Hatályos: 2026. március 7.
1. Bevezetés
A Legitas platform bizonyos szolgáltatásaihoz az Európai Gazdasági Térségen (EGT) kívüli, egyesült államokbeli adatfeldolgozókat vesz igénybe. A GDPR 46. cikk (2) c) pontja és a Schrems II ítélet (C-311/18) alapján az alábbi értékelést készítettük az adattovábbítás jogszerűségéről és biztonságáról.
2. Érintett adattovábbítások
2.1 Anthropic (AI elemzés)
- Szolgáltató: Anthropic, PBC (San Francisco, CA, USA)
- Továbbított adatok: Szerződés szövege (kizárólag az AI elemzés időtartamára)
- Továbbítás célja: AI-alapú szerződéselemzés és kockázatértékelés
- Továbbítás jogalapja: Felhasználó kifejezett hozzájárulása (GDPR 6. cikk (1) a))
- Adatmegőrzés: Az Anthropic nem tárolja a feldolgozott adatokat (API Terms of Service)
- Védelem: SCC (EU 2021/914), API TLS 1.2+ titkosítás
Kiegészítő intézkedések:
- Felhasználó tájékoztatása az adattovábbításról az elemzés előtt
- Hozzájárulás szükséges az AI elemzés indításához
- A szerződésszöveg nem kerül tárolásra az Anthropic rendszerében
- API kommunikáció TLS 1.2+ titkosítással
2.2 Stripe, Inc. (fizetésfeldolgozás)
- Szolgáltató: Stripe, Inc. (San Francisco, CA, USA)
- Továbbított adatok: Ügyfél email, név, Stripe Customer ID
- Továbbítás célja: Előfizetés kezelés, fizetésfeldolgozás
- Továbbítás jogalapja: Szerződés teljesítése (GDPR 6. cikk (1) b))
- Védelem: SCC (EU 2021/914), PCI DSS Level 1 tanúsítvány
- Stripe DPA: Automatikusan érvényes, tartalmazza az SCC-t
Kiegészítő intézkedések:
- Minimális adattovábbítás (csak email, név, customer ID)
- Bankkártya adatok közvetlenül a Stripe-nál maradnak
- PCI DSS Level 1 compliance
2.3 Resend, Inc. (email küldés)
- Szolgáltató: Resend, Inc. (USA)
- Továbbított adatok: Címzett email cím, név, email tartalom
- Továbbítás célja: Tranzakciós és értesítő emailek küldése
- Továbbítás jogalapja: Szerződés teljesítése / jogos érdek
- Védelem: SCC (EU 2021/914), DPA aláírva
Kiegészítő intézkedések:
- Email tartalom minimalizálása
- Leiratkozási lehetőség nem-kritikus emailekből
- TLS titkosítás az email továbbításkor
2.4 Google LLC (Google OAuth)
- Szolgáltató: Google LLC (Mountain View, CA, USA)
- Továbbított adatok: Név, e-mail cím (bejelentkezéskor)
- Továbbítás célja: OAuth hitelesítés (Google-fiókkal bejelentkezés)
- Továbbítás jogalapja: EU-US Data Privacy Framework (DPF) — a Google LLC DPF-tanúsított (certification ID ellenőrizhető: dataprivacyframework.gov)
- Védelem: DPF tanúsítás, Google saját GDPR compliance program
Kiegészítő intézkedések:
- Minimális adatátvitel (csak név és e-mail)
- A bejelentkezés a felhasználó aktív cselekménye
- Google saját GDPR compliance programja
3. Az USA jogrendszer értékelése (Schrems II)
3.0 EU-US Data Privacy Framework és EO 14086
A 2023. július 10-i EU megfelelőségi határozat (C(2023) 4745) alapján az USA-ba irányuló adattovábbítás a DPF-tanúsított szervezetek részére megfelelő védelmet biztosít. Az EO 14086 végrehajtási rendelet új garanciákat vezet be: (a) a hírszerzési adatgyűjtés szükségességi és arányossági tesztje; (b) független jogorvoslati mechanizmus (Data Protection Review Court). A Stripe Inc. és a Google LLC DPF-tanúsítottak. Az Anthropic és a Resend esetében Standard Contractual Clauses (EU 2021/914) alkalmazandók kiegészítő védelmi intézkedésekkel.
