Adatfeldolgozói Szerződés

Bevezető

Jelen Adatfeldolgozói Szerződés (továbbiakban: „DPA" vagy „Szerződés") az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 28. cikkének megfelelően jön létre a Zelor Studios chatbot platformszolgáltatást igénybe vevő ügyfél (továbbiakban: „Adatkezelő") és a Zelor Studios (továbbiakban: „Adatfeldolgozó") között.

A DPA az Általános Szerződési Feltételek (ÁSZF) elválaszthatatlan részét képezi, és azzal együtt értelmezendő. A jelen DPA elfogadása a szolgáltatás aktiválásának előfeltétele.

1. Fogalommeghatározások

Jelen DPA-ban az alábbi fogalmak az alábbi jelentéssel bírnak:

• „Adatkezelő": Az a természetes vagy jogi személy, amely meghatározza a személyes adatok kezelésének céljait és eszközeit — jelen esetben a Zelor Studios chatbot platformot igénybe vevő ügyfél vállalkozás.
• „Adatfeldolgozó": Az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel — jelen esetben a Zelor Studios (Homonnay Lőrinc és Somodi Zétény).
• „Érintett": Az az azonosított vagy azonosítható természetes személy, akinek személyes adatait kezelik — jelen esetben az Adatkezelő weboldalának chatbot widgetet használó látogatója.
• „Személyes adat": Az érintettre vonatkozó bármely információ, különösen az üzenetszövegek, amelyek önkéntesen kerülnek megadásra a chatbot-párbeszéd során.
• „Adatkezelés": A személyes adatokon végzett bármely művelet — ideértve a gyűjtést, rögzítést, tárolást, lekérdezést, felhasználást, továbbítást és törlést.
• „Al-adatfeldolgozó": Az Adatfeldolgozó által igénybe vett harmadik fél, amely az Adatfeldolgozó nevében adatkezelési műveleteket végez.

2. Az adatfeldolgozás tárgya és terjedelme

Az Adatfeldolgozó a jelen DPA alapján az alábbi adatkezelési tevékenységeket végzi az Adatkezelő nevében:

3. Az Adatfeldolgozó kötelezettségei

3.1 Dokumentált utasítás szerinti adatkezelés

Az Adatfeldolgozó személyes adatokat kizárólag az Adatkezelő dokumentált utasítása alapján kezel. Ha az Adatfeldolgozó úgy ítéli meg, hogy valamely utasítás sérti a GDPR-t vagy egyéb uniós, illetve tagállami adatvédelmi rendelkezéseket, erről haladéktalanul értesíti az Adatkezelőt.

3.2 Titoktartás

Az Adatfeldolgozó biztosítja, hogy a személyes adatok kezelésére felhatalmazott személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló titoktartási kötelezettség alatt állnak.

3.3 Technikai és szervezési intézkedések

Az Adatfeldolgozó a GDPR 32. cikke alapján megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok biztonságának garantálásához. Ezek az intézkedések különösen:

• HTTPS titkosítás minden adatátvitelben (TLS 1.2+)
• API-kulcsok és hitelesítő adatok titkosított környezeti változókban való tárolása
• Hozzáférés-korlátozás az adatbázishoz (Supabase Row Level Security)
• Automatikus session-lejárat (Redis TTL: 2 óra)
• Rate limiting a visszaélések megelőzésére (20 üzenet/perc/session)
• Rendszeres biztonsági felülvizsgálat

3.4 Al-adatfeldolgozók igénybevétele

Az Adatfeldolgozó az alábbi al-adatfeldolgozókat veszi igénybe a szolgáltatás nyújtása során. Az Adatkezelő a DPA elfogadásával általános felhatalmazást ad az alábbi al-adatfeldolgozók igénybevételéhez:

Az Adatfeldolgozó legalább 30 nappal előre értesíti az Adatkezelőt, ha al-adatfeldolgozót kíván felvenni vagy cserélni. Az Adatkezelőnek jogában áll az al-adatfeldolgozó változása ellen kifogást emelni.

Az Adatfeldolgozó az al-adatfeldolgozókra a jelen DPA-ban foglaltakkal azonos adatvédelmi kötelezettségeket ró ki, szerződés útján.

3.5 Az érintett jogainak érvényesítése

Az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt abban, hogy teljesíteni tudja az érintett GDPR szerinti jogait (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás). Ha az érintett közvetlenül az Adatfeldolgozóhoz fordul, az Adatfeldolgozó haladéktalanul továbbítja a kérelmet az Adatkezelőnek.

Törlési kérelemre az Adatfeldolgozó legkésőbb 5 munkanapon belül törli az érintett adatait a rendszerből, és írásban visszaigazolja a törlést az Adatkezelőnek.

