Adatvédelmi Tájékoztató
1. Bevezető
Az avatawow egy szállodák és vendéglátóipari vállalkozások számára nyújtott SaaS alapú concierge platform, amely AI-vezérelt chat widgetet, Messenger csatornát és adminisztrációs felületet biztosít.
Jelen tájékoztató ismerteti, hogy Varga Levente (a továbbiakban: „Adatkezelő" vagy „mi") – az avatawow platform üzemeltetőjeként – milyen személyes adatokat kezel, milyen célból, milyen jogalapon, és milyen jogok illetik meg az érintetteket.
A platform az alábbi szereplők adatait kezeli:
- Admin/dashboard felhasználók (szervezeti munkatársak, a partnercégek alkalmazottai)
- Vendég felhasználók (web chat widget és Messenger csatornán keresztül)
- Meghívott, de még nem regisztrált felhasználók
2. Az adatkezelő azonosítása
| Adat | Érték |
|---|---|
| Név | Varga Levente |
| Lakcím | 4225 Debrecen, Kiskert utca 15 |
| Kapcsolattartó e-mail | hello@avatawow.com |
| Weboldal | avatawow.com |
Az adatkezelő természetes személy, jelenleg nem rendelkezik bejegyzett vállalkozással.
Adatvédelmi tisztviselő (DPO): Az adatkezelő méreténél és az adatkezelés jellegénél fogva nem köteles adatvédelmi tisztviselőt kinevezni (GDPR 37. cikk). Adatvédelmi kérdésekkel a fenti elérhetőségeken lehet kapcsolatba lépni.
3. Az adatkezelő és adatfeldolgozó viszonya
Az avatawow platformot közvetlenül partnerszervezetek (pl. szállodák) veszik igénybe. Ebben a viszonyban:
- A partnerszervezet az adatkezelő a saját vendégeinek (végfelhasználók) adatai vonatkozásában.
- Varga Levente az adatfeldolgozó, aki a partner nevében, annak utasítása szerint kezeli a vendégadatokat.
- A partnerszervezetekkel külön Adatfeldolgozói Szerződés (DPA) szabályozza ezt a viszonyt.
Az adminisztrációs felület saját felhasználóinak (munkatársak, meghívottak) adatai tekintetében Varga Levente önálló adatkezelőként jár el.
4. Kezelt adatok és adatkezelési célok
4.1 Admin és jogosultságkezelés
Érintetti kör: Az avatawow platformra regisztrált szervezeti munkatársak és meghívott felhasználók.
| Adatkategória | Konkrét adatok | Cél | Jogalap |
|---|---|---|---|
| Azonosító | clerk_user_id, email, display_name |
Beléptetés, felhasználókezelés | Szerződés teljesítése (GDPR 6. cikk (1) b) |
| Preferenciák | preferred_locale |
Nyelvi beállítás megjelenítése | Jogos érdek (GDPR 6. cikk (1) f) |
| Szervezeti tagság | org/project tagság, szerepkör | Hozzáférés-vezérlés | Szerződés teljesítése |
| Meghívó adatok | meghívott e-mail, státusz, kézbesítési meta, lejárat, token hash | Meghívási folyamat kezelése | Szerződés teljesítése |
Megőrzési idő: A felhasználói fiók törléséig, vagy a partnerszervezettel fennálló szerződés megszűnésétől számított 1 évig. A meghívók alapértelmezetten 7 nap (1–30 nap között konfigurálható) után lejárnak.
