusa)	Felhasználói választás	Megfelelő sablon kiválasztása	(b) Szerződés teljesítése	Munkamenet végéig

Ügyvédi felelősség határa: Az AI által generált beadványtervezet nem minősül ügyvédi jogi tanácsadásnak. Az ügyvéd kizárólagos szakmai és jogi felelősséggel tartozik az általa benyújtott beadványok tartalmáért. Az Adatkezelő kizárja felelősségét a beadványok tartalmából eredő jogi következményekért.

4.7. Határidőkalkulátor funkció

A Határidőkalkulátor funkció jogi határidők (pl. fellebbezési határidő, elévülési idő, eljárási határidők) kiszámítását teszi lehetővé. Ez a funkció alacsonyabb adatvédelmi kockázattal bír, mivel általában nem igényel különleges személyes adatokat.

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
Számítás alapjául szolgáló dátumok, határidők	Felhasználó által megadott	Határidőszámítás elvégzése	(b) Szerződés teljesítése	Munkamenet végéig — nem tárolódik
Alkalmazandó jogszabály (felhasználó által kiválasztott)	Felhasználói választás	Megfelelő határidő-szabály alkalmazása	(b) Szerződés teljesítése	Munkamenet végéig — nem tárolódik
Számítás eredménye	Automatikus/AI generált	Megjelenítés a felhasználónak	(b) Szerződés teljesítése	Munkamenet végéig — nem tárolódik

4.8. Technikai és naplózási adatok

Adatkategória	Forrás	Cél	Jogalap	Megőrzési idő
IP-cím	Minden HTTP kérés	Biztonság, DDoS-védelem, hibaelhárítás, visszaélés-megelőzés	(f) Jogos érdek: biztonság	30 nap, majd automatikus törlés
User-Agent (böngésző, OS verzió, eszköz típusa)	Minden HTTP kérés	Hibaelhárítás, böngésző-kompatibilitás, támadásdetekció	(f) Jogos érdek: hibaelhárítás	30 nap, majd automatikus törlés
Szerverhiba-logok (HTTP státuszkódok, stack trace-ek)	Automatikus szervergeneráció	Hibaelhárítás, stabilitásbiztosítás	(f) Jogos érdek: hibaelhárítás	30 nap, majd automatikus törlés
Token felhasználási napló (AI modell neve, felhasznált tokenek száma — tartalom nélkül)	Automatikus	Kapacitástervezés, számlázás, visszaélés-detekció	(f) Jogos érdek + (b) Szerződés	90 nap
Cloudflare hálózati logok (CDN, DDoS szűrés)	Cloudflare hálózat	DDoS-védelem, DNS kezelés, hálózati biztonság	(f) Jogos érdek: biztonság	Cloudflare DPA szerint: max. 30 nap
Qdrant vektoros index metaadatok (jogszabály RAG)	Rendszer	Jogi tartalmak visszakereshetősége (kizárólag jogszabályszövegek, nem személyes adat)	Nem személyes adat — GDPR nem alkalmazandó	Platform fennállásáig

Adatfeldolgozó: Google Cloud Run (EU – europe-west3) · Cloudflare, Inc. (CDN, DDoS-védelem, SCC alapján)

Biztonsági mentések (backup) kezelése: Az Adatkezelő infrastruktúrájában keletkező biztonsági mentések ugyanolyan AES-256 titkosítással védettek, mint az éles adatok. A backup-okban tárolt személyes adatokra az érintett törlési kérelme esetén az Adatkezelő gondoskodik arról, hogy a törlés a backup-ciklusok lejártával (maximum 30 napon belül) a mentési állományokra is kiterjedjen. Addig az érintett adatai a backupban technikai megőrzési állapotban maradnak, aktív feldolgozás nélkül.

4.9. Analitikai adatok (Google Analytics 4)

Az Adatkezelő Google Analytics 4 (GA4) szolgáltatást használ a Platform forgalmának és használatának elemzésére. Ez az adatkezelés kizárólag az érintett előzetes hozzájárulása esetén aktív.

Adatkategória	Mi ez?	Megőrzési idő
Anonimizált IP-cím	Ország/város szintű helymeghatározás — a pontos IP nem tárolódik	2 év
Munkamenet-azonosító	Véletlenszerű, pszeudoanonymizált szám — személyhez nem köthető	2 év
Megtekintett oldalak, kattintások	Aggregált forgalmi adat, oldalnézetek száma	2 év
Eszköztípus, böngésző, képernyőfelbontás	Technikai eszközadat	2 év
Tartózkodási idő, visszafordulási arány	Aggregált viselkedési adat	2 év
Konverziós esemény (pl. regisztráció)	Aggregált funkció-használati adat	2 év

Jogalap: GDPR 6. cikk (1) bekezdés a) pont — kifejezett hozzájárulás. Az analitika kizárólag hozzájárulás esetén aktív. Hozzájárulás hiányában a Google Consent Mode v2 sütimentes, aggregált, modellezési adatokat alkalmaz, amely nem minősül személyes adatkezelésnek. Adatfeldolgozó: Google LLC (USA) — SCC (2021/914/EU határozat) alapján. Az Adatkezelő biztosítja, hogy a GA4 IP-anonimizálási funkciója aktiválva van, és az adatmegosztási beállítások a legszűkebbre vannak állítva (csak platform-szintű mérés; reklámszolgáltatók számára nincsen adattovábbítás).

4.10. Ügyfél (ügyvéd által bevitt) személyes adatok

Az Adatkezelő az alábbi álláspontot rögzíti az ügyvéd által bevitt ügyféladatok tekintetében:

Az Adatkezelő az ilyen esetekben adatfeldolgozónak (és nem önálló adatkezelőnek) minősül az ügyvéd (mint adatkezelő) vonatkozásában, kivéve, ha az adatokat saját céljaira (pl. biztonság, számlázás) kezeli.
Az ügyvéd (felhasználó) felel azért, hogy az általa bevitt ügyféladatokat jogszerűen dolgozza fel, az Ütv. 9. §-a szerinti titoktartási kötelezettséggel összhangban.
Az Adatkezelő az ügyvéd által bevitt ügyféladatokat kizárólag az ügyvéd által kért AI-funkció elvégzésére használja; azokat saját célra nem gyűjti, és harmadik félnek nem adja át.
Az ügyféladatok az Irattárban való explicit mentés hiányában a munkamenet végén automatikusan megsemmisülnek.
Az ügyvéd felelősségi körét az ügyvéd és az Adatkezelő között kötött adatfeldolgozói megállapodás (DPA) szabályozza, amelynek elfogadása a Platform használatának feltétele.

5. Különleges adatkategóriák kezelése

5.1. A különleges adatkategóriák azonosítása a platformon

A GDPR 9. cikke szerinti különleges adatkategóriák a Platform kontextusában az alábbi módokon jelenhetnek meg:

Jogi chat-ben: az ügyvéd jogi tanácsadás során a különleges kategóriákba tartozó ügyfélinformációkat oszthat meg (pl. munkajogi ügyben az érintett egészségi állapota, büntetőügyben a vádlott adatai);
Beadványszerkesztőben: bírósági beadványok tárgyuknál fogva tartalmazhatnak különleges adatkategóriákat;
Szerződéselemzőben: egészségügyi, biztosítási vagy munkaügyi szerződések különleges adatkategóriákat érinthetnek;
Dokumentumszerkesztőben: feltöltött iratok (pl. orvosi vélemény, rendőrségi határozat) közvetlen különleges adatokat tartalmazhatnak.

