VibeVox — GDPR Compliance & Adatvédelmi Architektúra
Alapja: Deep Research kutatás #3 — GDPR compliance és architekturális elemzés (2026. április) Referencia dokumentumok:
STRATEGY.md·Pricing.md·privacy-policy.htmlJogi entitás: Europa Trade Studio LLC (US-bejegyzett)
Tartalomjegyzék
- A probléma összefoglalása
- Adatfolyam térkép — ki mit lát?
- Sub-processor kockázati mátrix
- A Groq „EU Frankfurt" marketing claim — mi igaz és mi nem?
- EU Data Residency — lehetséges megoldások és árak
- Döntés: Azure OpenAI EU mint BYOK opció
- Controller/Processor mátrix — ki miért felel?
- EU Képviselő — Article 27 kötelezettség
- Article 9 — Biometrikus adat kockázat (hangfelvétel)
- NIS2 direktíva — mikroenterprise kivétel
- MVCS — Minimum Viable Compliance Set (6 dokumentum)
- B2B onboarding — Azure EU segítség a prémium ügyfeleknek
- Privacy Policy jelenlegi állapota és hiányosságai
- Döntések összefoglalása
- ROPA — Kettős mátrix (Controller + Processor)
- DSAR Protokoll és pgAudit implementáció
- SCC Module 2 — Groq adattovábbítás dokumentáció
- Breach Notification SOP
1. A probléma összefoglalása
A VibeVox stratégiája három helyen hivatkozik arra, hogy „az adat Európában marad" vagy „GDPR-kompatibilis":
- STRATEGY.md többszöri hivatkozás: „Frankfurt EU szerver", „Zürich EU szerver", „adat soha nem hagyja el az EU-t"
- privacy-policy.html: „Not stored permanently on our servers after processing"
- Marketing tervek: „100% EU Frankfurt szerveren"
A deep research kutatás kimutatta, hogy ezek az állítások részben igazak, részben pontatlanok — és a pontatlanság B2B értékesítésnél blokkol, jogi kockázatot jelent, és a privacy-tudatos CEE fejlesztőket idegenítheti el.
Ez a dokumentum feltárja a pontos helyzetet, a lehetséges megoldásokat, azok költségét és a meghozott döntéseket.
2. Adatfolyam térkép — ki mit lát?
2.1. Managed Cloud mód (Pro előfizetés)
Felhasználó
│
▼ (HTTPS, TLS 1.3)
VibeVox Proxy szerver (Google Cloud VPS, US región)
│
├──► Groq API (hangfelvétel → szöveg)
│ Groq Inc. (US cég, Frankfurt routing, de DPA megengedi US átvitelt)
│ Adat: hangfelvétel WAV/WebM (tipikusan 10-360 másodperc)
│ Megőrzés: Groq DPA szerint „processing only", de nincs explicit törlési garancia
│
├──► Supabase (history, vocabulary, usage szinkron)
│ Supabase Inc. (US cég, Zürich EU adatközpont - eu-central-2)
│ Adat: szöveges transzkripció, szókincs, használati statisztikák
│ Megőrzés: amíg a felhasználó nem törli
│
└──► Stripe (fizetés, előfizetés-kezelés)
Stripe Inc. (US cég, teljes EU DPA + SCC + PCI DSS Level 1)
Adat: email, számlázási adatok, kártyaadatok (Stripe tokenizelve)
Megőrzés: jogi kötelezettség szerint (adójog: 7 év)
2.2. BYOK mód (Bring Your Own Key)
Felhasználó
│
├──► KÖZVETLENÜL a felhasználó által választott STT API-hoz
│ (Groq / OpenAI / Google Gemini / Azure OpenAI)
│ A VibeVox app csak az API hívást intézi — az API kulcs a felhasználóé
│ ETS LLC NEM processor ebben a relációban
│
├──► Supabase Zürich (history szinkron — ha bejelentkezve)
│
└──► Stripe (ha előfizetés aktív)
Kritikus különbség: BYOK módban a hangfelvétel feldolgozásáért nem az ETS LLC felel, hanem a felhasználó saját DPA-ja a választott providerrel. Ez drámaian egyszerűsíti a VibeVox jogi helyzetét.
2.3. A VibeVox Proxy szerver
A jelenlegi VibeVox proxy (Google Cloud VPS) a Managed Cloud mód kapuja. Fontos megjegyezni:
| Kérdés | Válasz |
|---|---|
| Hol van a VPS? | Google Cloud (jelenlegi: US régió) |
| Ez GDPR-probléma? | A VPS nem tárol hangfelvételt — csak közvetít (transit) |
| Kell EU-ba helyezni? | Nem szükséges, mert a proxy csak routing-ot végez, de B2B marketingben erősítene |
3. Sub-processor kockázati mátrix
A GDPR 28. cikke értelmében minden sub-processort listázni kell. A felhasználóknak joguk van értesítést kapni, ha sub-processor változik.
Kockázati besorolás
| Sub-processor | Kockázat | Adat típusa | EU Data Residency? | DPA típusa | Megjegyzés |
|---|---|---|---|---|---|
| Groq Inc. | 🔴 MAGAS | Hangfelvétel (audio) | ⚠️ Frankfurt routing, de DPA megengedi US átvitelt | SCC (Standard Contractual Clauses) | Nincs explicit törlési SLA az audio-ra |
| Supabase Inc. | 🟡 KÖZEPES | Szöveg, vocab, usage | ✅ Zürich (eu-central-2) | SCC | US cég, de adat fizikailag EU-ban; FISA 702 elméleti kockázat |
| Stripe Inc. | 🟢 ALACSONY | Fizetési metaadat | ✅ EU adatközpontak | SCC + DPF + PCI DSS L1 | Csak fizetési adatot kezel, nem hangtartalmat |
| Google Cloud | 🟡 KÖZEPES | VPS transit (routing) | ⚠️ Transit, nem tárol | Google Cloud DPA | A proxy nem végez adattárolást |
| Sentry | 🟢 ALACSONY | Crash report (opt-in) | ⚠️ US | SCC | send_default_pii=False, opt-in, minimális adat |
| Loops.so | 🟢 ALACSONY | Email cím, billing state, usage aggregáció (NEM hangfelvétel) | ⚠️ US (SOC 2 Type II) | GDPR DPA + SCC + EU-U.S. DPF | Az audio diktatúra adat NEM kerül ide. Email metadat ≠ érzékeny biometrikus adat. GDPR Art. 46(2)(c) SCC alapján jogszerű. |
Mitigáció — hogyan kezeljük a Groq 🔴-t?