3.6 Adatvédelmi incidensek kezelése

Az Adatfeldolgozó az adatvédelmi incidens tudomására jutásától számított 72 órán belül értesíti az Adatkezelőt, a GDPR 33. cikke szerinti minimális tartalommal:

• Az incidens jellege és terjedelme
• Az érintett személyes adatok kategóriái és hozzávetőleges száma
• Az érintett személyek hozzávetőleges száma
• Az incidens várható következményei
• Az Adatfeldolgozó által megtett vagy tervezett intézkedések

Az incidenst a [email protected] e-mail címen kell jelezni.

3.7 Adatvédelmi hatásvizsgálat (DPIA)

Az Adatfeldolgozó — az Adatkezelő kérésére — segítséget nyújt az adatvédelmi hatásvizsgálat elvégzéséhez, ha az adatkezelési tevékenység magas kockázatot jelent az érintettekre nézve.

3.8 Adatok visszaadása és törlése

A szolgáltatási jogviszony megszűnésekor az Adatfeldolgozó — az Adatkezelő választása szerint —

• visszaszolgáltatja az összes személyes adatot az Adatkezelőnek, vagy
• törli az összes személyes adatot, és írásos megerősítést küld a törlésről.

Ez a kötelezettség nem vonatkozik arra, ha az uniós vagy tagállami jog a személyes adatok tárolását előírja.

3.9 Auditjog

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsátja a jelen DPA-ban foglalt kötelezettségek teljesítésének igazolásához szükséges összes információt, és lehetővé teszi az Adatkezelő vagy az általa megbízott auditor által végzett auditokat és helyszíni ellenőrzéseket. Az auditot az Adatkezelő legalább 30 nappal előre bejelenti, és azt munkaidőn belül kell elvégezni.

4. Az Adatkezelő kötelezettségei

Az Adatkezelő vállalja, hogy:

• az adatkezelés jogszerűségéért teljes felelősséget vállal a végfelhasználókkal szemben,
• saját weboldalán tájékoztatja végfelhasználóit a chatbot jelenlétéről és az adatkezelési vonatkozásokról (saját adatvédelmi tájékoztató frissítésével),
• nem ad az Adatfeldolgozónak olyan utasítást, amely sérti a GDPR-t vagy más hatályos adatvédelmi jogszabályt,
• haladéktalanul értesíti az Adatfeldolgozót, ha az érintett jogsértő adatkezelést sérelmez,
• az adatkezelési célokat és az érintett személyek körét pontosan meghatározza, és azokat az Adatfeldolgozóval közli.

5. Harmadik országba irányuló adattovábbítás

A jelen DPA keretében személyes adatok az Európai Gazdasági Térségen (EGT) kívülre — az Egyesült Államokba — továbbítódnak az Anthropic és a Railway Corp. al-adatfeldolgozókon keresztül.

Az Adatfeldolgozó e továbbítást a GDPR 46. cikk (2) bekezdés c) pontja alapján, az Európai Bizottság 2021/914/EU végrehajtási határozatával jóváhagyott Standard Szerződési Záradékok (SCC) alapján végzi. Az SCC-k az Adatfeldolgozó kérésére rendelkezésre bocsáthatók.

6. A DPA időbeli hatálya és megszűnése

Jelen DPA az ÁSZF elfogadásával egyidejűleg lép hatályba, és az ÁSZF megszűnésével egyidőben szűnik meg. A DPA megszűnése esetén az Adatfeldolgozó az 3.8 pontban foglaltak szerint jár el az adatok visszaadása / törlése tekintetében.

7. Irányadó jog

Jelen DPA-ra a magyar jog és a GDPR az irányadó. Jogvita esetén a felek a Kecskeméti Járásbíróság, illetve hatáskörtől függően a Kecskeméti Törvényszék illetékességét kötik ki.

8. A DPA módosítása

Az Adatfeldolgozó fenntartja a jogot jelen DPA módosítására, különösen az al-adatfeldolgozók listájának változása esetén. A módosításokról az Adatkezelőt legalább 30 nappal előre e-mailben értesíti. Ha az Adatkezelő a módosítást nem fogadja el, jogosult az ÁSZF-et a hatályba lépés napjáig felmondani.

9. Kapcsolat és DPA aláírása

Az Adatkezelő a szolgáltatás igénybevétele előtt a jelen DPA-t elfogadja. Az elfogadás módja: az ÁSZF elfogadásával egyidejűleg, az onboarding folyamat során e-mailben küldött visszaigazolással.

Ha az Adatkezelő külön, aláírt DPA-példányt igényel (pl. belső compliance-követelmény miatt), azt az alábbi elérhetőségeken kérheti: