Adatvédelmi Hatásvizsgálat (DPIA)

1. A vizsgálat célja

Az adatvédelmi hatásvizsgálat célja a Legitas platform adatkezelési tevékenységeinek értékelése, különös tekintettel a magas kockázatú adatfeldolgozási műveletekre.

2. Az adatkezelés leírása

2.1 Az adatkezelés jellege

• Online szerződéskezelő SaaS platform
• Elektronikus aláírás gyűjtése és tárolása
• AI-alapú szerződéselemzés (Anthropic Claude API)
• Automatizált audit naplózás

2.2 Az adatkezelés hatóköre

• Regisztrált felhasználók személyes adatai (név, email, cégnév, adószám)
• Szerződések tartalma és metaadatai
• Aláírók adatai (név, email, IP-cím, böngészőadat, aláíráskép)
• AI elemzéshez továbbított szerződésszövegek

2.3 Az adatkezelés kontextusa

• Magyar KKV-k számára fejlesztett platform
• B2B szolgáltatás, üzleti szerződések kezelése
• EU-n belüli tárhely (Hetzner GmbH, Németország)

3. Szükségesség és arányosság értékelése

3.1 Jogalap

• Szerződés teljesítése (GDPR 6. cikk (1) b) — regisztrált felhasználók
• Jogos érdek (GDPR 6. cikk (1) f) — biztonsági naplózás
• Hozzájárulás (GDPR 6. cikk (1) a) — AI elemzés, cookie-k
• Jogi kötelezettség (GDPR 6. cikk (1) c) — számviteli megőrzés (Szt.)

3.2 Adatminimalizálás

• Csak a szolgáltatáshoz szükséges adatok gyűjtése
• Opcionális mezők: cégnév, adószám, telefonszám
• Audit logok anonimizálása 2 év után
• AI elemzés: szerződésszöveg nem tárolódik az Anthropic szerverein

3.3 Megőrzési idő

• Felhasználói adatok: fiók törléséig
• Audit logok: 2 év (utána anonimizálás)
• Számviteli adatok: 8 év (Szt. 169. § (2))
• Cookie hozzájárulás: 1 év

4. Kockázatértékelés

4.1 Azonosított kockázatok

A) Adatszivárgás / jogosulatlan hozzáférés

• Valószínűség: Alacsony
• Hatás: Magas
• Kockázati szint: KÖZEPES
• Intézkedések: HTTPS/TLS 1.3, bcrypt-12 jelszó hash, httpOnly JWT cookie, 2FA támogatás, CORS korlátozás

B) AI adattovábbítás (Anthropic, USA)

• Valószínűség: Közepes
• Hatás: Közepes
• Kockázati szint: KÖZEPES
• Intézkedések: Standard Contractual Clauses (SCC), adatok nem tárolódnak az AI rendszerben, felhasználói hozzájárulás szükséges az elemzéshez

C) Aláírói adatok jogosulatlan felhasználása

• Valószínűség: Alacsony
• Hatás: Közepes
• Kockázati szint: ALACSONY
• Intézkedések: Token-alapú hozzáférés, aláírói consent checkbox, IP/böngésző naplózás, aláírás kép titkosított tárolás (R2)

D) Audit logok személyes adatai

• Valószínűség: Alacsony
• Hatás: Alacsony
• Kockázati szint: ALACSONY
• Intézkedések: 2 éves anonimizálás, hozzáférés-korlátozás, event data hash-elés

E) Partnernyilvántartás — aláírói adatok másodlagos felhasználása

• Valószínűség: Alacsony
• Hatás: Közepes
• Kockázati szint: ALACSONY
• Intézkedések: Külön hozzájárulás kérése az aláírási oldalon, opt-in jelölőnégyzet, törlési kérelem lehetősége

F) Webhook adattovábbítás — személyes adatok harmadik fél URL-re küldése

• Valószínűség: Közepes
• Hatás: Magas
• Kockázati szint: KÖZEPES
• Intézkedések: Felhasználó felelőssége a webhook cél megfelelősége, csak minimális adat továbbítása (szerződés státusz, aláíró neve), HTTPS kötelező

G) Harmadik fél adatfeldolgozók (Stripe, Resend, Cloudflare)

