GDPR megfelelőségi tájékoztató és adatfeldolgozói feltételek (DPA)

Hatályos: 2026. január 1.
Utolsó frissítés: 2026. május 7.

A jelen GDPR tájékoztató (a továbbiakban: „DPA” vagy „Tájékoztató”) az Európai Parlament és Tanács (EU) 2016/679 rendelete (a továbbiakban: „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezéseinek megfelelően készült. A jelen DPA az ÁSZF és az Adatvédelmi tájékoztató szerves részét képezi.

1. Felek és szerepkörök

A MascotAI (a továbbiakban: „Adatfeldolgozó”) a Megrendelővel (a továbbiakban: „Adatkezelő”) kötött szolgáltatási szerződés végrehajtása során, a Bot (digitális alkalmazott) üzemeltetésének keretében az Adatkezelő végfelhasználóinak / ügyfeleinek személyes adatait az Adatkezelő nevében és utasítása szerint dolgozza fel.

Az Adatkezelő határozza meg a kezelés céljait és eszközeit; az Adatfeldolgozó kizárólag a szerződés teljesítéséhez szükséges mértékben és módon kezel adatot. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy az Adatkezelő utasítása sérti a GDPR-t vagy más uniós/tagállami adatvédelmi jogszabályt.

A MascotAI saját üzleti működése (számlázás, marketing, weboldal-látogatók kezelése) tekintetében önálló adatkezelőként jár el — erről az Adatvédelmi tájékoztató rendelkezik.

2. Az adatfeldolgozás tárgya és időtartama

  • Tárgy: a Bot által nyújtott AI asszisztens-szolgáltatás üzemeltetése.
  • Időtartam: a felek közötti szolgáltatási szerződés időtartama, valamint a megszűnést követő 30 napos visszaszerzési időszak.
  • Jellege: tárolás, lekérdezés, szerkezetbe rendezés, betöltés AI modellbe, válaszgenerálás, törlés.
  • Célja: az Adatkezelő ügyfél-élményének, lead-kvalifikációjának, foglalási és ügyfélszolgálati folyamatainak támogatása.

3. Az érintettek és az adatok kategóriái

  • Érintettek: az Adatkezelő weboldalának látogatói, ügyfelei, érdeklődői, alkalmazottai (amennyiben a Boton keresztül lépnek interakcióba).
  • Adatkategóriák: azonosító- és kapcsolati adatok (név, e-mail, telefon), céges adatok, beszélgetési tartalom, technikai adatok (IP, eszköz, időbélyeg), opcionálisan az Adatkezelő által megadott egyéb adatok (pl. foglalási preferenciák).
  • Különleges kategóriák (GDPR 9. cikk): kezelésére csak akkor kerül sor, ha az Adatkezelő kifejezett írásos utasítását adja, és az ahhoz szükséges jogalap az Adatkezelőnél rendelkezésre áll.

4. Az Adatfeldolgozó kötelezettségei (GDPR 28. cikk)

  • Csak az Adatkezelő dokumentált utasítása alapján kezel adatot.
  • Biztosítja, hogy a személyes adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló titoktartási kötelezettség alatt álljanak.
  • Megteszi a 32. cikk szerinti technikai és szervezési intézkedéseket (lásd 6. pont).
  • További alfeldolgozó igénybevétele esetén a 5. pont szerint jár el.
  • Megfelelő intézkedésekkel segíti az Adatkezelőt az érintettek jogainak biztosításában (15–22. cikk).
  • Segíti az Adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében (biztonság, adatvédelmi incidens, hatásvizsgálat).
  • A szolgáltatás megszűnésekor az Adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha uniós vagy tagállami jog további tárolást ír elő.
  • Az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, és lehetővé teszi az auditot évente legfeljebb egy alkalommal, ésszerű előzetes értesítés mellett.

5. Alfeldolgozók

Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak a következő alfeldolgozók igénybevételére:

  • Cloudflare, Inc. — CDN, edge runtime, DNS
  • Supabase, Inc. — adatbázis, hitelesítés, tárolás (EU régió)
  • Stripe Payments Europe Ltd. — fizetés
  • OpenAI Ireland Ltd. — LLM API
  • Anthropic, PBC — LLM API (opcionális)
  • Google LLC / Google Cloud EMEA Ltd. — Gemini API, infrastruktúra
  • Resend Inc. — tranzakciós e-mail (notify.mascotai.io)

Új alfeldolgozó bevonásáról vagy meglévő cseréjéről az Adatfeldolgozó az Adatkezelőt előzetesen, legalább 14 nappal a változás hatálybalépése előtt értesíti. Az Adatkezelő — indokolt adatvédelmi okból — kifogást emelhet; ez esetben a felek jóhiszemű egyeztetést folytatnak, és ennek eredménytelensége esetén az Adatkezelő jogosult a szerződés felmondására.