A Groq a legmagasabb kockázatú sub-processor, mert:
- Hangfelvétel a legérzékenyebb adattípus (potenciálisan biometrikus, ld. Article 9 szekció)
- A DPA nem tartalmaz explicit törlési SLA-t a hangfeldolgozás utánra
- Frankfurt routing ≠ EU data residency garancia
Mitigációs intézkedések:
- Managed Cloud: A VibeVox marketing szövegeit pontosítjuk (ld. 4. szekció)
- BYOK: Az Azure OpenAI EU endpoint mint opció megoldja az EU data residency-t (ld. 6. szekció)
- B2B DPA: A sub-processor listában a Groq explicit „SCC-alapú, EU Frankfurt routing" megjelöléssel kerül
BYOK módban a Groq kockázata nem az ETS LLC-t terheli — a felhasználó saját API kulcsát, saját DPA-ját használja. A VibeVox csak a technikai API hívást intézi.
4. A Groq „EU Frankfurt" marketing claim — mi igaz és mi nem?
A jelenlegi állítás
A STRATEGY.md és a marketing tervek többszöri hivatkozása:
- „Adat nem hagyja el az EU-t"
- „Frankfurt EU szerver"
- „GDPR-kompatibilis"
Mi igaz?
| Állítás | Igaz? | Részletek |
|---|---|---|
| „Supabase adat Zürichben van" | ✅ IGAZ | Az EU região (eu-central-2) valóban Zürich — adat fizikailag EU-ban |
| „Groq adat Frankfurt EU szerveren" | ⚠️ FÉLIG IGAZ | A Groq Frankfurt régiót használja routing-ra, DE a DPA megengedi US átvitelt is |
| „Adat nem hagyja el az EU-t" | ❌ NEM IGAZ teljes egészében | Groq DPA: „Standard Contractual Clauses" — ez azt jelenti, EU-n kívüli átvitel LEHETSÉGES |
| „GDPR-kompatibilis" | ✅ IGAZ | Az SCC-vel történő US átvitel GDPR-konform (GDPR 46. cikk) — de nem ugyanaz mint „EU-ban marad" |
Mit mond a GDPR valójában?
Széles körben elterjedt tévhit, hogy a GDPR megtiltja az adat EU-n kívülre küldését. Ez NEM igaz.
A GDPR 46. és 47. cikke azt mondja: adatot LEHET harmadik országba (pl. USA-ba) továbbítani, HA megfelelő biztosítékok vannak. Ezek lehetnek:
- Standard Contractual Clauses (SCC) — az EU Bizottság által jóváhagyott szerződéses garanciák
- EU-US Data Privacy Framework (DPF) — 2023 júliusában az EU Bizottság elfogadta
- Adequacy Decision — az EU kimondta, hogy az adott ország adatvédelmi szintje elegendő
A Groq SCC-vel működik — tehát jogilag GDPR-konform. De a marketing szöveg „adat EU-ban marad" NEM ugyanaz mint „SCC-vel EU-n kívülre is mehet". A kettő közötti különbség az, amit a DPO-k kiszúrnak.
A pontos marketing szöveg (döntés: 2026-04-06)
| Komponens | RÉGI szöveg (pontatlan) | ÚJ szöveg (pontos) |
|---|---|---|
| Supabase | „Adat nem hagyja el az EU-t" | ✅ „Adat az EU-ban marad — Supabase Zürich (eu-central-2)" |
| Stripe | „GDPR-kompatibilis" | ✅ „GDPR-kompatibilis — Stripe EU DPA + SCC + PCI DSS" |
| Groq (Managed Cloud) | „Frankfurt EU szerver" | ⚠️ „EU SCC (Standard Contractual Clauses) alapján, Groq Frankfurt régión feldolgozva" |
| BYOK Azure OpenAI | (nem létezett) | ✅ „100% EU Data Residency — Azure OpenAI EU adatközpont" |
5. EU Data Residency — lehetséges megoldások és árak
5.1. A négy STT provider összehasonlítása
| Provider | Ár/perc | EU Data Residency? | CEE nyelvi minőség | Regisztrációs nehézség | API kompatibilitás |
|---|---|---|---|---|---|
| Groq Whisper large-v3 | ~$0.00185 | ⚠️ SCC (EU-n kívülre is mehet) | ✅ Kiváló | 🟢 Alacsony (email + kártya) | ✅ OpenAI-kompatibilis |
| OpenAI gpt-4o-transcribe | ~$0.006 | ❌ US szerver, nincs EU garancia | ✅ Legjobb | 🟢 Alacsony | ✅ Natív |
| Azure OpenAI Whisper | ~$0.006 | ✅ EU Data Zones (westeurope/swedencentral) | ✅ Kiváló | 🔴 Magas (Azure account + resource) | ⚠️ Saját endpoint formátum |
| Gemini 2.5 Flash (Vertex AI) | ~$0.001–0.002 (token-alapú) | ✅ EU régió (europe-west4) | 🟡 Tesztelés szükséges | 🟡 Közepes (Google Cloud fiók) | ⚠️ Eltérő API struktúra |
5.2. Árkülönbség — unit economics hatás
Az OpenAI/Azure Whisper pontosan 3.2× drágább mint a Groq:
200 perc/hó (átlagos user):
Groq: $0.37 → €0,34
OpenAI/Azure: $1.20 → €1,10 ← (3.2× drágább)
1000 perc/hó (power user):
Groq: $1.85 → €1,70
OpenAI/Azure: $6.00 → €5,49 ← (3.2× drágább)
3000 perc/hó (heavy user):
Groq: $5.55 → €5,09
OpenAI/Azure: $18.00 → €16,47 ← (3.2× drágább)
5.3. Managed Cloud margin hatás (ha Azure-ra álltunk volna)
| Felhasználói profil | Perc/hó | Groq cost → marzs | Azure cost → marzs |
|---|---|---|---|
| 🟢 Átlagos user | 200 | €0,34 → €9,65 (97%) | €1,10 → €8,89 (89%) |
| 🟡 Power user | 1 000 | €1,70 → €8,29 (83%) | €5,49 → €4,50 (45%) ⚠️ |
| 🔴 Heavy user | 3 000 | €5,09 → €4,90 (49%) | €16,47 → -€6,48 ❌ VESZTESÉGES |
A Managed Cloud backend NEM állhat át Azure OpenAI-ra az unit economics miatt. A heavy user azonnal veszteséges lenne — a 6 perces session cap sem védi, mert a break-even ~5880 perc/hó-ról ~1800 perc/hó-ra csökkenne.