4.2 Chat (widget és chat API)
Érintetti kör: A partner weboldalán a chat widgetet használó vendégek.
| Adatkategória | Konkrét adatok | Cél | Jogalap |
|---|---|---|---|
| Session azonosítók | visitor_id, session metaadatok |
Chat folytonosság biztosítása | Jogos érdek |
| Üzenet tartalom | content, raw_payload |
AI-alapú válaszadás | Szerződés teljesítése (partner utasítása alapján) |
| Widget esemény adatok | eseménynév, page_url, page_path, referrer, böngésző nyelv, session azonosítók |
Platformműködés, hibaelhárítás | Jogos érdek |
Cookie és localStorage: A platform a következő adatokat tárolja a felhasználó böngészőjében:
| Azonosító | Típus | Élettartam | Cél |
|---|---|---|---|
preferred_locale |
Cookie | 1 év | Nyelvi beállítás |
avatawow_visitor_id |
Cookie + localStorage | 1 év | Látogató azonosítása |
avatawow_chat_session_v1:<project> |
localStorage | Session | Chat állapot |
avatawow_widget_session_v1:<project> |
localStorage | Session | Widget állapot |
avatawow_widget_open_state_v1:<project> |
localStorage | Session | Widget nyitott állapot |
avatawow_widget_teaser_state_v1:<project> |
localStorage | Session | Teaser megjelenítés |
| Clerk autentikációs sütik | Cookie | Clerk által kezelt | Bejelentkezési állapot |
Harmadik fél nyomkövető sütik: A platform jelenleg nem tartalmaz Google Analytics, Meta Pixel, Hotjar vagy hasonló külső nyomkövető szkriptet.
Cookie hozzájárulás: A chat widget partnercégek (pl. szállodák) weboldalába ágyazódik be. A cookie hozzájárulás kezelése a partnerszervezet weboldalán működő cookie consent banner útján történik, amelynek implementálása a partnerszervezet felelősségi körébe tartozik.
Megőrzési idő: Chat üzenetek és session adatok: 1 év az utolsó aktivitástól számítva, ezt követően automatikusan törlésre kerülnek.
4.3 Handoff (emberi átadás)
Érintetti kör: Azok a vendégek, akik emberi ügyintézőhöz való átirányítást kérnek.
| Adatkategória | Konkrét adatok | Cél | Jogalap |
|---|---|---|---|
| Kapcsolati adatok | guest_name, guest_email |
Visszajelzési e-mail küldése | Érintett hozzájárulása |
| Hozzájárulás | consent_given, hozzájárulás metaadatai |
Hozzájárulás igazolása | Hozzájárulás (GDPR 6. cikk (1) a) |
| Chat átirány | chat előzmény, összefoglalás | Ügyfélszolgálati kontextus | Hozzájárulás |
A handoff e-mail a teljes chat átírást és összefoglalót tartalmazza. Az e-mail küldését a Resend adatfeldolgozó végzi (ld. 6. fejezet). Az
adatkezelés feltétele a vendég explicit hozzájárulása (consent_given = true).
Megőrzési idő: 1 év az utolsó aktivitástól számítva.
4.4 Messenger csatorna (Meta)
Érintetti kör: A partnerszervezet Facebook Messenger csatornáján üzenetet küldő felhasználók.
| Adatkategória | Konkrét adatok | Cél | Jogalap |
|---|---|---|---|
| Bejövő üzenetek | webhook payload (deduplikált) | Üzenet fogadás, feldolgozás | Szerződés teljesítése |
| Kimenő üzenetek | recipient_ref, küldési státusz, hibák |
Válaszküldés, monitorozás | Szerződés teljesítése |
| OAuth session | oldallista payload (titkosítva) | Meta oldal kapcsolás | Szerződés teljesítése |
| Channel konfig | page access token (titkosítva, AES-256-GCM) | Platform integráció | Szerződés teljesítése |
A Meta Messenger platform saját adatkezelési feltételei és a Meta Platform Policy szintén vonatkozik a Messenger-en keresztüli adatkezelésre. A Messenger-felhasználók tekintetében az adatkezelői szerepkörök megoszlása a partnerszervezettel kötött DPA-ban kerül rögzítésre.
Megőrzési idő: 1 év az utolsó aktivitástól számítva.
5. Automatizált döntéshozatal és AI-alapú feldolgozás
A platform AI-alapú (nagy nyelvi modell) technológiát alkalmaz a chat válaszok generálásához. Az érintett által beírt üzenetek feldolgozása részben automatizált módon történik.
- A chat üzenetek tartalma OpenAI és/vagy Anthropic modellek számára kerül továbbításra a válasz generálásához.
