Adatfeldolgozási Megállapodás (DPA)
Hatályos: 2026. június 21. · Az ÁSZF melléklete
Jelen Adatfeldolgozási Megállapodás (a továbbiakban: DPA) az Általános Szerződési Feltételek elválaszthatatlan mellékletét képezi, és szabályozza azt az adatfeldolgozást, amelyet az Adatfeldolgozó (Mészáros János egyéni vállalkozó, az OPEREX üzemeltetője) az Adatkezelő (Előfizető) megbízásából végez, az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (GDPR) 28. cikke szerint. A DPA az ÁSZF elfogadásával egyidejűleg, automatikusan hatályba lép.
1. A felek és fogalmak
- Adatkezelő (Controller): az Előfizető — az OPEREX-et igénybe vevő vállalkozás —, aki az üzemeltetési adatok céljáról és eszközeiről dönt.
- Adatfeldolgozó (Processor): Mészáros János egyéni vállalkozó, az OPEREX üzemeltetője, aki az Adatkezelő nevében és utasításai szerint kezeli az adatokat.
- Érintett: az Adatkezelő munkavállalói és üzemeltetői (akik a műszaknaplóban, eseménynaplóban, feladatokban szerepelnek), valamint az Adatkezelő account-felhasználói.
- Al-adatfeldolgozó (sub-processor): harmadik fél, akit az Adatfeldolgozó igénybe vesz (lásd 6. pont).
- A többi fogalmat a GDPR 4. cikke szerint kell értelmezni.
2. Az adatkezelés tárgya, jellege, célja és időtartama
- Tárgy: az Adatkezelő üzemeltetési adatainak feldolgozása az OPEREX platformon.
- Jelleg: tárolás, rögzítés, lekérdezés, rendszerezés, biztonsági mentés, anonimizált statisztikai aggregálás.
- Cél: a műszaknapló-, esemény- és feladatkezelési szolgáltatás technikai biztosítása az Adatkezelő részére.
- Időtartam: az előfizetés időtartama + a 11. pont szerinti megőrzési/törlési idő.
3. Az érintettek köre és az adatok típusai
Érintettek köre:
- Az Adatkezelő munkavállalói és üzemeltetői (műszakvezetők, operátorok, karbantartók)
- Az Adatkezelő account-felhasználói (akik fiókot kapnak a tenantban)
Kezelt személyes adatok kategóriái:
- Azonosítók: név, e-mail, beosztás/szerepkör, fiók-azonosító
- Műszaknapló- és eseménynapló-bejegyzések, szerzőség és időbélyeg
- Vezetői utasítások visszaigazolása, feladat-státuszok és indoklások
- Audit-nyom (ki, mit, mikor) — append-only
- Technikai napló: IP-cím, munkamenet-események
Különleges adatok: egy incidens- vagy near-miss-bejegyzés kivételesen egészségügyi vonatkozású adatot is tartalmazhat (pl. sérülés). Ezek jogalapjáért az Adatkezelő felel; az Adatfeldolgozó kizárólag az utasítás szerint, technikai szolgáltatóként kezeli azokat.
Az Adatfeldolgozó NEM kezel bankkártya- vagy fizetési adatot; ezt a (kiválasztás alatt álló) fizetésfeldolgozó kezeli, önálló adatkezelőként, a saját feltételei szerint.
4. Az Adatkezelő kötelezettségei
- Biztosítja, hogy a rendszerbe vitt adatok kezelésének megfelelő jogalapja van (GDPR 6. cikk).
- Saját érintettjei (munkavállalói) felé adatkezelési tájékoztatást nyújt, amely kitér az Adatfeldolgozó és a sub-processorok közreműködésére.
- Felelős az általa rögzített adatok pontosságáért és aktualitásáért.
5. Az Adatfeldolgozó kötelezettségei (GDPR 28. cikk (3))
Az Adatfeldolgozó vállalja, hogy a személyes adatokat:
- a) kizárólag az Adatkezelő dokumentált utasításai alapján kezeli;
- b) biztosítja, hogy a hozzáférésre jogosult személyek titoktartási kötelezettséget vállaltak;
- c) meghozza a GDPR 32. cikke szerinti biztonsági intézkedéseket (lásd 7. pont);
- d) sub-processort csak a 6. pont szerinti felhatalmazással vesz igénybe, kifogásolási lehetőséget biztosítva;
- e) segíti az Adatkezelőt az érintetti jogok (GDPR 12-22. cikk) teljesítésében;
- f) segíti az Adatkezelőt a GDPR 32-36. cikkei (biztonság, incidens, hatásvizsgálat) szerinti kötelezettségekben;
- g) a megbízás végén az Adatkezelő választása szerint visszaadja vagy törli az adatokat (lásd 11. pont);
- h) az Adatkezelő rendelkezésére bocsát minden, a 28. cikk teljesítését igazoló információt, és lehetővé teszi az auditot (lásd 12. pont).