5.4. Gemini 2.5 Flash — potenciális jövőbeli EU managed cloud backend
A Gemini 2.5 Flash a Google Vertex AI EU régiókban (europe-west4, Hollandia) elérhető, és árazása token-alapú (~$0.001-0.002/perc becsült), ami közelíti a Groq árazását.
Előnyök:
- ✅ EU Data Residency (regionális endpoint-tal)
- ✅ Olcsó (Groq-szintű vagy olcsóbb)
- ✅ Google Cloud DPA (robusztus, EU-konform)
Hátrányok:
- 🟡 CEE nyelvi minőség (HU/SK/PL/CS) — benchmarkolás szükséges a Whisper large-v3 ellen
- 🟡 Eltérő API struktúra —
pipeline.pymódosítást igényel - 🟡 Token-alapú árazás — a tényleges perc-ár függ a beszéd sűrűségétől
Döntés: Fázis 2-re a Gemini 2.5 Flash EU-s tesztelése bekerül a roadmapbe mint potenciális managed cloud backend, ami lehetővé tenné az „adat 100%-ban EU-ban marad" állítást.
6. Döntés: Azure OpenAI EU mint BYOK opció
A döntés (2026-04-06)
A Managed Cloud backend marad Groq-on (unit economics, ld. 5.3. szekció).
A BYOK provider listába bekerül az Azure OpenAI EU mint negyedik opció — kifejezetten az EU Data Residency-t igénylő B2B ügyfeleknek (ügyvédi irodák, klinikák).
BYOK Provider választó (Fázis 2, Settings → Advanced / Developer tab):
○ Groq Whisper — ⚡ Leggyorsabb, legolcsóbb
SCC, EU Frankfurt routing
~$0.00185/perc
○ OpenAI Whisper — 🎯 Legjobb minőség
SCC, US processing
~$0.006/perc
○ Google Gemini Flash — 🧠 Multimodális
EU régió elérhető (Vertex AI)
~$0.001–0.002/perc
● Azure OpenAI — 🔒 100% EU Data Residency
Azure EU adatközpont (westeurope / swedencentral)
~$0.006/perc
⚠️ Azure fiók és resource setup szükséges
Miért BYOK-nál és nem Managed Cloud-nál?
| Szempont | BYOK Azure | Managed Cloud Azure |
|---|---|---|
| Ki fizeti az API cost-ot? | A felhasználó/cég | ETS LLC |
| 3.2× árkülönbség | A felhasználó dolga | ETS LLC veszteséges heavy usernél |
| Azure fiók komplexitás | Az ügyfél IT-je kezeli | Nem skálázható — minden ügyfélhez külön Azure fiók? |
| EU Data Residency garancia | ✅ A cég saját Azure fiókjában | ⚠️ ETS LLC Azure fiókja az ügyfél adatának kontrollere |
A B2B ügyfél (ügyvéd, orvos) profitja ebből
A B2B ügyfél szempontjából az Azure OpenAI BYOK a legtisztább opció:
- A cég saját Azure fiókjából fut a Whisper — az adat a cég kontrollja alatt marad
- A DPA a cég és a Microsoft között jön létre — az ETS LLC nem közvetítő
- Az EU Data Residency a cég Azure konfigurációjából fakad, nem a VibeVox ígéretéből
- A VibeVox app „csak" az API hívást intézi — mint egy intelligens kliensalkalmazás
Az Azure BYOK regisztráció nehézsége — és hogyan oldja meg a B2B support
Az Azure OpenAI regisztráció bonyolultabb mint a Groq vagy OpenAI:
- Azure fiók létrehozása
- Azure OpenAI resource létrehozása (eu-west / swedencentral régió!)
- Whisper model deploy-ja a resource-ban
- API kulcs + Endpoint URL másolása
- VibeVox Settings → Advanced → Azure OpenAI → endpoint + key beillesztése
Döntés: A B2B tier (€15–20/szék/hó) tartalmazza a prioritásos onboarding supportot. A support csapat (vagy akár személyes videó hívás) segít az ügyfélnek:
- Azure fiók beállítása EU régióban
- Whisper model deploy
- VibeVox app konfigurálása
Ez nulla fejlesztési cost — csak support-idő, amit a B2B emelt ár bőven fedez. Egy 10 fős ügyvédi iroda esetén a €15/szék/hó = €150/hó. Egy egyszeri 30 perces videó hívás (setup support) = max €20 elvi költség. A maradék 11 hónap tiszta margin.
Marketing szög: „Az ügyvédi irodája diktáló rendszerét mi segítünk beállítani — 30 perces videó hívásunk alatt mindent konfigurálunk, és az adatai soha nem hagyják el az EU-t." Ez a Newton Dictate versenytárs ellen is erős: Newton nem ad cloud opciót, a VibeVox viszont cloud-ot ad EU garanciával, negyedáron.
7. Controller/Processor mátrix — ki miért felel?
A GDPR két fő adatkezelési szerepet definiál:
- Controller (Adatkezelő): meghatározza, MIÉRT és HOGYAN kezelik az adatot
- Processor (Adatfeldolgozó): a Controller nevében végrehajtja az adatkezelést
A VibeVox architektúrája négy különböző kombinációt teremt:
7.1. Szereposztás üzemmódonként
| Kombináció | ETS LLC szerepe | Felhasználó szerepe | STT Provider szerepe | DPA típusa |
|---|---|---|---|---|
| B2C Managed Cloud | Controller | Data Subject (érintett) | Sub-processor (Groq) | Nincs szükség B2C DPA-ra — Privacy Policy elegendő |
| B2C BYOK | Szoftver-licencárus* | Data Subject | A felhasználó közvetlenül processzora | Nincs → a user saját DPA-ja a providerrel |
| B2B Managed Cloud | Processor | Controller (a cég) | Sub-processor (Groq) | B2B DPA kötelező — ETS LLC mint processor |
| B2B BYOK | Szoftver-licencárus* | Controller (a cég) | A cég közvetlenül processzálja (saját API) | Csökkentett DPA — ETS LLC nem kezel hangadatot |
* BYOK módban az ETS LLC nem processzálja a hangot — csak szoftvert biztosít. Ez jogilag közelebb áll a licencárus szerephez, mint a processzorhoz.
BYOK VSQ Bypass — B2B sales shortcut (SaaS kutatás, 2026-04-07):
BYOK módban a VibeVox NEM data processor, ezért a vállalati Vendor Security Questionnaire (VSQ) és DPIA nem a VibeVox-re, hanem az STT providerre vonatkozik. Ez a B2B procurement ciklust 2-6 hónapról 1-2 hétre rövidíti. Az objection handling script: 10_B2B_Playbook.md Objection #5.