A Platform természetéből adódóan a chat üzenetek közvetve vagy közvetlenül érinthetnek egészségügyi adatokat (pl. munkaképtelenség, baleset kapcsán feltett kérdések), büntetőjogi előélettel kapcsolatos adatokat, valamint pénzügyi helyzettel összefüggő adatokat. Ezeket az adatokat az Adatkezelő kizárólag a kért AI-funkció elvégzéséhez dolgozza fel; harmadik félnek nem adja át, és saját célra nem gyűjti.

5.2. Az adatkezelés jogalapja különleges adatkategóriák esetén

a) Kifejezett hozzájárulás [GDPR 9. cikk (2) bekezdés a) pont]
Az érintett a Platform regisztrációja során és a Szolgáltatási Feltételek elfogadásával kifejezett hozzájárulást ad ahhoz, hogy az általa önkéntesen begépelt vagy feltöltött — esetlegesen különleges adatkategóriákat tartalmazó — tartalmak az AI-szolgáltatások igénybevétele céljából kezelésre kerüljenek. Ez a hozzájárulás önkéntes, egyértelmű, tájékozott és egyedi. Az érintett a hozzájárulást bármikor visszavonhatja a fiókja törlésével.

b) Jogi igény előterjesztéséhez, érvényesítéséhez szükséges kezelés [GDPR 9. cikk (2) bekezdés f) pont]
Ha az ügyvéd jogi eljárás keretében — pl. peres ügyvitel során — tölt fel különleges adatkategóriákat tartalmazó dokumentumot, az adatkezelés jogalapja a jogi igények előterjesztéséhez, érvényesítéséhez szükséges kezelés is lehet.

c) Szakmai titoktartás [GDPR 9. cikk (2) bekezdés h) pont]
Ha az ügyvéd az ügyféltől kapott különleges adatokat tölt fel jogi tanácsadás céljából, az adatkezelés az egészségügyi és szociális gondozási ágazatban dolgozó szakemberekre vonatkozó tagállami jogon alapuló, szakmai titoktartási kötelezettséggel járó kezelés kategóriájába is eshet [GDPR 9. cikk (2) h) pont, Infotv. 5. § (1) bek. a) pont].

5.3. Az Adatkezelő kötelezettségei különleges adatkategóriák esetén

Minimalizálás: az Adatkezelő nem ösztönzi a különleges adatkategóriák szükségtelen bevitelét; a Platform felülete erre vonatkozó figyelmeztető üzenetet jelenít meg az érzékeny funkciók megnyitásakor.
Tároláskorlátozás: a különleges adatkategóriákat tartalmazó chat üzenetek esetében az Adatkezelő az általános 24 hónapos inaktivitási törlési szabályt alkalmazza; ha az érintett hamarabb kéri a törlést, azt 30 napon belül teljesíti.
Biztonsági intézkedések: a különleges adatokat tartalmazó fájlok és üzenetek ugyanolyan AES-256 titkosítást kapnak, mint az összes többi adat.
Adatfeldolgozói lánc: az AI-feldolgozók (Google Vertex AI, Anthropic) szerződéses kötelezettséget vállalnak arra, hogy a különleges adatkategóriákat tartalmazó üzeneteket sem tárolják, sem modellképzésre nem használják fel.

6. Ügyvédi titoktartás és az Ütv. szerinti kötelezettségek

6.1. A platformon érintett titoktartási rezsim

A Doktrina.ai platform kizárólag eszközt biztosít az ügyvédek szakmai munkájához; az Adatkezelő nem minősül az ügyvéd alkalmazottjának, megbízottjának vagy ügyfélkapcsolati partnerének. Az Ütv. 9. §-a szerinti ügyvédi titoktartási kötelezettség az ügyvédet terheli, nem az Adatkezelőt. Az Adatkezelő az ügyvédi minőséget nem ellenőrzi; a Platform ügyvédek, vállalkozók, magánszemélyek és cégek képviselői számára egyaránt elérhető.

6.2. Az Adatkezelő kötelezettségvállalásai az ügyvédi titoktartás védelméért

Az Adatkezelő semmilyen körülmények között nem fér hozzá az egyes ügyvédek által bevitt konkrét üzenetek tartalmához, kivéve a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogszabályi kötelezettség teljesítése (pl. bírósági végzés) esetén.
A technikai hozzáférés-kontroll (Row Level Security) kizárja, hogy az Adatkezelő alkalmazottai — beleértve a fejlesztőket is — a felhasználók adatait rutinszerűen olvassák; adathozzáférés kizárólag dokumentált, indokolt és naplózott kivételes esetekben lehetséges.
Az AI inferencia-kérések titkosított csatornán (TLS 1.3) haladnak az AI-feldolgozó felé, és az AI-feldolgozó a kapott tartalmat nem tárolja, nem naplózza.
Az Adatkezelő hatósági megkeresés esetén értesíti az érintett felhasználót a megkeresés tényéről, amennyiben ezt jogszabály nem tiltja. Az Adatkezelő nem értesíti az érintettet, ha a vonatkozó jogszabály (pl. Be., Nbtv.) az értesítést kifejezetten megtiltja vagy a nyomozás eredményességét veszélyeztetné.

6.3. Adatfeldolgozói megállapodás (DPA) ügyvédek esetén

Az Adatkezelő és az ügyvéd közötti jogviszony — amennyiben az ügyvéd ügyféladatokat visz be a rendszerbe — részben adatfeldolgozói jelleget ölt. Ezért az Adatkezelő a Platform Általános Szerződési Feltételeibe integrálja a GDPR 28. cikke szerinti adatfeldolgozói megállapodás lényeges elemeit:

Az Adatkezelő (mint adatfeldolgozó) az ügyvéd (mint adatkezelő) utasításai szerint jár el az ügyféladatok vonatkozásában;
Az Adatkezelő nem használja fel az ügyféladatokat saját célra;
Az Adatkezelő tájékoztatja az ügyvédet, ha adatvédelmi incidensre gyanú merül fel;
Az Adatkezelő az ügyvéd kérésére segítséget nyújt az érintetti jogok érvényesítésében;
Az Adatkezelő az ügyvéd kérésére töröl vagy visszaszolgáltat minden ügyvéd által bevitt adatot.

Az ÁSZF elfogadásával az ügyvéd megismeri és elfogadja ezeket a feltételeket, amelyek az adatfeldolgozói megállapodás szerepét töltik be a GDPR 28. cikk (3) bekezdése értelmében.

7. Adatfeldolgozók és harmadik felek

7.1. Az adatfeldolgozói jogviszony tartalma

Az Adatkezelő a GDPR 28. cikke alapján az adatkezelési tevékenységek egy részéhez adatfeldolgozókat vesz igénybe. Az Adatkezelő kizárólag olyan adatfeldolgozókat vesz igénybe, akik megfelelő garanciákat nyújtanak a GDPR követelményeinek megfelelő és az érintett jogait védő technikai és szervezési intézkedések végrehajtására. Az adatfeldolgozókkal az Adatkezelő adatfeldolgozói szerződést (DPA) köt, amelynek tartalma megfelel a GDPR 28. cikk (3) bekezdésének.