- Az adatkezelő mindkét AI-szolgáltatónál aktiválta az adatképzéstől való opt-out beállítást (zero data retention / no training policy). Ez azt jelenti, hogy a felhasználók üzeneteit az AI-szolgáltatók nem használják fel modelljeik betanítására.
- Kizárólag automatizált, az érintettre nézve joghatással járó vagy őt jelentős mértékben érintő döntés a platform által nem születik (GDPR 22. cikk).
6. Adatfeldolgozók és harmadik felek
Az adatkezelő az alábbi adatfeldolgozókat veszi igénybe:
| Adatfeldolgozó | Szerepkör | Székhely / Szerverlokáció | Adattovábbítás jogalapja |
|---|---|---|---|
| Vercel Inc. | Alkalmazás hosting, futtatási logok | USA (Vercel Inc.) / EU régió | SCC (Bizottság 2021/914/EU határozata) |
| Neon Inc. | PostgreSQL adatbázis | USA (Neon Inc.) / EU régió | SCC |
| Clerk Inc. | Autentikáció, felhasználókezelés | USA | SCC / DPF |
| OpenAI, LLC | AI modell API (embedding, chat) | USA | SCC – training opt-out aktív |
| Anthropic, PBC | AI modell API (chat modellek) | USA | SCC – training opt-out aktív |
| Meta Platforms Ireland Ltd. | Messenger webhook / Send API | EU (Meta IE) | EU-n belül; Meta Platform feltételek |
| Resend Inc. | Tranzakcionális e-mail (handoff) | USA | SCC |
| Partner webhook | Opcionális partner integráció | Partner által meghatározott | Partner DPA alapján |
Az adatfeldolgozókkal az adatkezelő adatfeldolgozói szerződést (DPA) kötött, amelyek biztosítják a GDPR szerinti megfelelő garanciákat. Az EGT-n kívüli adattovábbítás esetén az Európai Bizottság által jóváhagyott általános szerződési feltételek (SCC) szolgálnak jogalapként, kivéve, ahol az adatfeldolgozó érvényes EU–USA Adatvédelmi Keretrendszer (DPF) tanúsítvánnyal rendelkezik.
7. Nemzetközi adattovábbítás
Az alkalmazás szerverei EU-s régióban futnak (Vercel és Neon EU régió). Ennek ellenére az alábbi szolgáltatók esetén az adatok az Egyesült Államokban is feldolgozásra kerülhetnek (pl. ügyfélszolgálat, naplózás, biztonsági mentés):
- Clerk, OpenAI, Anthropic, Resend, Vercel (cégi szint)
Minden ilyen esetben az adattovábbítás az EU által elfogadott általános szerződési feltételek (SCC) alapján történik, biztosítva az adatok megfelelő védelmét.
8. Adatbiztonság
Az adatkezelő az alábbi technikai és szervezési intézkedéseket alkalmazza:
- Autentikáció és hozzáférés-vezérlés: szerepkör-alapú hozzáférési rendszer (RBAC) a Clerk platformon keresztül
- Titkosítás: a Messenger channel konfiguráció AES-256-GCM titkosítással tárolódik
- Webhook hitelesítés: a Meta Messenger webhook aláírás-ellenőrzéssel védett
- Rate limiting: IP- és projekt-alapú sebességkorlátozás
- Deduplikáció: webhook duplikált üzenetek szűrése
- Embed token védelem: projekt- és origin-alapú ellenőrzés
- Adatbázis: EU-s régióban üzemeltetett, titkosított Postgres adatbázis
9. Adatmegőrzési idők
| Adatkategória | Megőrzési idő |
|---|---|
preferred_locale cookie |
1 év |
avatawow_visitor_id cookie |
1 év |
| Admin felhasználói fiók adatok | Fiók törléséig, vagy szerződés megszűnésétől +1 év |
| Tagság-meghívó (invitation) | 7 nap (1–30 nap, konfigurálható), majd törlés |
threads, thread_turns (chat üzenetek) |
1 év az utolsó aktivitástól |
chat_widget_events |
1 év |
handoff_requests |
1 év |
channel_webhook_events |
1 év |
channel_outbound_messages |
1 év |
| Messenger OAuth session | 600 másodperc (automatikus lejárat) |
| Rate limit store | Memóriában, max. 300 másodperc |
Az adatkezelő évente felülvizsgálja az adatmegőrzési politikát, és szükség esetén frissíti.