7.2. Miért fontos a mátrix?
A jogi dokumentáció (Privacy Policy, DPA, ToS) teljesen más szöveget igényel a négy esetben.
| Ha a DPA rosszul definiálja a szerepeket... | Következmény |
|---|---|
| ETS LLC-t Controller-nek hívja B2B Managed Cloud-ban | A cég (valódi Controller) elveszíti a GDPR-kontrollt |
| ETS LLC-t Processor-nak hívja BYOK-ban | ETS LLC felesleges felelősséget kap hangfeldolgozásra |
| Nincs Sub-processor lista a DPA-ban | GDPR 28. cikk szerinti kötelezettségszegés |
7.3. Teendő
- B2B Managed Cloud DPA: ETS LLC = Processor, dokumentálni kell a Controller jogait (hozzáférés, törlés, audit)
- B2B BYOK DPA: ETS LLC = szoftver-szolgáltató, a DPA scope-ja csökkentett (csak Supabase history/vocab)
- Mindkét DPA-ban: Sub-processor lista, SCC referencia, törlési mechanizmus
8. EU Képviselő — Article 27 kötelezettség
A helyzet
A GDPR 27. cikke előírja: ha egy EEA-n kívül bejegyzett vállalkozás EU-s személyek adatait kezeli, kötelező egy EU-ban lévő képviselőt kijelölni.
Az ETS LLC az USA-ban bejegyzett → Article 27 alá esik.
Mi az EU Képviselő?
Az EU Képviselő a hatóságok és az érintettek EU-s kapcsolattartó pontja. NEM döntéshozó — csak a kommunikációs csatornát biztosítja. Lehet:
- Természetes személy (pl. ügyvéd Belgiumban)
- Erre specializált cég (DataRep, VeraSafe, Prighter)
Költség
| Provider | Éves díj | Lefedettség |
|---|---|---|
| DataRep | ~€150–300/év | EU + UK (opcionális) |
| VeraSafe | ~€200–400/év | EU + UK + Svájc |
| Prighter | ~€300–600/év | EU + UK, DACH fókusz |
Következmény ha nincs
- GDPR 83. cikk: akár €10 millió bírság (vagy az éves árbevétel 2%-a)
- B2B DPO-k a Privacy Policy-ban keresik — ha nincs, a szoftver nem kerülhet be a procurement listára
- Felhasználói panasz esetén a hatóság (pl. NAIH) az EU Képviselőhöz fordul — ha nincs, eljárás indul
Teendő
- Azonnali (P0): DataRep vagy VeraSafe regisztráció (~€200/év)
- Privacy Policy frissítés: EU Képviselő nevének és elérhetőségének feltüntetése
- Erőfeszítés: 1 online form kitöltése + fizetés → 1-2 munkanap
Ez a legkönnyebben és legolcsóbban teljesíthető GDPR kötelezettség (~€200/év, 1 form), de elmulasztása automatikusan kizár a B2B compliance csomagból.
9. Article 9 — Biometrikus adat kockázat (hangfelvétel)
A jogi háttér
A GDPR 9. cikke a különleges kategóriájú adatok (Special Categories) kezelését szabályozza. Ide tartozik a biometrikus adat.
GDPR 4. cikk (14) definíciója:
„Biometrikus adat: természetes személy testi, fiziológiai vagy viselkedési jellemzőiből előállított adatok, amelyek lehetővé teszik az egyedi azonosítást — pl. arc, ujjlenyomat, hang."
Mikor számít a hangfelvétel biometrikus adatnak?
A GDPR-értelmezés szerint a hangfelvétel akkor biometrikus adat, ha az adatkezelés célja a személy egyedi azonosítása a hang alapján.
| Forgatókönyv | Biometrikus? | Indok |
|---|---|---|
| VibeVox: hang → szöveg (STT) + hang törlése | NEM | A cél transzkripció, nem azonosítás; a hang törlődik |
| VibeVox: hang → szöveg + hang tárolása | POTENCIÁLISAN | A tárolt hangból elméletben azonosítható a személy |
| Hangazonosító rendszer (pl. folyószámla) | IGEN | A cél kifejezetten az egyedi azonosítás |
A VibeVox kockázata
A jelenlegi architektúrában:
- A felhasználó hangja átmenetileg a Groq API-n tartózkodik feldolgozás közben
- A Groq DPA nem garantál explicit törlési SLA-t az audio-ra
- Ha a Groq bármilyen okból megtartja a hangot → a biometrikus adat kockázat emelkedik
Különösen kritikus a B2B orvosi szektorban:
- Ha orvos diktál diagnózist → a hang tartalmaz:
- Azonosítható egészségügyi adatot (a páciens diagnózisa) — Article 9(1) egészségügyi adat
- Az orvos hangját — potenciálisan biometrikus
- A DPA-nak explicit módon ki kell térnie erre
Mitigáció
| Intézkedés | Hatás | Prioritás |
|---|---|---|
| Zero Retention Policy dokumentum | Írásban rögzíti: „hang törlése a feldolgozás után" | P0 — B2B belépőjegy |
| Groq DPA Article 9 értékelés | Ellenőrizni: Groq DPA mit mond a különleges adatokról | P1 — B2B launch előtt |
| Azure OpenAI EU BYOK | Orvosi B2B ügyfél Azurét használ → Microsoft BAA + DPA | P1 — ezt ajánljuk orvosi szektornak |
| DPIA (Data Protection Impact Assessment) | B2B orvosi esetben kötelező belső dokumentum | P2 — első orvosi ügyfélnél |
DPA Article 9 kikötés
A B2B DPA-ban az alábbi explicit kikötés szükséges:
Article 9 — Különleges kategóriájú adatok
A Szolgáltató (ETS LLC) tudomásul veszi, hogy a Szolgáltatás használata során
az Ügyfél (Controller) különleges kategóriájú személyes adatokat (GDPR 9. cikk)
dolgoztathat fel, ideértve de nem kizárólag egészségügyi adatokat.
A Szolgáltató kötelezettséget vállal, hogy:
(a) a hangfelvételt kizárólag a transzkripció céljából dolgozza fel,
(b) a hangfelvételt a feldolgozás befejezését követően haladéktalanul törli,
(c) a hangfelvételt nem használja biometrikus azonosítás céljára,
(d) a sub-processorok (Groq Inc., Microsoft Azure) megfelelő biztosítékokat
nyújtanak a különleges kategóriájú adatok kezelésére.