Az Adatfeldolgozó az alfeldolgozókat a jelen DPA-val legalább azonos szintű kötelezettségekkel köti, és teljes körű felelősséggel tartozik az alfeldolgozók tevékenységéért.

6. Technikai és szervezési intézkedések (GDPR 32. cikk)

6.1. Titkosítás

  • Adatátvitel: TLS 1.2+ minden végpontnál (HTTPS)
  • Adatok nyugalmi állapotban: AES-256 (Supabase, Stripe, Cloudflare R2)
  • Jelszavak: bcrypt / argon2 hash + salt

6.2. Hozzáférés-kezelés

  • Szerepköralapú hozzáférés (RBAC), legkisebb jogosultság elve
  • Multi-faktoros hitelesítés (MFA) kötelező minden adminisztrátorra
  • Supabase Row-Level Security (RLS) policy minden táblán
  • Hozzáférési naplók (audit log), 12 hónapig megőrizve

6.3. Bizalmasság, sértetlenség, rendelkezésre állás

  • Napi automatikus mentés, point-in-time recovery (Supabase)
  • DDoS védelem (Cloudflare)
  • WAF, rate limiting, bot-szűrés
  • Rendszeres sebezhetőség-vizsgálat és függőség-frissítés
  • Üzletmenet-folytonossági (BCP) és katasztrófa-helyreállítási (DRP) terv

6.4. Szervezési intézkedések

  • Belső adatvédelmi szabályzat, oktatás minden új munkatársnak
  • Titoktartási nyilatkozat minden közreműködőnek
  • Beszállítói átvilágítás (vendor due diligence)
  • Incidens-kezelési terv 72 órás bejelentési határidővel

7. Adatvédelmi incidens kezelése

Az Adatfeldolgozó az adatvédelmi incidens tudomására jutását követően haladéktalanul, de legkésőbb 24 órán belül tájékoztatja az Adatkezelőt. Az értesítés tartalmazza: az incidens jellegét, az érintettek és adatrekordok (becsült) számát, a várható következményeket, a megtett és tervezett intézkedéseket. Az Adatkezelő ezt követően teljesíti a GDPR 33–34. cikk szerinti bejelentési és tájékoztatási kötelezettségét.

8. Érintetti jogok kezelése

Ha az érintett közvetlenül az Adatfeldolgozóhoz fordul a GDPR 15–22. cikk szerinti jogával, az Adatfeldolgozó a kérelmet 5 munkanapon belül továbbítja az Adatkezelőnek és indokolatlan késedelem nélkül segítséget nyújt a kérelem teljesítésében.

9. Adattovábbítás harmadik országba

Egyes alfeldolgozók EGT-n kívül (jellemzően USA) végeznek adatkezelést. Az adattovábbítás jogalapja az Európai Bizottság megfelelőségi határozata (EU–US Data Privacy Framework), illetve a 2021/914 sz. SCC modulok kiegészítő intézkedésekkel. A Transfer Impact Assessment (TIA) dokumentációja kérésre az Adatkezelő rendelkezésére bocsátható.

10. Az adatfeldolgozás megszűnése

A szolgáltatás megszűnését követő 30 napon belül az Adatkezelő választása szerint:

  • az Adatfeldolgozó visszaszolgáltatja az adatokat strukturált, géppel olvasható formátumban (JSON/CSV); vagy
  • az Adatfeldolgozó biztonságosan törli az adatokat (kivéve, amelyek megőrzését jogszabály — pl. számvitel — kötelezővé teszi).

A 30 napos időszakot követően az adatok automatikus törlésre kerülnek. A törlésről kérésre írásbeli igazolást adunk.

11. Felelősség

Az Adatfeldolgozó kizárólag a saját, GDPR-ban előírt kötelezettségeinek megszegéséből vagy a dokumentált utasítást meghaladó adatkezeléséből eredő károkért tartozik felelősséggel, az ÁSZF 9. pontjában rögzített felelősség-korlátozással. Az Adatkezelő felelős azért, hogy az adatkezelés jogalapjával rendelkezzen, az érintetteket megfelelően tájékoztassa, és az Adatfeldolgozónak átadott adatok jogszerűen kerüljenek hozzá.

12. Záró rendelkezések

A jelen DPA a felek közötti szolgáltatási szerződés és az ÁSZF szerves részét képezi. Ütközés esetén a sorrend: (1) jelen DPA, (2) egyedi szolgáltatási szerződés, (3) ÁSZF, (4) Adatvédelmi tájékoztató. A DPA-ra a magyar jog és a GDPR irányadó. Vitarendezésre az ÁSZF rendelkezései alkalmazandók.

Külön aláírt DPA-t (a felek által cégszerűen aláírt PDF-et) kérésre a hello@mascotai.io címen biztosítunk.