GDPR megfelelőségi tájékoztató és adatfeldolgozói feltételek (DPA)
Hatályos: 2026. január 1.
Utolsó frissítés: 2026. május 7.
A jelen GDPR tájékoztató (a továbbiakban: „DPA” vagy „Tájékoztató”) az Európai Parlament és Tanács (EU) 2016/679 rendelete (a továbbiakban: „GDPR”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) rendelkezéseinek megfelelően készült. A jelen DPA az ÁSZF és az Adatvédelmi tájékoztató szerves részét képezi.
1. Felek és szerepkörök
A MascotAI (a továbbiakban: „Adatfeldolgozó”) a Megrendelővel (a továbbiakban: „Adatkezelő”) kötött szolgáltatási szerződés végrehajtása során, a Bot (digitális alkalmazott) üzemeltetésének keretében az Adatkezelő végfelhasználóinak / ügyfeleinek személyes adatait az Adatkezelő nevében és utasítása szerint dolgozza fel.
Az Adatkezelő határozza meg a kezelés céljait és eszközeit; az Adatfeldolgozó kizárólag a szerződés teljesítéséhez szükséges mértékben és módon kezel adatot. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy az Adatkezelő utasítása sérti a GDPR-t vagy más uniós/tagállami adatvédelmi jogszabályt.
A MascotAI saját üzleti működése (számlázás, marketing, weboldal-látogatók kezelése) tekintetében önálló adatkezelőként jár el — erről az Adatvédelmi tájékoztató rendelkezik.
2. Az adatfeldolgozás tárgya és időtartama
- Tárgy: a Bot által nyújtott AI asszisztens-szolgáltatás üzemeltetése.
- Időtartam: a felek közötti szolgáltatási szerződés időtartama, valamint a megszűnést követő 30 napos visszaszerzési időszak.
- Jellege: tárolás, lekérdezés, szerkezetbe rendezés, betöltés AI modellbe, válaszgenerálás, törlés.
- Célja: az Adatkezelő ügyfél-élményének, lead-kvalifikációjának, foglalási és ügyfélszolgálati folyamatainak támogatása.
3. Az érintettek és az adatok kategóriái
- Érintettek: az Adatkezelő weboldalának látogatói, ügyfelei, érdeklődői, alkalmazottai (amennyiben a Boton keresztül lépnek interakcióba).
- Adatkategóriák: azonosító- és kapcsolati adatok (név, e-mail, telefon), céges adatok, beszélgetési tartalom, technikai adatok (IP, eszköz, időbélyeg), opcionálisan az Adatkezelő által megadott egyéb adatok (pl. foglalási preferenciák).
- Különleges kategóriák (GDPR 9. cikk): kezelésére csak akkor kerül sor, ha az Adatkezelő kifejezett írásos utasítását adja, és az ahhoz szükséges jogalap az Adatkezelőnél rendelkezésre áll.
4. Az Adatfeldolgozó kötelezettségei (GDPR 28. cikk)
- Csak az Adatkezelő dokumentált utasítása alapján kezel adatot.
- Biztosítja, hogy a személyes adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló titoktartási kötelezettség alatt álljanak.
- Megteszi a 32. cikk szerinti technikai és szervezési intézkedéseket (lásd 6. pont).
- További alfeldolgozó igénybevétele esetén a 5. pont szerint jár el.
- Megfelelő intézkedésekkel segíti az Adatkezelőt az érintettek jogainak biztosításában (15–22. cikk).
- Segíti az Adatkezelőt a 32–36. cikk szerinti kötelezettségek teljesítésében (biztonság, adatvédelmi incidens, hatásvizsgálat).
- A szolgáltatás megszűnésekor az Adatkezelő választása szerint visszaszolgáltatja vagy törli a személyes adatokat, kivéve, ha uniós vagy tagállami jog további tárolást ír elő.
- Az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, és lehetővé teszi az auditot évente legfeljebb egy alkalommal, ésszerű előzetes értesítés mellett.
5. Alfeldolgozók
Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak a következő alfeldolgozók igénybevételére:
- Cloudflare, Inc. — CDN, edge runtime, DNS
- Supabase, Inc. — adatbázis, hitelesítés, tárolás (EU régió)
- Stripe Payments Europe Ltd. — fizetés
- OpenAI Ireland Ltd. — LLM API
- Anthropic, PBC — LLM API (opcionális)
- Google LLC / Google Cloud EMEA Ltd. — Gemini API, infrastruktúra
- Resend Inc. — tranzakciós e-mail (notify.mascotai.io)
Új alfeldolgozó bevonásáról vagy meglévő cseréjéről az Adatfeldolgozó az Adatkezelőt előzetesen, legalább 14 nappal a változás hatálybalépése előtt értesíti. Az Adatkezelő — indokolt adatvédelmi okból — kifogást emelhet; ez esetben a felek jóhiszemű egyeztetést folytatnak, és ennek eredménytelensége esetén az Adatkezelő jogosult a szerződés felmondására.