Az Ügyfél köteles a 9. cikk (2) bekezdés szerint alkalmazandó jogalapot biztosítani
(explicit hozzájárulás vagy az egészségügyi célra vonatkozó kivétel).
10. NIS2 direktíva — mikroenterprise kivétel
Mi a NIS2?
A NIS2 direktíva (2022/2555/EU) a kiberbiztonsági megfelelési keretrendszer, amely 2024 októbere óta tagállami jogban is él. Az EU legfontosabb kiberbiztonsági szabályozása.
Az ETS LLC helyzete
| NIS2 küszöb | ETS LLC | Hatálya alá esik? |
|---|---|---|
| < 10 fő VAGY < €2M árbevétel | ✅ Mikroenterprise | ❌ NEM esik NIS2 hatálya alá |
| 50+ fő VAGY €10M+ árbevétel | — | „small entity" — hatálya alá esne |
| 250+ fő VAGY €50M+ árbevétel | — | „important entity" — kötelező audit |
Jó hír: A mikroenterprise kivétel miatt az ETS LLC közvetlenül nem kell NIS2 auditot végeztetnie.
A „compliance by proxy" kockázat
Rossz hír: Ha a VibeVox B2B ügyfelei NIS2-hatálya alá esnek (ügyvédi irodák, klinikák, pénzügyi szervezetek), tőlük elvárás lesz, hogy szállítóik is NIS2-kompatibilisek legyenek — még ha formálisan nem kötelező.
Konkrétan: ha egy lengyel közjegyzői iroda VibeVox-t akar vásárolni, és az iroda maga NIS2 hatálya alá esik, az IT-vezető rákérdez: „Van NIS2 megfelelési nyilatkozatotok?"
Teendő
| Időtáv | Teendő | Erőfeszítés |
|---|---|---|
| Most (Fázis 1) | Semmi — a kivétel érvényes, nem blokkol | — |
| Fázis 2 (B2B növekedés) | NIS2-kompatibilis szállítói nyilatkozat sablon elkészítése | 🟢 Alacsony (1-2 óra) |
| Skálázódás után (50+ user) | NIS2 belső checklist + SOC 2 Type II mérlegelés | 🟡 Közepes |
A NIS2 nem blokkol rövid távon. De a proaktív szállítói nyilatkozat (self-assessment) bizalmi jel a B2B értékesítésben — minimális erőfeszítéssel elkészíthető.
11. MVCS — Minimum Viable Compliance Set (6 dokumentum)
A Minimum Viable Compliance Set az a dokumentum-csomag, amely minimálisan szükséges ahhoz, hogy egy EU-s GDPR-kötelezett szervezet (ügyvédi iroda, klinika) megvásárolhassa a VibeVox-t.
A 6 kötelező dokumentum
| # | Dokumentum | GDPR cikk | Mi ez? | Státusz | Prioritás |
|---|---|---|---|---|---|
| 1 | Privacy Policy | Art. 13–14 | Adatkezelési tájékoztató: adatkezelő kilétét, adatok körét, célját, jogalapját, megőrzési idejét, sub-processorokat tartalmazza | ⚠️ Létezik, de elavult — hiányzik: EU Képviselő, pontos sub-processor lista, Controller/Processor szerep, BYOK vs Managed Cloud megkülönböztetés | P0 |
| 2 | DPA (Data Processing Agreement) | Art. 28 | B2B szerződés az adatfeldolgozásról — Controller/Processor viszony, adatbiztonság, határon átnyúló adattovábbítás feltételei | ❌ Hiányzik | P0 — B2B blokkoló |
| 3 | ROPA (Records of Processing Activities) | Art. 30 | Belső nyilvántartás — nem publikus, de hatóság kérheti; minden adatkezelési tevékenységet dokumentál | ❌ Hiányzik | P1 |
| 4 | Cookie Policy | ePrivacy Directive | Landing page-en elengedhetetlen (Google Analytics, tracking) — cookie consent banner + policy | ❌ Hiányzik | P0 — landing page-hez |
| 5 | Zero Retention Policy | Art. 5(1)(e) | Hangfelvétel törlésének igazolása feldolgozás után — B2B szektorban explicit D2PO elvárás | ❌ Hiányzik | P0 — B2B belépőjegy |
| 6 | Sub-processor List | Art. 28(2) | Groq, Supabase, Stripe, Google Cloud, Sentry — DPA linkekkel, kockázati besorolással | ❌ Hiányzik mint önálló dokumentum | P0 — DPA melléklete |
A jelenlegi Privacy Policy hiányosságai
A meglévő privacy-policy.html tartalmaz alapelemeket, de:
| Hiányzik | Miért probléma? |
|---|---|
| EU Képviselő neve és elérhetősége | Article 27 kötelezettségszegés |
| Pontos sub-processor lista DPA linkekkel | B2B DPO-k első kérdése |
| Controller/Processor szerep megkülönböztetés (B2C vs B2B) | Jogi felelősség tisztázatlan |
| BYOK vs Managed Cloud adatfolyam különbség | A felhasználó nem tudja, mi történik az adatával |
| Törlési SLA-k (Groq audio, Supabase text, Stripe fizetés) | Article 5(1)(e) storage limitation |
| Cookie policy | ePrivacy Directive — landing page-hez kötelező |
| DPIA referencia (orvosi/jogi szektor) | Article 35 — ha különleges adat kezelődik |
Prioritási sorrend
P0 — B2B launch előtt KÖTELEZŐ (blokkol):
1. ✏️ Privacy Policy frissítése (EU Képviselő, sub-processorok, Controller/Processor)
2. 📄 DPA template elkészítése (click-wrap, online aláírható)
3. 📄 Zero Retention Policy dokumentum
4. 📄 Sub-processor List (önálló PDF, DPA melléklete)
5. 🍪 Cookie Policy (landing page-hez)
P1 — Első B2B ügyfél előtt:
6. 📋 ROPA (Article 30) belső dokumentum
7. 📋 Article 9 kockázatértékelés (orvosi/jogi szektor számára)
8. 👤 EU Képviselő kijelölése (DataRep/VeraSafe)
12. B2B onboarding — Azure EU segítség a prémium ügyfeleknek
A koncepció
A B2B tier (€15–20/szék/hó) emelt árjáért cserébe a VibeVox aktív support-ot ad az Azure OpenAI EU beállításához. Ez nem automatizálható onboarding — személyes segítség.