7.2. Az adatfeldolgozók teljes listája

Szolgáltató	Tevékenység	Adatkezelés helye	Adatkategória	Garancia
Supabase, Inc.	Adatbázis-kezelés (Auth, chat előzmények, irattár, token napló, hozzájárulási napló, hozzáférési kérelmek), fájltárolás (Storage), vektoros keresés (pgvector — RAG)	EU – Frankfurt (AWS eu-central-1); EU-west1 (Belgium)	Fiókadatok, chat üzenetek, feltöltött dokumentumok	DPA; GDPR 28. cikk; EU adattárolás; SOC 2 Type II
Google Cloud (Vertex AI)	AI modell inferencia (Gemini modellek: jogi chat, due diligence, elemzés, OCR, generálás)	EU – europe-west3 (Hollandia)	Chat üzenetek tartalma (inferencia idejéig); dokumentum szövege (inferencia idejéig)	Google Cloud DPA; GDPR-megfelelő; nem használ modellképzésre; ISO 27001
Google Cloud Run	Alkalmazásszerver (Next.js futtatása, API gateway)	EU – europe-west3 (Hollandia)	Tranziens kérés/válasz adatok	Google Cloud DPA; GDPR-megfelelő; ISO 27001
Cloudflare, Inc.	DNS, CDN, DDoS-védelem, SSL/TLS termináció	Globális (EU PoP + USA)	IP-cím, HTTP fejlécek, domain adatok	SCC (2021/914/EU); Cloudflare DPA; GDPR-megfelelő
Serper Technology Inc. (Serper.dev)	Webes jogi keresés (bírósági döntések, jogszabályváltozások valós idejű keresése)	USA	Keresési lekérdezés szövege — jogszabály-keresés és jogi kérdések kiegészítő webes keresése (személyes azonosítók nélkül)	SCC; csak lekérdezés szövege kerül továbbításra
Jina AI GmbH	Webes tartalom kinyerése (jogesetek, precedensek teljes szövegének olvasása URL alapján)	Németország (EU)	URL-ek és a kinyert nyilvános weboldal szöveg	GDPR-megfelelő; EU-ban alapított; DPA
Google LLC (Analytics)	Webanalitika (GA4)	USA (SCC alapján)	Anonimizált analitikai adatok — csak hozzájárulással	SCC; Google Ads DPA; IP-anonimizálás; csak hozzájárulással
Qdrant Cloud (vektoros adatbázis)	Jogszabály RAG indexing (kizárólag nyilvános jogszabályszövegek)	EU – Europe West	Nem személyes adat (jogszabályszövegek vektoros reprezentációja)	GDPR-megfelelő; személyes adatot nem tartalmaz

7.3. Al-adatfeldolgozók

Az Adatkezelő az al-adatfeldolgozók igénybevételére vonatkozóan általános jóváhagyást alkalmaz: az adatfeldolgozók az Adatkezelő előzetes tájékoztatása mellett jogosultak al-adatfeldolgozókat igénybe venni, feltéve, hogy az al-adatfeldolgozó ugyanolyan adatvédelmi kötelezettségeket vállal. Az Adatkezelő az al-adatfeldolgozói listát a jelen Tájékoztató 7.2. szakaszában nyilvánosan elérhetővé teszi, és annak változásáról az érintetteket a 18. fejezet szerint értesíti.

7.4. Adatfeldolgozók felelősségvállalása

Valamennyi adatfeldolgozóval kötött megállapodás tartalmazza:

Az adatok kizárólag az Adatkezelő utasításai szerint való kezelésének kötelezettségét;
A megfelelő technikai és szervezési intézkedések alkalmazásának kötelezettségét;
Az adatvédelmi incidens haladéktalan bejelentési kötelezettségét;
Az adatok törlésének vagy visszaszolgáltatásának kötelezettségét a megállapodás megszűnésekor;
Az audit és ellenőrzési jogot az Adatkezelő számára;
Az al-adatfeldolgozók igénybevételéhez szükséges előzetes értesítési/jóváhagyási kötelezettséget.

8. Harmadik országba történő adattovábbítás

8.1. Az EGT-n kívüli adattovábbítás szabályai

A GDPR V. fejezete (44–49. cikk) értelmében személyes adatokat harmadik országba — az Európai Gazdasági Térségen (EGT: EU tagállamok + Izland, Liechtenstein, Norvégia) kívülre — csak akkor lehet továbbítani, ha megfelelő garanciák állnak fenn.

8.2. Az érintett harmadik országok és az alkalmazott garanciák

Adatfeldolgozó	Ország	Továbbított adatkategória	Garancia jogalap	Megjegyzés
Google LLC (Analytics)	USA	Anonimizált analitikai adatok	SCC (2021/914/EU); Google Ads DPA; IP-anonimizálás	Csak hozzájárulás esetén; aggregált és anonimizált adat
Cloudflare, Inc.	USA (globális hálózat)	IP-cím, HTTP fejlécek (tranziens, nem tárolt)	SCC; Cloudflare DPA; EU-US Data Privacy Framework	Az EU-s PoP-ok előnyben részesítve; az adatok nem kerülnek USA-ba
Serper Technology Inc.	USA	Keresési lekérdezés szövege (személyes azonosítók nélkül)	SCC 2021/914/EU alkalmazandó	Transfer Impact Assessment (TIA) elvégzve: a lekérdezések személyes azonosítókat nem tartalmaznak; a kockázat alacsony. SCC 2021/914/EU alkalmazandó.

8.3. Az SCC-k érvényessége és a Schrems II. határozat utáni értékelés

Az Európai Bíróság C-311/18. sz. (Schrems II.) ügyben hozott ítéletét követően az Adatkezelő elvégezte az SCC-alapú harmadik országos adattovábbítások Transfer Impact Assessment (TIA) értékelését:

A Vertex AI (Google Cloud) esetén az adatok az EU-s infrastruktúrán (europe-west3) belül maradnak; USA-ba irányuló közvetlen adattovábbítás nem történik.
A Google LLC esetében az EU-US Data Privacy Framework és az SCC-k kombinált alkalmazása megfelelő védelmi szintet biztosít;
A Cloudflare esetében az EU-s PoP-ok előnyben részesítése minimalizálja az USA-ba irányuló adatáramlást;
Az Analytics adatok anonimizálva kerülnek az USA-ba, ami tovább csökkenti a kockázatot.

Az SCC-k másolatát az érintett kérésre az info@doktrina.ai címen igényelheti. Az Adatkezelő az SCC-k érvényességét és az adattovábbítási kockázatokat legalább évente felülvizsgálja.

9. Adatmegőrzési időszakok

9.1. Az adatmegőrzés elvei

Az Adatkezelő a személyes adatokat kizárólag addig őrzi meg, ameddig az adatkezelési cél fennállásához szükséges, figyelembe véve:

a GDPR 5. cikk (1) bekezdés e) pontja szerinti tároláskorlátozási elvet;
a számlázási és adózási kötelezettségekre vonatkozó jogszabályi megőrzési határidőket (pl. 2000. évi C. törvény a számvitelről: 8 év);
az esetleges jogi igény érvényesítéséhez szükséges megőrzési időt (Ptk. általános 5 éves elévülési idő);
az ágazatspecifikus kötelezettségeket (pl. Ütv. szerinti iratmegőrzési kötelezettség).

