Vissza a főoldalra

Adatfeldolgozási Szerződés (DPA)

Preambulum

Jelen Adatfeldolgozási Szerződés (DPA) az Általános Adatvédelmi Rendelet (GDPR) 28. cikke alapján jön létre az Adatkezelő (Ügyfél) és az Adatfeldolgozó (ACI / Svasznik Tibor) között.

1. Fogalmak

  • Adatkezelő (Controller): Az Ügyfél, aki meghatározza a személyes adatok kezelésének célját és eszközeit.
  • Adatfeldolgozó (Processor): ACI, aki az Adatkezelő utasítása alapján dolgozza fel a személyes adatokat.
  • Érintett: Természetes személy, akinek személyes adatait feldolgozzák (pl. az Ügyfél alkalmazottai).

2. Az adatfeldolgozás tárgya és időtartama

  • Cél: Az ACI SaaS platform szolgáltatásainak nyújtása az Ügyfél részére.
  • Időtartam: A szolgáltatási szerződés időtartama + 30 nap (adatexport lehetőség).
  • Feldolgozás jellege: Tárolás, lekérdezés, riportolás, AI-alapú elemzés (PII maszkírozott).

3. Feldolgozott adatok köre

AdatkategóriaPéldák
Felhasználói adatokNév, e-mail, jelszó (hash), szerepkör
Munkavállalói adatokNév, pozíció, műszakbeosztás, teljesítmény
Üzleti adatokMegrendelések, számlák, készletmozgások
Naplózási adatokIP cím, bejelentkezési idő, audit trail
AI Chat adatokPII maszkírozott chat szövegek

4. Érintettek kategóriái

  • Az Ügyfél alkalmazottai és felhasználói
  • Az Ügyfél üzleti partnerei (szállítók, vevők) — amennyiben az Ügyfél tárolja adataikat

5. Adatfeldolgozó kötelezettségei

  • Kizárólag az Adatkezelő dokumentált utasításai szerint jár el.
  • Titoktartási kötelezettséget vállal minden alkalmazottjára és alvállalkozójára.
  • Megfelelő technikai és szervezeti intézkedéseket alkalmaz (TOMs — lásd 6. pont).
  • Előzetes írásbeli jóváhagyás nélkül nem vesz igénybe további adatfeldolgozót.
  • Segíti az Adatkezelőt az érintetti jogok gyakorlásában (30 napon belül).
  • Adatvédelmi incidens esetén 72 órán belül értesíti az Adatkezelőt.
  • A szolgáltatás végén törli vagy visszajuttatja az adatokat (Adatkezelő választása szerint).

6. Technikai és szervezeti intézkedések (TOMs)

  • TLS 1.3 titkosítás minden forgalomra
  • Jelszavak bcrypt hash-eléssel tárolva
  • Row-Level Security (RLS) a PostgreSQL adatbázisban
  • CSRF védelem minden művelethez
  • Session-alapú hitelesítés httpOnly cookie-val
  • Audit trail minden adatmódosításhoz
  • AI PII maszkírozás (e-mail, telefon, IBAN, adószám, személyi szám)
  • Rate limiting az API-n
  • Automatikus napi backup (Supabase Pro)
  • EU régióban tárolt adatok (Stockholm, eu-north-1)

7. Al-adatfeldolgozók (Sub-processors)

Az aktuális al-adatfeldolgozó lista elérhető: /sub-processors

Változás esetén az Adatkezelőt e-mailben értesítjük. Az Adatkezelő 30 napon belül tiltakozhat.

8. Incidens bejelentés

  • Az Adatfeldolgozó 72 órán belül értesíti az Adatkezelőt adatvédelmi incidensről.
  • Az értesítés tartalmazza: az incidens jellegét, érintett adatok körét, becsült érintettszámot, megtett intézkedéseket.
  • Kapcsolat: support@ainovacloud.com

9. Adattörlés és visszajuttatás

A szolgáltatási szerződés megszűnését követően:

  • 30 napon belül: az Adatkezelő kérheti adatai exportálását (JSON/CSV formátum).
  • 30 nap után: az összes személyes adat véglegesen törlődik a rendszerből és a backupokból.
  • Igazolás: törlés után írásbeli igazolást küldünk.

10. Audit jog

Az Adatkezelő jogosult éves auditot végezni vagy végeztetni, 30 napos előzetes értesítéssel. Az Adatfeldolgozó köteles együttműködni és hozzáférést biztosítani.

📋 DPA letöltés

Aláírt DPA-t igényelhet az info@ainovacloud.com címen. Az aláírás után mindkét fél kap egy másolatot.

DPA igénylés e-mailben

Hatályos: 2026. március 23.