Az onboarding flow
1. B2B ügyfél regisztrál a VibeVox-re (landing page / sales)
│
2. Support felveszi a kapcsolatot — 30 perces videó hívás időpont
│
3. Videó hívás tartalma:
a) Azure fiók létrehozása (ha nincs) — EU billing address
b) Azure OpenAI resource létrehozása → westeurope vagy swedencentral régió
c) Whisper model deploy a resource-ban
d) API kulcs + Endpoint URL generálása
e) VibeVox app konfigurálása (Settings → Advanced → Azure OpenAI)
f) Teszt diktálás — működik?
│
4. Follow-up email: DPA + Sub-processor List + Zero Retention Policy csatolva
│
5. Működik ✅
Költség-haszon
| Elem | Ár |
|---|---|
| B2B support videó hívás (30 perc, egyszeri) | ~€20 elvi költség (support-idő) |
| B2B 10 fős iroda havi bevétel | €150/hó |
| B2B 10 fős iroda éves bevétel | €1 800/év |
| ROI | A support cost < 1.5% az éves bevételnek |
Landing page szöveg (iránymutatás)
A B2B landing page compliance szekciójában:
🔒 100% EU Data Residency — igény szerint
Ha szervezete megköveteli, hogy a hangfelvétele soha ne hagyja el az EU-t, az Azure OpenAI BYOK opciónk teljes EU adatrezidenciát biztosít — westeurope vagy swedencentral régión.
Mi segítünk beállítani: A B2B csomagunk tartalmazza a 30 perces onboarding videó hívást, ahol support csapatunk konfigurál mindent. Egy hívás — és az adatai az EU-ban maradnak.
[DPA letöltése] [Sub-processor Lista] [Compliance Csomag]
13. Privacy Policy jelenlegi állapota és hiányosságai
Referencia: privacy-policy.html
A jelenlegi Privacy Policy (hatályos: 2026. április 1.) alapvető elemeket tartalmaz, de a kutatás alapján az alábbi frissítések szükségesek:
| Szekció | Jelenlegi állapot | Szükséges frissítés |
|---|---|---|
| 1. Overview | ✅ Megvan | Kiegészítés: ETS LLC Controller/Processor szerepe |
| 2.1 Audio Data | ✅ Megvan | Kiegészítés: „SCC alapján, Groq Frankfurt routing" + Azure EU opció említés |
| 2.2 Google Account | ✅ Megvan | OK |
| 2.3 Usage Data | ⚠️ „Deepgram" említés | Frissítés: Deepgram → Groq (elavult provider referencia!) |
| 3. Third-Party Services | ⚠️ Hiányos | Bővítés: Supabase, Stripe, Sentry, Google Cloud VPS hozzáadása |
| EU Képviselő | ❌ Hiányzik | Új szekció: Art. 27 EU Képviselő név + elérhetőség |
| BYOK vs Managed Cloud | ❌ Hiányzik | Új szekció: adatfolyam különbség a két módban |
| Jogalap (Art. 6) | ❌ Hiányzik | Új szekció: legitimate interest / consent / contractual basis |
| Törlési kérés (Art. 17) | ⚠️ Hiányos | Konkretizálás: hogyan kérhető, válaszidő (30 nap) |
| DPIA referencia | ❌ Hiányzik | Megjegyzés: „Orvosi/jogi felhasználás esetén DPIA ajánlott" |
A jelenlegi Privacy Policy-ban a „Deepgram" referencia elavult — ez egy korábbi STT provider, amit már nem használ az app. Azonnali korrekció szükséges.
14. Döntések összefoglalása
Elfogadott döntések (2026-04-06)
| # | Döntés | Hatás | Fázis |
|---|---|---|---|
| D1 | Groq marketing claim pontosítása: „EU SCC alapján" (nem „adat EU-ban marad") | Marketing, landing page, Privacy Policy | P0 — azonnali |
| D2 | Azure OpenAI EU bekerül a BYOK provider listába (Fázis 2) | Pipeline.py módosítás, Settings UI | Fázis 2 |
| D3 | B2B tier tartalmazzon Azure onboarding support-ot (30 perces videó hívás) | B2B landing page, support workflow | Fázis 2 |
| D4 | Managed Cloud backend marad Groq-on (unit economics) | Nincs változás, csak a claim pontosítás | — |
| D5 | EU Képviselő kijelölése (DataRep/VeraSafe, ~€200/év) | Privacy Policy frissítés, 1 form | P0 |
| D6 | Controller/Processor mátrix dokumentálása | DPA két változatban (Managed + BYOK B2B) | P1 |
| D7 | Sub-processor kockázati mátrix publikálása | B2B landing page, DPA melléklet | P1 |
| D8 | MVCS 6 dokumentum elkészítése | DPA, Zero Retention, Cookie Policy, ROPA, Privacy Policy frissítés, Sub-processor List | P0–P1 |
| D9 | NIS2 mikroenterprise kivétel rögzítése, szállítói nyilatkozat sablon Fázis 2-re | Backlog | P2 |
| D10 | Article 9 biometrikus kockázat — DPA kikötés az orvosi/jogi szektornak | B2B DPA Article 9 szekció | P1 |
| D11 | Gemini 2.5 Flash EU Vertex AI tesztelése CEE nyelveken | Pipeline benchmarking | Fázis 2 |
| D12 | Privacy Policy frissítése (Deepgram eltávolítás, sub-processorok bővítése, EU Képviselő) | privacy-policy.html | P0 |
| D13 | EU Képviselő: DataRep választva (€150/év) — Prighter/VeraSafe helyett (deep research validálva) | 08_Compliance.md, privacy-policy.html | P0 |
| D14 | ROPA kettős mátrix összeállítása (Controller B2C + Processor B2B) — Google Sheets formátumban | docs/Legal/ROPA.xlsx | P1 |
| D15 | Supabase pgAudit aktiválás + DSAR törlési bizonyíték protokoll dokumentálása | 10_Tech_Architecture.md, sync.py audit | P0 |
| D16 | SCC Module 2 Annex I-II kitöltése a Groq transzferhez + 1-2 oldalas TIA dokumentum | docs/Legal/SCC_Module2_Groq.pdf | P1 |
| D17 | Breach Notification SOP (72h UODO + 24-48h B2B SLA) — belső eljárás dokumentáció | docs/Legal/Breach_Notification_SOP.md | P1 |
| D18 | B2B DPA sablon: 5 CEE-specifikus záradék beépítés (vak infrastruktúra, 48h SLA, alprocesszor vétójog, audit korlátozás, ephemerális garancia) | docs/Legal/DPA_Managed_Cloud.pdf | P0 |
Nyitott kérdések
- EU Képviselő: ✅ DataRep választva (2026-04-10) — következő lépés: regisztráció
- A DPA-t ki írja meg? Sablon kész (§3 08_Compliance.md) + lengyel/cseh ügyvédi felülvizsgálat (€800-1500) szükséges a Tajemnica Zawodowa kompatibilitáshoz
- Gemini Flash CEE benchmark: Mikor és hogyan teszteljük HU/SK/PL/CS nyelven?