9.2. Adatmegőrzési táblázat

Adatkategória	Megőrzési idő	Jogalap / Indok	Törlés módja
Fiókadatok (e-mail, jelszó hash, időbélyegek)	Fiók aktív fennállásáig	Szerződés teljesítése — az adatok az aktív fiókhoz szükségesek	Fiók törléskor automatikus, azonnali törlés
Chat üzenetek (kérdések és AI válaszok)	Előfizetés aktív fennállásáig; előfizetés megszűnésétől számított 30 napon belül törlés	Szerződés teljesítése; felhasználói élmény	Fiók törléskor + inaktivitási tisztítás
Feltöltött dokumentumok (Irattár)	Felhasználó által bármikor törölhető az Irattár oldalon; előfizetés megszűnésekor automatikusan törlendő; fiók törlésekor automatikusan törlendő	Szerződés teljesítése; irattár funkció	Felhasználói törléskor vagy fiók törlésekor automatikus
Munkamenet-alapú feldolgozás (nem mentett adatok)	Munkamenet vége (percek–órák)	Technikai szükségesség — inferencia elvégzéséig	Automatikus, memóriából törlés
Technikai logok (IP, User-Agent, hibák)	30 nap	Jogos érdek: biztonság, hibaelhárítás	Automatikus, rolling 30 napos törlés
API metaadatok (token szám, modellhívás)	90 nap	Számlázás, kapacitástervezés	Automatikus, rolling 90 napos törlés
Előfizetési/számlázási adatok	8 év az utolsó számlától (Számv. tv. 169. §)	Jogszabályi kötelezettség (könyvviteli bizonylat)	Törvényes megőrzési idő lejártakor
Analytics adatok (GA4)	2 év (GA4 beállítás)	Hozzájárulás alapú; aggregált adat	GA4 automatikus törlés; hozzájárulás visszavonáskor
Token felhasználási napló	12 hónap	Számlázás, kvótakezelés, kapacitástervezés	Automatikus, rolling törlés
Hozzáférési kérelmek (access_requests)	Döntéstől számított 6 hónap	Jogos érdek: visszaélés-megelőzés, bizonyíthatóság	Automatikus törlés
Adatfeldolgozói audit logok	3 év	Jogos érdek: elszámoltathatóság bizonyítása GDPR 5. cikk (2) bek.	Automatikus törlés

9.3. A törlési folyamat részletei

A fiók törlésének kérelme — amelyet a felhasználó a Beállítások → „Fiók törlése" menüpont alatt kezdeményezhet — az alábbi folyamatot indítja el:

Az Adatkezelő a kérelem beérkezésétől számított 24 órán belül törli a Supabase adatbázisból az összes fiókadatot, chat üzenetet és dokumentum-metaadatot.
Az Adatkezelő a Supabase Storage-ból törli az összes feltöltött dokumentum fájlt (fizikai törlés, nem csak logikai elrejtés).
A törléssel egyidejűleg az Adatkezelő értesíti az érintett adatfeldolgozókat a törlési kötelezettségről.
Az Adatkezelő a törlés elvégzéséről az érintett által megadott e-mail címre visszaigazolást küld 7 napon belül.
A törlést nem érinti a jogszabályi alapon kötelezően megőrzendő adat (pl. számlázási bizonylat), amelyről az Adatkezelő tájékoztatja az érintettet.

A törlés visszavonhatatlan. A törlés elvégzése után az Adatkezelő az adatokat visszaállítani nem tudja.

10. Az érintett jogai és érvényesítési eljárása

10.1. Az érintett jogainak katalógusa

Jog	GDPR cikk	Tartalom	Érvényesítési mód
Tájékoztatáshoz való jog	13–14. cikk	Tájékoztatás az adatkezelés körülményeiről (ez a Tájékoztató azt teljesíti)	Automatikusan: ez a tájékoztató
Hozzáférési jog	15. cikk	Tájékoztatás az Önről kezelt adatokról, másolat kérése	E-mail: info@doktrina.ai
Helyesbítési jog	16. cikk	Pontatlan, hiányos adatok kijavítása, kiegészítése	Profilbeállítások / E-mail
Törlési jog (elfeledtetés)	17. cikk	Adatok törlése az ott meghatározott feltételek fennállása esetén	Beállítások → Fiók törlése (azonnali) / E-mail
Adatkezelés korlátozásához való jog	18. cikk	Az adatkezelés időleges felfüggesztése jogvita esetén vagy vitatott pontosság esetén	E-mail: info@doktrina.ai
Adathordozhatósághoz való jog	20. cikk	Adatok géppel olvasható (JSON/CSV) formátumban való kiadása	E-mail kérelem — 30 napon belül teljesítés
Tiltakozási jog	21. cikk	Jogos érdeken alapuló adatkezelés elleni tiltakozás	E-mail: info@doktrina.ai
Hozzájárulás visszavonásának joga	7. cikk (3) bek.	Hozzájáruláson alapuló kezelés bármikori visszavonása	Sütibeállítások / Fiók törlése
Automatizált döntéshozatal elleni jog	22. cikk	Tiltakozás kizárólag automatizált feldolgozáson alapuló döntés ellen	Lásd 14. fejezet

10.2. Az érintetti kérelmek kezelési eljárása

a) Beérkezési csatornák

E-mail útján: info@doktrina.ai — az Adatkezelő preferált csatornája, mivel így dokumentálható és nyomon követhető;
Postai úton: 7400 Kaposvár, 48-as Ifj. Útja 44. 1/5. a. — ajánlott/tértivevényes levéllel;
Platformon belül: Beállítások → Fiók törlése menüpont az azonnali törlési kérelmet egyablakos módon kezeli.

b) Azonosítás
Az Adatkezelő az érintett személyazonosságát az érintetti kérelem teljesítése előtt arányosan ellenőrzi: a regisztrált e-mail cím alapján azonosítja az érintettet, és szükség esetén e-mailes megerősítést kér. Az Adatkezelő nem alkalmazhat túlzottan terhes azonosítási eljárást, különösen nem kérhet személyazonossági okmány másolatát rutinszerűen.

c) Teljesítési határidők

Kérelem típusa	Alaphatáridő	Meghosszabbítás
Törlési kérelem (Beállítások menüből)	Azonnali (24 órán belül)	E-mail visszaigazolás 7 napon belül
Hozzáférési jog / másolatkérés	30 nap	+60 nap (összetett kérelem esetén, indoklással)
Helyesbítési kérelem	30 nap	+60 nap (szükség esetén)
Adathordozhatósági kérelem	30 nap	+60 nap; JSON/CSV formátumú adatcsomag e-mailben
Korlátozási kérelem	Haladéktalanul (technikai korlátozás)	—
Tiltakozás (jogos érdek ellen)	30 nap	+60 nap; indokolt döntés az Adatkezelőtől

d) Díjmentesség és visszaélés-megelőzés
Az érintetti kérelmek kezelése díjmentes [GDPR 12. cikk (5) bekezdés]. Az Adatkezelő ésszerű adminisztratív díjat számíthat fel, vagy megtagadhatja az intézkedést, ha a kérelem egyértelműen megalapozatlan vagy — különösen ismétlődő jellegére tekintettel — túlzó.

10.3. Az érintett jogainak korlátozása

A GDPR 23. cikke és az Infotv. 20. § (4) bekezdése alapján az érintetti jogok egyes esetekben korlátozhatók, különösen ha az adatkezelés szükséges közbiztonság védelméhez, bűnmegelőzési vagy bűnüldözési célból, vagy az Adatkezelő jogi igényeinek előterjesztéséhez. Az Adatkezelő a jogkorlátozást kizárólag jogszabályi kötelezettség vagy nyomós jogi érdek esetén, és arányos mértékben alkalmazza.

