Adatvédelmi tájékoztató

Adatkezelő neve: [TODO DP-5: adatkezelő teljes jogi neve]. Székhelye: [TODO DP-5: hivatalos postacím]. Nyilvántartási szám / adószám: [TODO DP-5: jogi formának megfelelő azonosító, vagy „nem alkalmazható magánszemélyként"]. Kapcsolat: contact@ai24tutors.com. Kutatási kontextus: Eszterházy Károly Katolikus Egyetem (Eger, Magyarország) doktori kutatási projekt.

[TODO DP-5: DPO neve és elérhetősége, vagy „Tekintettel az adatkezelés nem-rendszerszintű jellegére és a kutatási POC korlátozott kezelt adatmennyiségére, a GDPR 37. cikk (1) bekezdése alapján kötelező DPO kijelölése nem szükséges. Adatvédelmi kérdésekben az adatkezelő közvetlenül elérhető: contact@ai24tutors.com"].

(a) Adaptív tanulási útvonal biztosítása, tanulási teljesítmény mérése és visszajelzés adása a „Számítógépes elemzés alapjai" kurzus keretében. (b) Tudományos kutatás: single-group pre-post kvázi-kísérleti vizsgálat N=30 egyetemi hallgatóval, az önszabályozott tanulás (OSLQ) változásának mérésére a platform használata előtt és után. (c) A rendszer auditálhatósága, hibajavítás és biztonsági incidens-kezelés.

GDPR 6. cikk (1) a) pont — az érintett önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulása (Informált Beleegyezés dokumentum elfogadásával). Különleges adatokra (ha van): GDPR 9. cikk (2) a) pont (kifejezett hozzájárulás) és j) pont (tudományos kutatási célú adatkezelés). Szerződéses jogalap nem releváns — a hozzáférés kizárólag önkéntes kutatási részvétel alapján áll fenn.

Azonosítás: pszeudonimizált felhasználónév (hallgatói hash), kezdőjelszó az első belépésig. Profil: preferált nyelv (hu/en/de), szerepkör (hallgató). Használati: kurzusbeli interakciók, leckékben eltöltött idő, feladatmegoldások helyessége, BKT mastery becslések. Kérdőívi (opcionális): OLA, CSES, OSLQ, TIPI, NCS-6, TRI 2.0, CLS, SIMS, SUS, UEQ-S, PLG, BI-UTAUT válaszok. LLM kontextus: Kérdésekhez kapcsolt prompt + válasz audit (prompt hash + opcionális teljes tartalom flag alapján). Technikai: Flask session cookie, IP-cím (kizárólag rövid távú biztonsági naplóban). Adatvédelmi alapelv: Adattakarékosság — csak a kutatási hipotézis teszteléséhez elengedhetetlen adatok.

A kutatási pilot aktív fázisa: 2026 tavaszi szemeszter (várhatóan 2026. szeptember 30-ig). Pszeudonimizált kutatási adatok megőrzése publikációs célra: 5 év (GDPR 5. cikk (1) e) pont — tudományos kutatási célú tárolás). Anonimizált aggregált adatok (cikkek, preregisztráció): korlátlan idő. A hozzájárulás visszavonásakor a pszeudonimizált rekord 30 napon belül törlésre kerül; anonimizált aggregátumokból a visszavonás előtti adat már nem kivonható. Biztonsági naplók (IP, session): 90 nap. LLM audit (teljes prompt + válasz): 180 nap.

Tárhely-szolgáltató: Google Cloud EMEA Limited (70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Írország) — Cloud Run alkalmazás + Cloud SQL PostgreSQL 16. Adatközpont régió: europe-west4 (Hollandia). LLM szolgáltatók: OpenAI Ireland Limited (Dublin), Google Ireland Limited (Dublin, Gemini), Anthropic PBC (San Francisco, USA). Harmadik országba (USA) történő adattovábbítás jogi alapja: EU-U.S. Data Privacy Framework (2023/1795/EU végrehajtási határozat). E-mail továbbítás (rendszerértesítések): [TODO DP-5: e-mail szolgáltató megnevezése, pl. SendGrid / Mailgun, ha van].

A platform kizárólag funkcionális sütit használ: Flask session cookie (bejelentkezés fenntartása), nyelvválasztási preferencia. Analitikai, marketing vagy harmadik felek általi nyomkövető sütik NINCSENEK. A funkcionális sütik GDPR 6. cikk (1) f) pont (jogos érdek) alapján kerülnek alkalmazásra — a böngésző a kurzus használatához elengedhetetlen.

Az érintett kérheti: (a) tájékoztatást az adatkezelésről (15. cikk), (b) helyesbítést (16. cikk), (c) törlést („elfeledtetéshez való jog", 17. cikk) — a pszeudonimizált rekordját 30 napon belül töröljük, (d) adatkezelés korlátozását (18. cikk), (e) adathordozhatóságot (20. cikk) — JSON/CSV export, (f) tiltakozási jogot (21. cikk), (g) hozzájárulás bármikori visszavonását (7. cikk (3)). A kérelem benyújtása: contact@ai24tutors.com. A válasz határideje: 30 nap (GDPR 12. cikk).

Technikai: HTTPS (TLS 1.3) minden forgalomra, jelszavak hash-elése (scrypt/Argon2), pszeudonimizálás kutatási adatoknál (3 szintű hash-elés), PostgreSQL row-level titkosítás érzékeny mezőkön, rendszeres automata mentés (Cloud SQL PITR 7 nap). Szervezeti: minimális hozzáférés elve, audit napló minden adatkezelési művelethez (`LLMCallAudit`, `InteractionLog`, `security_audit_log`), incidens-kezelési eljárás. Incidens esetén: 72 órán belüli NAIH-bejelentés (GDPR 33. cikk), érintett értesítése, ha magas kockázatú (34. cikk).

Az érintett panaszt tehet a felügyeleti hatóságnál: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Székhely: 1055 Budapest, Falk Miksa utca 9-11. Postacím: 1363 Budapest, Pf. 9. Telefon: +36 1 391 1400. E-mail: ugyfelszolgalat@naih.hu. Web: https://naih.hu. Jogi útra terelés: az érintett bírósághoz (lakóhelye szerinti törvényszékhez) fordulhat.

Az adatkezelő fenntartja a jogot a tájékoztató egyoldalú módosítására. Lényeges változás esetén az érintetteket e-mailben vagy a platform első belépésénél értesítés formájában tájékoztatjuk. Az aktuális verzió mindig elérhető a /privacy URL-en. Jelen verzió: v1.0, 2026-04-15.