- Privacy Policy HTML redesign: A jelenlegi „Android" badge → multi-platform privacy policy kell
- VPS geolokáció: A jelenlegi US VPS-t EU-ba érdemes-e áthelyezni a B2B marketing erősítése érdekében?
- pgAudit soft delete audit: sync.py
deleted_atmező megvizsgálandó — fizikai törlés garantálva?
Kapcsolódó dokumentumok:
STRATEGY.md— Üzleti stratégia és fázistervekROADMAP.md— Technikai sprint trackerPricing.md— Árazási részletek és payment gateway döntésekprivacy-policy.html— Jelenlegi Privacy Policy (frissítendő)Competitors.md— Versenytárs-elemzés
15. ROPA — Kettős mátrix (Controller + Processor)
A ROPA (Records of Processing Activities) belső dokumentum — nem publikus, de az UODO audit első kérdése. El nem készítése közvetlenül bírságkockázatot jelent. Negyedévente felülvizsgálandó.
VibeVox mint Adatkezelő (B2C + belső műveletek):
| ROPA mező | STT Transkripció | Felhasználói fiók | Számlázás | Hibannapló (opt-in) |
|---|---|---|---|---|
| Kezelési tevékenység | Managed Cloud STT | Auth és szinkron | Fizetés | Sentry crash log |
| Jogalap (Art. 6) | (b) Szerződés | (b) Szerződés | (b) Szerződés + (c) jogi | (a) Hozzájárulás |
| Adatalanyok | B2C felhasználók | Regisztrált felhasználók | Fizető ügyfeled | B2C/B2B opt-in |
| Adatkategoriák | Ephemerális hang, szöveg | Email, history, vocab, usage | Email, száml. cím, kártyatoken | Anonymizált stack trace |
| Alprocesszorok | Groq (US/SCC) | Supabase (Zürich) | Stripe (EU DPA) | Sentry (US/SCC) |
| Adatmegőrzés | Hang: azonnali törlés. Szöveg: törlési kérésig | Fiók törléséig, max 3 év inaktivitás | 7 év (EU adójog) | 90 nap |
VibeVox mint Adatfeldolgozó (B2B deploymentek):
| ROPA mező | B2B Managed Cloud feldolgozás |
|---|---|
| Kezelési tevékenység | Valós idejű diktálás feldolgozás |
| Jogalap | Adatfeldolgozói megbízás (Art. 28 DPA) |
| Adatalanyok | B2B ügyfél végfelhasználói |
| Adatkategoriák | Ephemerális hang, szöveg, szakmai szókincs |
| Alprocesszorok | Groq (SCC Module 2), Supabase (Zürich) |
| Adatmegőrzés | Vezérlő utasításai szerint (DPA-ban rögzítve) |
Akció: Google Sheets ROPA táblázat összeállítása a fenti mezők alapján. Negyedévente felülvizsgálandó. A DataRep regisztrációhoz feltöltendő 30 napon belül.
16. DSAR Protokoll és pgAudit implementáció
Az UODO egy törlési kérés esetén nem csak a törlés elvégzését várja el — bizonyídtani kell, hogy megtörtént. Az üres adatbázis-tábla NEM elegendő jogi bizonyíték.
pgAudit aktiválás (Supabase)
-- 1. pgAudit engedélyezése: Supabase Dashboard → Extensions → pgaudit
-- 2. Törlés-audit role létrehozása
CREATE ROLE "erasure_auditor" NOINHERIT;
ALTER ROLE "postgres" SET pgaudit.role TO 'erasure_auditor';
GRANT DELETE ON public.dictation_history TO "erasure_auditor";
GRANT DELETE ON auth.users TO "erasure_auditor";
-- 3. DSAR törlési bizonyíték lekérdezése (audit log export)
SELECT
CAST(t.timestamp AS DATETIME) AS timestamp,
event_message
FROM postgres_logs AS t
CROSS JOIN UNNEST(metadata) AS m
CROSS JOIN UNNEST(m.parsed) AS p
WHERE event_message LIKE 'AUDIT%DELETE%public.dictation_history%'
ORDER BY timestamp DESC;
Soft Delete kockázat: Ha bármely táblában van deleted_at mező (logical delete), az GDPR
szerint nem érvényes törlés — kivéve, ha az adatot kriptográfiailag anonimizálják.
A sync.py ismért soft delete kockázata vizsgálandó (ld. D15 nyílt kérdés).
DSAR folyamat lépései (SOP)
1. Kérelem fogadása hitelesített emailben
→ Automatikus linkés megerősítő email (NEM személyi igazolvány kérés!)
2. Minden Supabase tábla lekérdezése
(auth.users, public.profiles, history, vocabulary)
3. Fizikai törlés (nem soft delete!) minden táblában
4. pgAudit log CSV exportálása → compliance archív
5. Stripe ügyfél adat törlése / anonimizálása
6. Visszaigzoló email → audit log csatolható
Akció: pgAudit aktiválás + test deletion + log export validálás (~8-12 óra, €0 költség)
17. SCC Module 2 — Groq adattovábbítás dokumentáció
A Groq DPA aláírása nem elegendő — az UODO egy teljes Transfer Impact Assessment (TIA) dokumentumot és a teljesen kitöltött SCC Annexeket várja el.
SCC Annex I — Feldolgozás részletei
| Mező | Érték |
|---|---|
| Adatexportőr | ETS LLC (VibeVox) |
| Adatimportőr | Groq, Inc. |
| Átvitt adatok | Ephemerális hangfolyamok, IP-cím (API routing) |
| Különleges adat megjegyzés | Különleges kategóriájú adat véletlenszerűen előfordulhat (egészségügyi, jogi), de a VibeVox nem kateg. nem vonja ki, nem tárolja szisztematikusan |
| Átvitel gyakorisága | Valós idejű, folyamatos a dictation session alatt |
SCC Annex II — Technical and Organisational Measures (TOMs)
- TLS 1.3 titkosítás átvitel alatt
- RAM-only ephemerális feldolgozás (nincs diskírtás)
- Groq Zero Retention Policy (verifikkálandó az adott tier-nél)
- VibeVox Proxy: hangfelvétel nem tárolódik — csak transit
TIA védelmi narratíva (FISA 702 / CLOUD Act ellen)
Mivel a VibeVox hangfolyamok kizárólag ephemerálisan dolgozódnak fel (RAM-ban, milliszekundumok alatt) és soha nem kerülnek US lemez-tárolóra, nincs maradékadat egy hatósági szubpéna számára. A BYOK felhasználóknál a VibeVox nem is látja az API kulcsot — a potenciális US kormányzati megkeresés az egyedi felhasználó STT-provider fiókját érintené, nem a VibeVox infrastruktúráját.