11. Adatbiztonsági intézkedések

11.1. Az adatbiztonság elvei

Az Adatkezelő a GDPR 25. cikke (beépített és alapértelmezett adatvédelem) és a 32. cikke (az adatkezelés biztonsága) alapján megfelelő technikai és szervezési intézkedéseket alkalmaz annak biztosítása érdekében, hogy a kockázattal arányos szintű biztonságot garantálja.

11.2. Technikai biztonsági intézkedések

Intézkedés	Megvalósítás	Célzott kockázat
Tárolásszintű titkosítás	AES-256 at-rest encryption (Supabase / Google Cloud infrastruktúra)	Jogosulatlan fizikai hozzáférés, adattároló-eltulajdonítás
Átvitelszintű titkosítás	TLS 1.3 minden kommunikációs csatornán (kliens–szerver, szerver–adatfeldolgozó)	Man-in-the-Middle támadások, lehallgatás
Jelszókezelés	bcrypt hash + egyedi salt — nyers jelszó soha nem tárolódik, naplózódik vagy kerül átvitelre	Jelszólopás, adatszivárgás utáni visszafejtés
Sorkérés-szintű hozzáférés-kontroll (RLS)	Supabase Row Level Security — minden felhasználó kizárólag saját adataihoz fér hozzá, adatbázis-szinten kikényszerítve	Jogosulatlan adathozzáférés, oldalcsatornás adatlekérés
Fájlizoláció	Privát, felhasználóhoz kötött Supabase Storage bucket; előre aláírt (pre-signed), rövid lejáratú URL-ek	Jogosulatlan dokumentum-hozzáférés
DDoS-védelem	Cloudflare hálózati szintű DDoS-védelem, IP rate limiting, WAF (Web Application Firewall)	Elérhetőségi támadások, brute force
API-kulcsok kezelése	Szerver oldalon tárolva (environment variables), soha nem kerülnek a kliens oldalra	API-kulcs kiszivárgás, jogosulatlan API hozzáférés
Munkamenet-kezelés	Rövid lejáratú access token (1 óra) + refresh token (7 nap); HttpOnly, Secure cookie flag-ek	Session hijacking, CSRF támadások
Biztonsági fejlécek	HSTS, Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options	XSS, Clickjacking, MIME-sniffing támadások

11.3. Szervezési biztonsági intézkedések

Hozzáférés-szükségességi elv (need-to-know): az alkalmazottak és fejlesztők kizárólag az általuk elvégzett feladathoz szükséges adatokhoz férhetnek hozzá;
Adminisztrátori hozzáférések naplózása: minden privilegizált hozzáférés naplózásra kerül;
Fejlesztői környezetek szeparálása: fejlesztési és tesztkörnyezetben valós éles adatok nem kerülnek felhasználásra;
Rendszeres biztonsági tesztek: az Adatkezelő évente legalább egyszer sebezhetőségi vizsgálatot végez;
Szállítóértékelés: az adatfeldolgozók kiválasztásakor az Adatkezelő adatvédelmi minősítésüket (ISO 27001, SOC 2 stb.) értékeli.

11.4. Adatvédelem tervezés alapján és alapértelmezés szerint (GDPR 25. cikk)

Az Adatkezelő a Privacy by Design és Privacy by Default elveket a Platform fejlesztésének minden fázisában alkalmazza:

Adatminimalizálás: a Platform csak a feltétlenül szükséges adatokat kéri el;
Alapértelmezetten legszigorúbb beállítások: az analitikai sütik alapértelmezetten kikapcsolt állapotban vannak;
Adatbeviteli korlátok: az Adatkezelő figyelmeztető üzenettel hívja fel a figyelmet az érzékeny adatok bevitelekor (különleges adatkategóriák, ügyvédi titoktartás);
Álnevesítés: ahol lehetséges, az adatokat álnevesítve (pseudonymizálva) kezeli a Platform (pl. belső felhasználói azonosítók).

12. Adatvédelmi incidens kezelése

12.1. Az adatvédelmi incidens fogalma

A GDPR 4. cikk 12. pontja alapján adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

12.2. Bejelentési kötelezettség a NAIH felé

Az Adatkezelő — amennyiben az adatvédelmi incidens valószínűsíthetően kockázatot jelent a természetes személyek jogaira és szabadságaira — az incidens tudomásra jutásától számított 72 órán belül bejelenti azt a NAIH felé [GDPR 33. cikk]. Az Adatkezelő az adatfeldolgozókat arra kötelezi, hogy incidens esetén haladéktalanul (24 órán belül) értesítsék az Adatkezelőt.

12.3. Az érintett tájékoztatása

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, az Adatkezelő az érintettet késedelem nélkül tájékoztatja a GDPR 34. cikke alapján. A tájékoztatás tartalmazza:

az incidens jellegét;
az érintett adatkategóriákat és az érintett személyek hozzávetőleges számát;
az incidens valószínű következményeit;
az Adatkezelő által az incidens orvoslása érdekében tett intézkedéseket;
az érintett jogainak és jogorvoslatainak ismertetését.

12.4. Incidensnyilvántartás

Az Adatkezelő a GDPR 33. cikk (5) bekezdése alapján minden adatvédelmi incidensről — ideértve a NAIH-nak be nem jelentetteket is — nyilvántartást vezet, amely tartalmazza az incidens tényeit, hatásait és az orvoslás érdekében tett intézkedéseket. Ez a nyilvántartás a NAIH számára kérésre rendelkezésre áll. Incidens bejelentéséhez: info@doktrina.ai.

13. Sütik (Cookie-k) és nyomkövetési technológiák

13.1. A sütikre vonatkozó jogszabályi háttér

Az Adatkezelő a sütik alkalmazása során az alábbi jogszabályoknak felel meg:

2003/58/EK irányelv (ePrivacy irányelv), amelyet Magyarországon a 2003. évi C. törvény (Eht.) 155/A. §-a ültetett át;
GDPR, különösen a 6. cikk (1) bekezdés a) pont (hozzájárulás) és b) pont (szerződés teljesítése);
NAIH sütik kezeléséről szóló iránymutatása.

13.2. Szükséges sütik (hozzájárulás nélkül aktív)

A szükséges sütik kezelésének jogalapja a szerződés teljesítése [GDPR 6. cikk (1) bekezdés b) pont]. Ezekhez hozzájárulás nem szükséges, és ezek kikapcsolása a Platform rendeltetésszerű használatát lehetetlenné tenné.

Süti neve	Típus	Cél	Lejárat
`sb-access-token`	HttpOnly, Secure, SameSite=Lax	Supabase hitelesítési munkamenet — bejelentkezési állapot fenntartása	1 óra (automatikus megújítás)
`sb-refresh-token`	HttpOnly, Secure, SameSite=Lax	Munkamenet megújítása újabb bejelentkezés nélkül, lejárt access token esetén	7 nap (utolsó aktivitástól)
`gdpr-consent`	localStorage — az ePrivacy irányelv szerinti sütiszerű technológia; technikai célú, a hozzájárulási döntés rögzítéséhez szükséges, hozzájárulás nélkül is aktív (a hozzájárulási döntés tárolása maga a szükséges funkció)	A felhasználó sütibeleegyezési döntésének rögzítése — technikai célú adat, nem személyes	365 nap / visszavonásig
`__cf_bm`	HttpOnly, Secure	Cloudflare bot-felismerési mechanizmus — hálózati biztonság	30 perc

13.2.a. Hozzájárulási napló (consent log)

Az Adatkezelő a GDPR 7. cikk (1) bekezdése alapján rögzíti a felhasználó hozzájárulási döntését. A rögzítés két helyen, párhuzamosan történik:

Böngészőben (localStorage): gdpr-analytics (granted/denied), gdpr-consent-log (döntés, időbélyeg, tájékoztató verziószáma, user-agent, kategóriák) — eszköz-lokális, azonnali.
Szerveren (Supabase consent_logs tábla): döntés, elfogadott kategóriák, tájékoztató verziószáma, IP-cím, user-agent, pontos időbélyeg, felhasználói azonosító (bejelentkezett felhasználónál) vagy null (anonim látogatónál) — tartós, bizonyítható.