Az Adatfeldolgozó az alfeldolgozókat a jelen DPA-val legalább azonos szintű kötelezettségekkel köti, és teljes körű felelősséggel tartozik az alfeldolgozók tevékenységéért.
6. Technikai és szervezési intézkedések (GDPR 32. cikk)
6.1. Titkosítás
- Adatátvitel: TLS 1.2+ minden végpontnál (HTTPS)
- Adatok nyugalmi állapotban: AES-256 (Supabase, Stripe, Cloudflare R2)
- Jelszavak: bcrypt / argon2 hash + salt
6.2. Hozzáférés-kezelés
- Szerepköralapú hozzáférés (RBAC), legkisebb jogosultság elve
- Multi-faktoros hitelesítés (MFA) kötelező minden adminisztrátorra
- Supabase Row-Level Security (RLS) policy minden táblán
- Hozzáférési naplók (audit log), 12 hónapig megőrizve
6.3. Bizalmasság, sértetlenség, rendelkezésre állás
- Napi automatikus mentés, point-in-time recovery (Supabase)
- DDoS védelem (Cloudflare)
- WAF, rate limiting, bot-szűrés
- Rendszeres sebezhetőség-vizsgálat és függőség-frissítés
- Üzletmenet-folytonossági (BCP) és katasztrófa-helyreállítási (DRP) terv
6.4. Szervezési intézkedések
- Belső adatvédelmi szabályzat, oktatás minden új munkatársnak
- Titoktartási nyilatkozat minden közreműködőnek
- Beszállítói átvilágítás (vendor due diligence)
- Incidens-kezelési terv 72 órás bejelentési határidővel
7. Adatvédelmi incidens kezelése
Az Adatfeldolgozó az adatvédelmi incidens tudomására jutását követően haladéktalanul, de legkésőbb 24 órán belül tájékoztatja az Adatkezelőt. Az értesítés tartalmazza: az incidens jellegét, az érintettek és adatrekordok (becsült) számát, a várható következményeket, a megtett és tervezett intézkedéseket. Az Adatkezelő ezt követően teljesíti a GDPR 33–34. cikk szerinti bejelentési és tájékoztatási kötelezettségét.
8. Érintetti jogok kezelése
Ha az érintett közvetlenül az Adatfeldolgozóhoz fordul a GDPR 15–22. cikk szerinti jogával, az Adatfeldolgozó a kérelmet 5 munkanapon belül továbbítja az Adatkezelőnek és indokolatlan késedelem nélkül segítséget nyújt a kérelem teljesítésében.
9. Adattovábbítás harmadik országba
Egyes alfeldolgozók EGT-n kívül (jellemzően USA) végeznek adatkezelést. Az adattovábbítás jogalapja az Európai Bizottság megfelelőségi határozata (EU–US Data Privacy Framework), illetve a 2021/914 sz. SCC modulok kiegészítő intézkedésekkel. A Transfer Impact Assessment (TIA) dokumentációja kérésre az Adatkezelő rendelkezésére bocsátható.
10. Az adatfeldolgozás megszűnése
A szolgáltatás megszűnését követő 30 napon belül az Adatkezelő választása szerint:
- az Adatfeldolgozó visszaszolgáltatja az adatokat strukturált, géppel olvasható formátumban (JSON/CSV); vagy
- az Adatfeldolgozó biztonságosan törli az adatokat (kivéve, amelyek megőrzését jogszabály — pl. számvitel — kötelezővé teszi).
A 30 napos időszakot követően az adatok automatikus törlésre kerülnek. A törlésről kérésre írásbeli igazolást adunk.
11. Felelősség
Az Adatfeldolgozó kizárólag a saját, GDPR-ban előírt kötelezettségeinek megszegéséből vagy a dokumentált utasítást meghaladó adatkezeléséből eredő károkért tartozik felelősséggel, az ÁSZF 9. pontjában rögzített felelősség-korlátozással. Az Adatkezelő felelős azért, hogy az adatkezelés jogalapjával rendelkezzen, az érintetteket megfelelően tájékoztassa, és az Adatfeldolgozónak átadott adatok jogszerűen kerüljenek hozzá.
12. Záró rendelkezések
A jelen DPA a felek közötti szolgáltatási szerződés és az ÁSZF szerves részét képezi. Ütközés esetén a sorrend: (1) jelen DPA, (2) egyedi szolgáltatási szerződés, (3) ÁSZF, (4) Adatvédelmi tájékoztató. A DPA-ra a magyar jog és a GDPR irányadó. Vitarendezésre az ÁSZF rendelkezései alkalmazandók.
Külön aláírt DPA-t (a felek által cégszerűen aláírt PDF-et) kérésre a hello@mascotai.io címen biztosítunk.