6. Al-adatfeldolgozók
Az Adatkezelő a jelen DPA elfogadásával általános felhatalmazást ad az alábbi al-adatfeldolgozók igénybevételére:
| Sub-processor | Cél | Adattárolás helye |
|---|---|---|
| Hetzner Online GmbH | Szerver és tárhely; ezen fut a self-hosted adatbázis, hitelesítés és fájltárolás | EU (Németország) |
| Resend Inc. | Tranzakciós és értesítő e-mailek | US (EU-U.S. Data Privacy Framework) |
| Fizetésfeldolgozó | Kiválasztása folyamatban — kizárólag számlázási adatokra | — |
On-premise (Enterprise) telepítésnél az adatok az Adatkezelő saját infrastruktúráján futnak, így a fenti sub-processorok köre eltérhet vagy elmaradhat; ezt a vonatkozó egyedi szerződés rögzíti.
Új sub-processor bevonását az Adatfeldolgozó legalább 30 nappal előtte e-mailben jelzi; az Adatkezelő kifogásolhatja, és megegyezés hiányában az előfizetést rendkívüli felmondással megszüntetheti. Az Adatfeldolgozó a sub-processorokkal a jelen DPA-val azonos szintű kötelezettségeket vállaló szerződést köt, és felel a cselekményeikért.
7. Biztonsági intézkedések (GDPR 32. cikk)
- Titkosítás átvitelben: TLS 1.2+ minden forgalomra, HSTS bekapcsolva
- Titkosítás nyugalmi állapotban: az adatbázis és a fájltároló titkosított a szerver-infrastruktúrában
- Tenant-izoláció: Row-Level Security (RLS), az adatréteg-szűrésben is megerősítve
- Append-only audit-nyom: a bejegyzések és állapotváltások módosíthatatlan naplója
- Hozzáférés-szabályozás: jelszó-hash, szerepkör-alapú jogosultságkezelés (RBAC), munkamenet-időkorlát
- Biztonsági mentés és frissítés: rendszeres backup és biztonsági frissítések
- Belső hozzáférés-korlátozás: production adatokhoz csak az üzemeltetésért felelős személy fér hozzá, dokumentáltan
8. Adatvédelmi incidens (GDPR 33. cikk)
Adatvédelmi incidens észlelése esetén az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 48 órán belül e-mailben értesíti az Adatkezelőt, megadva az incidens jellegét, az érintettek és adatok hozzávetőleges körét, a valószínű következményeket és a megtett intézkedéseket. A felügyeleti hatósági (NAIH) bejelentés az Adatkezelő feladata; az Adatfeldolgozó ehhez minden szükséges információt megad.
9. Nemzetközi adattovábbítás
Az adatok elsősorban az EGT területén (Németország) tárolódnak. Az EGT-n kívülre kizárólag a GDPR V. fejezete szerinti garanciákkal történik továbbítás: a Resend Inc. (US) az EU-U.S. Data Privacy Framework keretében.
10. Az érintett jogainak támogatása
Az Adatfeldolgozó technikai eszközöket biztosít az érintetti jogok gyakorlásához (hozzáférés, helyesbítés, törlés, hordozhatóság, korlátozás). Az érintettek elsősorban az Adatkezelőt keresik fel; ha az érintett közvetlenül az Adatfeldolgozónál jelentkezik, az Adatfeldolgozó a kérelmet továbbítja, és csak az Adatkezelő utasítása szerint reagál.
11. Adatok visszaadása és törlése a megszűnéskor
- Az adatokat 30 napig megőrzi az Adatkezelő hozzáférésével (export / újraaktiválás céljából);
- ezt követően véglegesen törli az élő rendszerekből, majd a következő rendes mentési ciklus végén a biztonsági mentésekből is — kivéve, ha jogszabály a megőrzést írja elő (pl. számvitel: 8 év);
- a törlésről az Adatkezelő kérésére írásbeli megerősítést ad.
12. Audit és ellenőrzés
Az Adatkezelő évente egyszer, írásbeli kérelemre, tájékoztatást és igazoló dokumentumokat kérhet a biztonsági intézkedésekről és a sub-processor-szerződésekről. Helyszíni audit kizárólag indokolt esetben, előzetes egyeztetés és titoktartási megállapodás (NDA) után végezhető; költségei az Adatkezelőt terhelik, kivéve, ha jelentős nem-megfelelőség derül ki.
13. Felelősség
A felek a GDPR 82. cikke szerinti felelősséggel tartoznak az érintettek felé. A felek közötti felelősség-megosztásra az ÁSZF 8. pontja (felelősségkorlátozás) alkalmazandó, a kötelező jogszabályi keretek között.
14. Hatálybalépés, időtartam, megszűnés és záró rendelkezések
- Hatály: az ÁSZF elfogadásával lép hatályba, és az előfizetés idejére érvényes; a megszűnést a természetüknél fogva túlélő rendelkezések (titoktartás, törlés) kivételével.
- Irányadó jog: magyar jog, a GDPR keretei között.
- Módosítás: az Adatfeldolgozó legalább 30 nappal előbb e-mailben értesít.
- Kapcsolat: adatvédelmi kérdésekben marketing@operex.eu.
- Kapcsolódó dokumentumok: ÁSZF, Adatkezelési tájékoztató, Impresszum.