A hozzájárulási napló az adathordozhatósági kérelem (GDPR 20. cikk) keretében JSON formátumban letölthető.

Az oldal alapértelmezetten tiltott állapotban tölti be a Google Analytics-et (analytics_storage: denied). Elfogadás után frissül granted értékre. Elutasítás esetén a Google Analytics Consent Mode v2 kizárólag cookiementes, aggregált, nem azonosítható statisztikai pingeket küld.

13.3. Analitikai sütik (kizárólag hozzájárulással aktív)

Süti neve	Szolgáltató	Cél	Lejárat
`_ga`	Google LLC (GA4)	Egyedi látogatók megkülönböztetése — véletlenszerű azonosító, személyhez nem köthető	2 év
`_ga_XXXXXXXX`	Google LLC (GA4)	Munkamenet-állapot és GA4 mérési azonosító	2 év
`_gid`	Google LLC (GA4)	Látogatók megkülönböztetése 24 órás ablakban	24 óra

13.4. Marketing, profil és nyomkövető sütik

Az Adatkezelő marketing célú, profilalkotó, retargeting vagy harmadik fél nyomkövető sütiket NEM alkalmaz. A Platform Facebook Pixel, Google Ads, LinkedIn Insight Tag vagy hasonló célzott hirdetési technológiákat nem tartalmaz.

13.5. A hozzájárulás kezelése

Előzetes hozzájárulás: az analitikai sütik csak a hozzájárulás megadása UTÁN aktiválódnak;
Granularitás: a sütibeleegyező lehetőséget ad a kategóriák (szükséges / analitikai) szerinti differenciált döntésre;
Visszavonhatóság: a hozzájárulás bármikor visszavonható a lábléc Sütibeállítások menüpontján keresztül;
Google Consent Mode v2: hozzájárulás hiányában a GA4 sütimentes, aggregált modellezési adatokat alkalmaz, amely nem személyes adatkezelés;
Nyomkövetés nélküli alapértelmezés: a hozzájárulás hiánya nem korlátozza a Platform tartalom-funkcióinak elérését.

14. Automatizált döntéshozatal és profilalkotás

14.1. Az Adatkezelő nyilatkozata

A Platform NEM alkalmaz olyan automatizált döntéshozatali mechanizmust, amely az érintettre nézve jogi hatással járna vagy az érintettet hasonlóan jelentős mértékben érintené [GDPR 22. cikk];
A Platform NEM végez az egyének viselkedési mintáin alapuló profilalkotást reklám, szegmentálás vagy személyre szabott árképzés céljából;
Az AI által generált jogi válaszok, elemzések és dokumentumtervezetek kizárólag döntéstámogató eszközök; az érintettre nézve jogi vagy hasonlóan jelentős hatással járó automatizált döntés nem születik.
A Platform token-alapú kapacitáskezelést és RAG-komplexitás szerinti technikai modell-routingot alkalmaz. Ez kizárólag a válasz generálásának technikai módját befolyásolja a kérdés bonyolultságától és a felhasználó előfizetési csomagjától függően; az érintettre nézve jogi vagy hasonlóan jelentős hatással járó döntést nem eredményez, profilalkotást nem valósít meg, és nem esik a GDPR 22. cikk hatálya alá.

14.2. Az AI-generált tartalom jogi státusza

Az Adatkezelő rögzíti, hogy a Doktrina.ai Platform által generált jogi tartalmak nem minősülnek:

ügyvédi jogi tanácsadásnak az Ütv. 1. § értelmében;
kötelező erejű jogi állásfoglalásnak;
bírósági vagy hatósági döntéssé formálható automatizált határozatnak.

A generált tartalmak kizárólag szakmai segédeszközök, amelyek felhasználásáért a végső felelősség az ügyvédet vagy a felhasználót terheli.

15. Gyermekek adatainak védelme

15.1. Korhatár-megkötés

A Doktrina.ai platform kizárólag 18. életévét betöltött, teljes cselekvőképességgel rendelkező természetes személyek, valamint jogi személyek és jogi személyiség nélküli szervezetek képviselői számára érhető el. A Platform nem szól gyermekekhez, és nem gyűjt tudatosan 18 éven aluli személyek személyes adatait.

15.2. Korhatár-ellenőrzés

A regisztrációs folyamat során az Adatkezelő a Szolgáltatási Feltételek elfogadásával az érintett által tett nyilatkozatot kér arra vonatkozóan, hogy 18. életévét betöltötte. Az Adatkezelő technikai életkor-ellenőrzési eszközt nem alkalmaz, mivel a Platform jellegéből (jogi szakmai eszköz) adódóan a kiskorú felhasználóként való regisztráció valószínűsége alacsony.

15.3. Kiskorú feltárt adatainak törlése

Amennyiben az Adatkezelő tudomást szerez arról, hogy 18 éven aluli személy adatai a rendszerben találhatók, az érintett adatait az Adatkezelő haladéktalanul és maradéktalanul törli, és a szülőt vagy törvényes képviselőt értesíti, amennyiben lehetséges.

16. A platform GDPR-megfelelőségének dokumentálása

16.1. Az adatkezelési nyilvántartás (RoPA) tartalma

Az Adatkezelő a GDPR 30. cikke alapján kötelező adatkezelési tevékenységek nyilvántartását vezeti, amely tartalmazza:

az Adatkezelő és az adatvédelmi kapcsolattartó neve és elérhetősége;
az adatkezelés célja;
az érintett kategóriák és személyes adatok kategóriáinak leírása;
a személyes adatok azon címzettjeinek kategóriái, akikkel az adatokat közlik;
harmadik országba irányuló adattovábbítás esetén az alkalmazott garanciák;
az adatmegőrzési határidők;
a technikai és szervezési biztonsági intézkedések leírása.

16.2. Adatvédelmi hatásvizsgálat (DPIA)

Az Adatkezelő értékelte a GDPR 35. cikke szerinti DPIA szükségességét, és az alábbi megállapításokat tette:

A különleges adatkategóriák (különösen ügyvéd által bevitt egészségügyi, büntetőjogi adatok) feldolgozása potenciálisan magas kockázatú;
Az Adatkezelő proaktív DPIA-t végzett a Platform indításakor, amelynek eredményei dokumentáltak és a NAIH rendelkezésére bocsáthatók;
Az Adatkezelő kötelezettséget vállal arra, hogy minden jelentős platform-funkciófejlesztés előtt DPIA-screening-t végez.