10. Sütik (cookie-k) és hozzájárulás
Szükséges (funkcionális) sütik – hozzájárulás nélkül alkalmazhatók, mivel a szolgáltatás nyújtásához elengedhetetlenek:
preferred_locale– nyelvi beállítás megőrzéseavatawow_visitor_id– látogató session azonosítója- Clerk autentikációs sütik – bejelentkezési állapot megőrzése
Widget localStorage elemek – a chat widget működéséhez szükségesek, session állapot tárolása. Személyes azonosításra önmagukban nem alkalmasak.
Analytics / nyomkövető sütik: A platform jelenleg nem alkalmaz harmadik féltől származó tracking szkriptet (pl. Google Analytics, Meta Pixel, Hotjar). Ha ilyen technológia bevezetésre kerül, az csak az érintett előzetes, tájékoztatáson alapuló hozzájárulásával történhet, és jelen tájékoztató frissítésre kerül.
A chat widget partnercégek weboldalain fut. A cookie hozzájárulás kezelése a partnerszervezet weboldalán elhelyezett cookie consent banneren keresztül történik – ennek biztosítása a partnerszervezet feladata és felelőssége. Az avatawow admin felülete kizárólag funkcionális sütiket alkalmaz, amelyek a szolgáltatás nyújtásához elengedhetetlenek.
11. Érintetti jogok
Az érintetteket az alábbi jogok illetik meg a GDPR alapján:
| Jog | Leírás |
|---|---|
| Hozzáférés joga (15. cikk) | Tájékoztatást kérhet az általa kezelt adatokról |
| Helyesbítés joga (16. cikk) | Pontatlan adatok javítását kérheti |
| Törlés joga (17. cikk) | Kérheti adatai törlését, ha az adatkezelés jogalapja megszűnt |
| Adathordozhatóság joga (20. cikk) | Géppel olvasható formátumban kérheti adatait |
| Tiltakozás joga (21. cikk) | Jogos érdeken alapuló adatkezeléssel szemben tiltakozhat |
| Hozzájárulás visszavonása (7. cikk) | A hozzájáruláson alapuló adatkezeléshez adott hozzájárulást bármikor visszavonhatja |
| Korlátozás joga (18. cikk) | Kérheti az adatkezelés korlátozását |
Kérelmek benyújtása:
E-mail: hello@avatawow.com
Postai cím: 4225 Debrecen, Kiskert utca 15
Válaszadási határidő: 30 nap (indokolt esetben legfeljebb 60 nappal meghosszabbítható, erről az érintettet tájékoztatni kell).
Panasz benyújtása: A Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH):
- Weboldal: naih.hu
- Postai cím: 1055 Budapest, Falk Miksa utca 9-11.
- E-mail: ugyfelszolgalat@naih.hu
Az érintett panaszt nyújthat be az Európai Unión belül a tartózkodási helye szerinti felügyeleti hatóságnál is.
12. Változások a tájékoztatóban
Az adatkezelő fenntartja a jogot jelen tájékoztató módosítására. Lényeges változás esetén a regisztrált admin felhasználókat e-mailben értesítjük a hatályba lépés előtt legalább 14 nappal. A mindenkori hatályos verzió elérhető az avatawow.com weboldalon.
A tájékoztató korábbi verziói kérésre elérhetők a hello@avatawow.com e-mail címen.
13. Kapcsolat
Adatvédelmi kérdésekkel és érintetti kérelmekkel kérjük forduljon hozzánk:
Varga Levente
4225 Debrecen, Kiskert utca 15
E-mail: hello@avatawow.com
Weboldal: avatawow.com