• Valószínűség: Alacsony
• Hatás: Közepes
• Kockázati szint: ALACSONY
• Intézkedések: DPA minden feldolgozóval, SCC az USA-ba irányuló továbbításokhoz, PCI DSS tanúsítvány (Stripe)

4.2 Automatizált döntéshozatal és DPO értékelés

Automatizált döntéshozatal (GDPR 22. cikk): A Platform AI elemzési funkciója kizárólag támogató eszközként működik — nem hoz joghatással bíró automatizált döntést. Az elemzés eredménye tájékoztató jellegű javaslat, a végső döntést minden esetben a Felhasználó hozza meg. Ezért a GDPR 22. cikk szerinti automatizált döntéshozatal nem valósul meg.

Adatvédelmi tisztviselő (DPO): A GDPR 37. cikk alapján a Szolgáltató megvizsgálta a DPO kinevezésének szükségességét. Tekintettel arra, hogy az adatkezelés nem minősül az érintettek nagymértékű, rendszeres és szisztematikus megfigyelésének, és a Platform nem kezel különleges adatkategóriákat fő tevékenységként, a DPO kinevezése jelenleg nem kötelező. A helyzetet évente felülvizsgáljuk.

5. Kockázatcsökkentő intézkedések összefoglalása

5.1 Technikai intézkedések

• HTTPS/TLS 1.3 titkosítás
• bcrypt-12 jelszó hash
• SHA-256 dokumentum integritás
• httpOnly, secure, sameSite cookie-k
• CORS korlátozás a frontend URL-re
• Kétfaktoros hitelesítés (TOTP)
• API kulcs hash-elés
• Automatikus session lejárat (30 nap)

5.2 Szervezeti intézkedések

• Adatkezelési tájékoztató és ÁSZF
• Cookie consent mechanizmus
• Hozzájárulás verziókezelés és re-consent flow
• Fiók törlés (right to erasure) implementálva
• Adat export (data portability) implementálva
• Aláírói adatkezelési tájékoztató
• Email leiratkozási lehetőség
• Audit log anonimizálás

5.3 Szerződéses intézkedések

• DPA (Adatfeldolgozási Megállapodás) minden harmadik féllel
• Standard Contractual Clauses (SCC) USA adattovábbításokhoz
• Transfer Impact Assessment (TIA) az Anthropic továbbításhoz

6. Az érintettek jogai

A platform biztosítja az alábbi jogok gyakorlását:

• Hozzáférés joga (GDPR 15. cikk) — Beállítások > Biztonság > Adat export
• Helyesbítés joga (GDPR 16. cikk) — Profil szerkesztése
• Törlés joga (GDPR 17. cikk) — Fiók törlése
• Korlátozás joga (GDPR 18. cikk) — Email: info@legitas.hu
• Adathordozhatóság (GDPR 20. cikk) — JSON export
• Tiltakozás joga (GDPR 21. cikk) — Email leiratkozás + kapcsolatfelvétel
• Hozzájárulás visszavonása (GDPR 7. cikk) — Fiók törlése

7. Felügyeleti hatóság konzultáció

A fennmaradó kockázatok az alkalmazott védelmi intézkedésekkel elfogadható szintre csökkenthetők. A GDPR 36. cikk szerinti előzetes konzultáció a NAIH-val nem szükséges, tekintettel arra, hogy: (a) a Platform nem végez nagymértékű profilalkotást; (b) az AI elemzés nem minősül automatizált döntéshozatalnak; (c) különleges adatkategóriák szisztematikus kezelése nem történik; (d) a nemzetközi adattovábbítások SCC/DPF védelemmel rendelkeznek. Amennyiben a jövőben ezen feltételek megváltoznak, az előzetes konzultációt haladéktalanul kezdeményezzük.

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

• Cím: 1055 Budapest, Falk Miksa utca 9-11.
• Weboldal: https://naih.hu
• Email: ugyfelszolgalat@naih.hu

8. Felülvizsgálat

A hatásvizsgálatot legalább évente, vagy az adatkezelési tevékenységek lényeges változása esetén felül kell vizsgálni.

Következő felülvizsgálat: 2027. március 7.

Készítette: Szabó Leonárd Henrik | Dátum: 2026. március 7. | Legitas © 2026