16.3. Az elszámoltathatóság bizonyítása

Az adatkezelési jogalapok és célok jelen Tájékoztatóban kerülnek rögzítésre;
A jogos érdek mérlegelési tesztek (LIA) elvégzésre kerültek és dokumentáltak;
Az adatfeldolgozói szerződések (DPA) megkötésre kerültek valamennyi adatfeldolgozóval;
A Transfer Impact Assessment (TIA) elvégzésre kerültek az EGT-n kívüli adattovábbításoknál;
Az adatvédelmi incidens-bejelentési eljárás és az érintetti kérelmek kezelési eljárása dokumentált.

17. Felelősségkorlátozás

17.1. Az AI-generált tartalom felelőssége

Az Adatkezelő a Ptk. 6:152. §-a szerinti felelősségkorlátozás keretein belül az alábbiak szerint nyilatkozik:

Az AI által generált jogi elemzések, beadványtervezetek, szerződésmintázatok és precedens-keresési eredmények döntéstámogató segédeszközök; nem minősülnek jogi tanácsnak az Ütv. 1. § értelmében;
A felhasználó (különösen az ügyvéd) a generált tartalmat önálló szakmai megítélése alapján, saját felelősségére használja fel;
Az Adatkezelő nem vállal felelősséget a generált tartalom pontossággal, teljességgel, jogszerűséggel vagy bírósági elfogadhatósággal kapcsolatos korlátaiból eredő károkért;
Az Adatkezelő nem felelős harmadik személyeknek — különösen az ügyvéd ügyfeleinek — az AI-tartalom alapján hozott döntések következtében bekövetkező károkért.

17.2. A felhasználó által bevitt adatok felelőssége

A felhasználó kizárólagosan felelős az általa a Platformra bevitt adatok jogszerűségéért, különösen azért, hogy:

harmadik személyek adatait (különösen ügyféladatokat) csak jogszerű felhatalmazás alapján vigye be;
különleges adatkategóriák bevitelére kizárólag akkor kerüljön sor, ha arra jogszerű felhatalmazása van;
az ügyvédi titoktartási kötelezettségének az Ütv. 9. §-a szerint tegyen eleget.

17.3. A felelősségkorlátozás korlátai

A jelen Tájékoztatóban foglalt felelősségkorlátozó rendelkezések nem alkalmazhatók szándékos vagy súlyosan gondatlan magatartás esetén, valamint ha a felelősség kizárása vagy korlátozása jogszabályba ütközne (Ptk. 6:152. §). Az Adatkezelő felelőssége különösen fennáll adatvédelmi incidens esetén, ha az az Adatkezelő felróható magatartásából ered.

18. Módosítások és értesítések

18.1. A módosítás joga

Az Adatkezelő fenntartja a jogot a jelen Tájékoztató egyoldalú módosítására, különösen az alábbi esetekben:

jogszabályi változás (GDPR, Infotv., Ütv. módosítás stb.);
NAIH határozat vagy iránymutatás változása;
új platform-funkció bevezetése, amely új adatkezelési tevékenységgel jár;
adatfeldolgozói struktúra megváltozása;
az Adatkezelő szervezeti vagy jogi helyzetének megváltozása.

18.2. Értesítési kötelezettség

Lényeges módosítás esetén az Adatkezelő az érintetteket az alábbi módokon értesíti:

E-mailes értesítés a regisztrált e-mail címre — a hatálybalépés előtt legalább 15 nappal;
A módosított Tájékoztató közzététele a Platform weboldalán (doktrina.ai/privacy) — a hatálybalépés előtt legalább 15 nappal;
A Platform felületén megjelenő értesítő banner a bejelentkezéskor.

Nem lényeges módosítás (pl. elírás-javítás, szerkesztési pontosítás) esetén az Adatkezelő jogosult e-mailes értesítés nélkül, kizárólag a weboldalon való közzététellel elvégezni a módosítást.

18.3. A folytatólagos használat mint elfogadás

A módosított Tájékoztató hatályba lépése után a Platform folytatólagos használata a módosítás tudomásulvételének és elfogadásának minősül. Ha a módosítás az érintett korábban megadott hozzájárulásának érvényességét érinti, az Adatkezelő az érintett kifejezett, megismételt hozzájárulását kéri be.

18.4. A Tájékoztató verziótörténete

Verzió	Hatálybalépés	Módosítás tárgya
1.0	Platform indításakor	Eredeti tájékoztató
2.0	2026. március 15.	Átfogó felülvizsgálat — Ütv. megfelelőség, due diligence és beadványszerkesztő funkciók hozzáadása
3.0	2026. március 15.	Teljes körű jogi felülvizsgálat — ügyvédi titoktartás, DPA, DPIA, TIA, profilalkotás, felelősségkorlátozás kiegészítések

19. Jogorvoslat és felügyeleti hatóság

19.1. Az adatkezelőhöz benyújtható panasz

Az érintett az Adatkezelőhöz elsőként fordulhat panaszával. Az Adatkezelő a panaszt 30 napon belül kivizsgálja, és az érintettet e-mailben értesíti döntéséről. Ha az Adatkezelő a panaszt elutasítja, köteles az elutasítás indokait közölni, és tájékoztatni az érintettet a NAIH-hoz való fordulás lehetőségéről.

19.2. A NAIH-hoz benyújtható panasz

Név	Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
Székhely	1055 Budapest, Falk Miksa utca 9–11.; Postacím: 1363 Budapest, Pf. 9.
E-mail	ugyfelszolgalat@naih.hu
Telefon	+36 (1) 391-1400
Weboldal	naih.hu
Ügyfélfogadás	Kizárólag előzetesen egyeztetett időpontban

19.3. Bírósági jogorvoslat

Az Infotv. 22. §-a és a GDPR 79. cikke alapján az érintett bírósághoz is fordulhat. A per — az érintett választása szerint — indítható:

az Adatkezelő székhelye szerint illetékes bíróság előtt: Kaposvári Törvényszék (7400 Kaposvár, Bajcsy-Zsilinszky utca 10.);
az érintett lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt [Infotv. 22. § (2) bekezdés].

Az Adatkezelő rögzíti, hogy az érintetti jogok hatékony érvényesítése érdekében a bírósági eljárást megelőző tárgyalásra és egyezségre nyitott.

19.4. Az EDPB és EU-szintű jogorvoslat

Határokon átnyúló adatkezelés esetén az érintett az Európai Adatvédelmi Testülethez (EDPB) is fordulhat, illetőleg az Adatkezelő letelepedési helye szerinti (Magyarország) vezető felügyeleti hatóság, a NAIH jár el a kereszthatáros ügyben.

20. Záró rendelkezések

20.1. A Tájékoztató hatályba lépése

Jelen Tájékoztató 2026. március 15. napján lépett hatályba, és határozatlan ideig érvényes, egészen addig, amíg egy újabb verzió nem lép a helyébe. Hatályon kívül helyezi az összes korábbi adatkezelési tájékoztatót.

20.2. A Tájékoztató elérhetősége

A mindenkor hatályos Tájékoztató elérhető a Platform weboldalán (doktrina.ai/privacy) és a lábléc „Adatkezelési tájékoztató" hivatkozásán keresztül. Az Adatkezelő az előző verziókat is megőrzi és kérésre rendelkezésre bocsátja.

20.3. Alkalmazandó jog és értelmezés

Jelen Tájékoztatóra a magyar jog alkalmazandó, azzal, hogy a GDPR rendelkezéseit közvetlenül kell alkalmazni. Bármely értelmezési kérdésben az Infotv., a GDPR és a NAIH iránymutatásai az irányadók.