3.1 Azonosított kockázatok
- FISA 702: A szolgáltatókra vonatkozhat kormányzati adathozzáférési kérelem
- EO 12333: Tömeges adatgyűjtési lehetőség a tranzit adatokra
FISA 702 kockázatelemzés: A FISA 702 hatálya az "electronic communication service provider"-ekre terjed ki. Az Anthropic (AI API szolgáltató) és a Resend (e-mail szolgáltató) potenciálisan e kategóriába tartozhatnak. Kockázatcsökkentő tényezők: (a) az Anthropic esetében az adatok tranziens jellegűek — az API hívás során feldolgozásra kerülnek, de nem kerülnek tartós tárolásra; (b) a Resend esetében az e-mail tartalom minimalizált és tranzakciós jellegű; (c) mindkét szolgáltató SCC-vel rendelkezik, amely szerződéses védelmet biztosít; (d) a Platformon kezelt adatok túlnyomó többsége az EU-ban (Hetzner, Cloudflare R2 EU régió) marad.
3.2 Kockázatcsökkentés
- Az Anthropic-nak továbbított adatok átmeneti jellegűek (nem tárolódnak)
- A Stripe PCI DSS Level 1 minősítéssel rendelkezik, az adathozzáférés minimális
- A Resend tranzakciós email szolgáltatás, az email tartalom rövid megőrzési idejű
- Minden továbbítás TLS 1.2+ titkosítással történik
- A platformon kezelt adatok túlnyomó többsége az EU-n belül marad (Hetzner, Cloudflare R2 EU)
3.3 Értékelés eredménye
A kiegészítő intézkedésekkel együtt az adattovábbítások megfelelő szintű védelmet biztosítanak. A továbbított adatok köre és jellege minimális, az átmeneti feldolgozás csökkenti a kormányzati hozzáférés kockázatát.
4. EU-n belüli adatfeldolgozók
4.1 Hetzner Online GmbH (szerver infrastruktúra)
- Székhely: Gunzenhausen, Németország
- Adatok: Teljes adatbázis, fájlok
- GDPR: EU-n belüli feldolgozás, német adatvédelmi jog
- DPA: Hetzner standard DPA
4.2 Cloudflare R2 (dokumentumtárolás)
- Régió: EU
- Adatok: PDF dokumentumok, aláírás képek
- GDPR: EU régiós tárolás konfigurálva
- DPA: Cloudflare DPA
5. Kiegészítő biztonsági intézkedések összefoglalása
Technikai
- End-to-end TLS 1.2+ titkosítás minden adattovábbításnál
- At-rest titkosítás az EU-s tárhelyeken
- API kulcsok hash-elése, nem visszafejthető tárolás
- httpOnly, secure cookie-k
- Kétfaktoros hitelesítés
Szervezeti
- Adatminimalizálás elve minden továbbításnál
- Rendszeres felülvizsgálat (legalább évente)
- Incidenskezelési terv (72 órás NAIH értesítés)
- Felhasználói tájékoztatás és hozzájárulás
Szerződéses
- Standard Contractual Clauses (EU 2021/914) minden USA feldolgozóval
- Data Processing Agreement minden feldolgozóval
- 14 napos értesítés új alfeldolgozó bevonása előtt
6. Felülvizsgálat
Ez a dokumentum évente, vagy az adatfeldolgozók változása, illetve jogszabályi változás esetén felülvizsgálandó.
Következő felülvizsgálat: 2027. március 7.
Készítette: Szabó Leonárd Henrik
Dátum: 2026. március 7.
Utolsó módosítás: 2026. március 7. | Legitas © 2026