Akció: EC SCC Module 2 sablon letöltése → Annex I-II kitöltése → TIA megírása (~6-8 óra, €0 költség)
Célfájl: docs/Legal/SCC_Module2_Groq.pdf
18. Breach Notification SOP
Az ING Bank Śeląski precedéns (PLN 545.748 bírság, 2025): a bírság oka, hogy blső blogposzttal/dashboard bannerrel értesítették az érintetteket a közvetlen email helyett. A VibeVox-nek nincs dokumentum Breach Notification protokollja — ez P1 hézagot zár le.
Kötelező elemek
- Adatkezelői szintű értesítés (72 óra): UODO/NAIH felé Art. 33 alapján
- Közvetlen egyedi email az érintett felhasználóknak (NEM blog, NEM dashboard banner)
- Az email tartalmazza:
- Mi történt?
- Milyen adatok érintettek?
- Milyen kockázat van?
- Mit tehet a felhasználó?
- B2B szektorban: 24-48 óra SLA az ügyfél cégnek (DPA-ba rögzítendő)
Belső döntési fa — mikor kell értesíteni?
Incidensnek minősül-e?
├── NEM: Belső dokumentum (mi történt, miért nem kell értesíteni)
└── IGEN:
├── Különleges adat vagy >100 érintett? → 72h UODO értesítés KÖTELEZŐ
├── Magas kockázat az érintetteknek? → Egyedi email AZONNAL
└── B2B ügyfél érintett? → 24-48h ügyfél-értesítés (DPA SLA)
Akció: 1-2 oldalas Breach Notification SOP dokumentum létrehozása: docs/Legal/Breach_Notification_SOP.md (~2 óra, €0 költség)
19. Stripe Tax & Taxually — Adókezelési Sub-processor Architektúra
Ez a szekció a Stripe Tax és Taxually szerepét dokumentálja GDPR és adójogi szempontból egyaránt. Forrás: payment_architecture_analysis.md (2026-04-17).
A két rendszer szerepe
| Rendszer | Funkció | GDPR szerepe | Adatkezel? |
|---|---|---|---|
| Stripe Tax | EU ÁFA kiszámítása + behajtása tranzakciónként | Stripe Inc. sub-processor | ✅ Számlázási metaadat, EU VAT szám |
| Taxually | EU OSS/MOSS ÁFA bevallás (határokon átnyúlóan) | Adatfeldolgozó (ETS LLC megbízásából) | ✅ Tranzakciós összesítők, ÁFA jelentések |
| VIES (EU adatbázis) | VAT szám ellenőrzése Stripe Tax által | EU közhatóság — nem GDPR sub-processor | ⚠️ Csak a VAT szám kerül be, nincs személyes adat |
Stripe Tax — mit kezel adatvédelmi szempontból?
A Stripe Tax a checkout folyamat során az alábbi adatokat kezeli:
Vevő által megadott adatok:
├── Számlázási cím (ország, irányítószám) → ÁFA-kulcs meghatározásához
├── EU VAT szám (opcionális, B2B esetén) → VIES ellenőrzéshez
└── Tranzakciós összeg → ÁFA kiszámításához
Stripe által generált adatok:
├── Adótípus (normál / reverse charge / zero rate)
├── Alkalmazott ÁFA-kulcs és összeg
└── Adójelentés (Taxually-nek továbbítva)
GDPR jogalap: GDPR Art. 6(1)(c) — jogi kötelezettség (EU adójog: OSS/MOSS szabályozás). Az ÁFA adat kezelése NEM igényel külön hozzájárulást — jogi kötelezettség.
Reverse Charge — adatvédelmi aspektus
B2B Reverse Charge esetén a folyamat adatvédelmileg egyszerűbb:
| Elem | B2C standard | B2B Reverse Charge |
|---|---|---|
| Vevőtől bekért adat | Csak számlázási cím | Számlázási cím + EU VAT szám |
| VIES lekérdezés | ❌ Nem szükséges | ✅ Automatikus (Stripe Tax végzi) |
| ÁFA összeg a számlán | Az ÁFA összege rögzítve | €0 (reverse charge jelöléssel) |
| Taxually jelentés | Ország szerinti ÁFA összeg | Intra-EU „zero rate" sor |
| ETS LLC bevétel | Nettó ár (ÁFA levonva) | Teljes bruttó ár ✅ |
Sub-processor lista frissítés (§3 kiegészítés)
A §3 Sub-processor kockázati mátrixba a Taxually bekerül:
| Sub-processor | Kockázat | Adat típusa | EU Data Residency? | DPA típusa | Megjegyzés |
|---|---|---|---|---|---|
| Taxually | 🟢 ALACSONY | Tranzakciós ÁFA összesítők (nem személyes hang/szöveges adat) | ✅ EU-alapú szolgáltatás | SaaS megállapodás | ÁFA bevallás automatizáció — egyéni vásárlói adat NEM kerül ide, csak összesítők |
Taxually + Stripe Tax adat megosztási határvonal
A Taxually nem látja az egyéni vásárlókat személyesen azonosítható módon — csak aggregált ÁFA riportokat kap Stripe-tól. Ez kritikus különbség a Privacy Policy szempontjából.
Stripe Tax → Taxually adatfolyam:
✅ Ország-szintű ÁFA összesítők (pl. PL: €234 ÁFA / hó)
✅ Adótípusok (standard / zero / reverse charge bontás)
❌ NEM: egyéni vásárló neve, email-je, kártyaadatai
❌ NEM: vásárlók személyes azonosítói
Teendők
| Teendő | Prioritás | Erőfeszítés |
|---|---|---|
| Stripe Tax aktiválás a dashboardban | 🔴 P0 launch blocker | ~30 perc (UI konfig) |
| Taxually bevitele a Privacy Policy sub-processor listájába | 🟠 P1 | 15 perc |
| B2B checkout VAT szám mező aktiválása Stripe-ban | 🔴 P0 | ~1 óra (Stripe konfig + teszt) |
| Reverse Charge számla sablon ellenőrzése (Stripe-ban automatikus) | 🟠 P1 | Teszt tranzakció futtatása |