20.4. Szétválaszthatóság

Ha a Tájékoztató bármely rendelkezése érvénytelen, jogellenes vagy végrehajthatatlan, ez nem érinti a többi rendelkezés érvényességét. Az érvénytelen rendelkezés helyébe annak céljával leginkább összhangban lévő, jogszerű rendelkezés lép.

20.5. Aláírás és hatályosítás

Jelen Adatkezelési Tájékoztatót az Adatkezelő nevében, felhatalmazott képviselőként hatályosítom:

Kaposvár, 2026. március 15.

Török Ádám József
Ügyvezető, Xenomorph Group Kft.

Mellékletek

1. Melléklet: Jogos érdek mérlegelési tesztek (LIA)

Adatkezelési tevékenység	Az Adatkezelő jogos érdeke	Az érintett érdeke	A mérlegelés eredménye
IP-cím és User-Agent naplózás (30 nap)	DDoS-védelem, visszaélés-detekció, hibaelhárítás; a Platform biztonságos és stabil működésének biztosítása	Kevésbé intenzív adatkezelést szeretne; az adat potenciálisan azonosítható	Arányos: a 30 napos megőrzés rövid és szűk; az IP-cím önmagában nem vezet a felhasználó azonosításához más adatbázisok nélkül. NAIH/2020/4507 határozatra hivatkozva: rövid megőrzésű biztonsági logok arányosak.
Bejelentkezési időbélyeg naplózás	Inaktív fiókok azonosítása, brute force detekció, hitelesítési anomáliák felismerése	Minimális adatérintettség — csak metaadat	Arányos: a bejelentkezési időbélyeg személyes azonosításra önmagában nem alkalmas.
API metaadatok naplózása (token szám, 90 nap)	Kapacitástervezés, számlázás, visszaélés-detekció, modell-költség allokáció	Minimális adatérintettség — technikai, nem tartalomadat	Arányos: a token-szám önmagában nem alkalmas személyes adatkezelésre; a 90 napos megőrzés arányos a számlázási és tervezési célhoz.
Adatfeldolgozói audit logok (3 év)	GDPR 5. cikk (2) bek. elszámoltathatóság; jogvita esetén bizonyítás	Minimális adatérintettség	Arányos: az audit logok hatósági és bírósági eljárásban szükségesek. Kúria Pfv.VI.21.028/2019: a jogszerű adatkezelés bizonyíthatósága alapvető üzleti érdek.

2. Melléklet: Az érintett jogainak összefoglaló táblázata

Jog	Határidő	Díj	Módszer
Hozzáférés (másolat)	30 nap (+60 nap)	Ingyenes (első kérelem)	E-mail: info@doktrina.ai
Helyesbítés	30 nap	Ingyenes	Profilbeállítások vagy e-mail
Törlés (általános)	30 nap	Ingyenes	E-mail
Törlés (fiók és összes adat)	Azonnali (24 órán belül)	Ingyenes	Beállítások → Fiók törlése
Korlátozás	Haladéktalanul (technikai)	Ingyenes	E-mail
Adathordozhatóság	30 nap	Ingyenes	E-mail (JSON/CSV formátum)
Tiltakozás	30 nap	Ingyenes	E-mail
Hozzájárulás visszavonása	Haladéktalanul	Ingyenes	Sütibeállítások / Fiók törlése

3. Melléklet: Alkalmazott jogszabályok és precedensek

Forrás	Hivatkozás	Relevancia
Európai Bíróság	C-311/18 (Schrems II.) – 2020. július 16.	Harmadik országba irányuló adattovábbítás; SCC érvényessége
Európai Bíróság	C-13/16 (Rīgas satiksme) – 2017. május 4.	Jogos érdek tesztelési módszertan
Európai Bíróság	C-40/17 (Fashion ID) – 2019. július 29.	Közös adatkezelői felelősség, sütik hozzájárulása
Európai Bíróság	C-673/17 (Planet49) – 2019. október 1.	Sütibeleegyező előre kipipált jelölőnégyzetek érvénytelensége
Kúria	Pfv.VI.21.028/2019/5 – 2020.	Adatkezelési nyilvántartás bizonyító ereje; elszámoltathatóság
Kúria	Pfv.IV.21.662/2020 – 2021.	Különleges adatok kezelése; hozzájárulás érvényessége
NAIH	NAIH/2019/3859/2. határozat	Biztonsági logok arányos megőrzése
NAIH	NAIH/2020/4507 határozat	IP-cím naplózás; rövid megőrzési idő arányossága
NAIH	NAIH-2783-5/2021 határozat	Adatfeldolgozói szerződések tartalmi követelményei
EDPB	Iránymutatás 05/2019 (hozzájárulásról)	Hozzájárulás feltételei; visszavonhatóság
EDPB	Iránymutatás 01/2021 (adathordozhatóságról)	Adathordozhatóság alkalmazási köre
EU Bizottság	2021/914/EU határozat – SCC (2021. június 4.)	Standard Szerződési Feltételek az adattovábbításhoz
WP29	WP259 (Adatvédelmi hatásvizsgálat iránymutatás)	DPIA elvégzési kötelezettség meghatározása

4. Melléklet: Adatfeldolgozói szerződések összefoglalója

Adatfeldolgozó	DPA típusa	Irányadó garancia	Utolsó felülvizsgálat
Supabase, Inc.	Supabase DPA (online elfogadott)	GDPR 28. cikk; EU adattárolás; SOC 2 Type II; pgvector RAG	2026. március
Google Cloud (Vertex AI, Cloud Run)	Google Cloud DPA	GDPR 28. cikk; Google Cloud adatvédelmi addendum; ISO 27001	2026. március
Cloudflare, Inc.	Cloudflare DPA	GDPR 28. cikk; SCC; Cloudflare Privacy Policy	2026. március
Serper Technology Inc.	Serper DPA / ToS	SCC; adatminimalizálás (csak lekérdezés szövege)	2026. március
Jina AI GmbH	Jina AI DPA	GDPR 28. cikk; EU-ban alapított vállalkozás	2026. március
Google LLC (Analytics)	Google Analytics DPA	SCC; Google Ads DPA; IP-anonimizálás	2026. március

5. Melléklet: Kapcsolatfelvételi adatlap — Érintetti kérelem

ÉRINTETTI KÉRELEM ADATLAP — DOKTRINA.AI / XENOMORPH GROUP KFT.

Kérelmező neve: _______________________________________________

Regisztrált e-mail cím: _______________________________________________

Kérelem típusa (jelölje be):

☐ Hozzáférési jog (másolat kérése)

☐ Helyesbítési jog

☐ Törlési jog (elfeledtetés)

☐ Adatkezelés korlátozása

☐ Adathordozhatóság (JSON/CSV formátumban)

☐ Tiltakozás

☐ Hozzájárulás visszavonása

☐ Egyéb: _______________________________________________

A kérelem részletezése (opcionális):

_________________________________________________________________________________

Kelt: ________________ Aláírás: _______________________________________________

Az Adatkezelő a kérelmet a beérkezéstől számított 30 napon belül teljesíti. Az adatlap az info@doktrina.ai e-mail címre küldhető.

Verzió: 3.1 · Utolsó módosítás: 2026. március 22. · Xenomorph Group Kft. / Doktrina.ai · info@doktrina.ai

Általános Szerződési Feltételek ← Főoldal