ADATFELDOLGOZÁSI MEGÁLLAPODÁS (DPA)
Hatálybalépés: 2026. június 2. Utolsó frissítés: 2026. június 2. Verzió: 1.0
Röviden: Ez az adatfeldolgozási megállapodás (DPA) azt írja le, hogyan kezeli a 1booq az adatkezelőként eljáró üzleti ügyfelek nevében a személyes adatokat, a GDPR-ral összhangban. A teljes megállapodás lent olvasható.
Jelen Adatfeldolgozási Megállapodás („DPA") a GDPR (EU 2016/679) 28. cikke szerint szabályozza, hogy a Szolgáltató a Provider nevében és utasítására milyen feltételekkel kezel személyes adatokat. A DPA a Provider és a Szolgáltató közötti ÁSZF elválaszthatatlan részét képezi, és annak 20. szakaszában foglalt adatfeldolgozási rendelkezéseket részletezi. Ütközés esetén a jelen DPA az adatfeldolgozás vonatkozásában az irányadó.
1. Felek és szerepkörök
- Adatkezelő (Controller): a Provider, aki a saját ügyfeleinek (Clientjeinek) személyes adatait a saját céljaira kezeli.
- Adatfeldolgozó (Processor): a Szolgáltató (WaveOne Technologies; az azonosító és kapcsolattartási adatokat lásd az Impresszumban), amely a Provider utasítására, a platform működtetése keretében kezeli ezeket az adatokat.
A felek rögzítik, hogy a regisztrált felhasználók saját fiókadatai tekintetében a Szolgáltató önálló adatkezelő (lásd az Adatvédelmi Tájékoztatót); a jelen DPA kizárólag azokra az adatokra vonatkozik, amelyeket a Szolgáltató a Provider adatfeldolgozójaként kezel.
2. A feldolgozás tárgya, időtartama, jellege és célja
- Tárgya: a Provider foglalási és ügyfélkezelési tevékenységéhez kapcsolódó személyes adatok feldolgozása a platformon keresztül.
- Időtartama: a Provider és a Szolgáltató közötti szerződés fennállásáig, illetve az Adatvédelmi Tájékoztató szerinti megőrzési időkig.
- Jellege és célja: a foglalási rendszer, naptár, üzenetküldés, értékelések, kredit-elszámolás és kapcsolódó funkciók biztosítása, tárolása és technikai üzemeltetése.
3. Az érintettek és a személyes adatok kategóriái
- Érintettek: a Provider Clientjei (foglalók), Workerei és egyéb kapcsolattartói.
- Adatkategóriák: név, e-mail-cím, telefonszám (ha megadták), foglalási adatok (időpont, státusz, a Provider által definiált űrlapmezők értékei), üzenetek, értékelések és jegyzetek. Különleges kategóriájú adat (GDPR 9. cikk) feldolgozása nem rendeltetésszerű (lásd ÁSZF 6.6.); ha a Provider ilyet visz be, azért önálló adatkezelőként ő felel.
4. Az adatkezelő utasításai
A Szolgáltató a személyes adatokat kizárólag a Provider dokumentált utasítása alapján kezeli — ideértve a platform rendeltetésszerű használatát mint állandó utasítást —, kivéve, ha uniós vagy tagállami jog ettől eltérő kezelésre kötelezi; ez esetben a Szolgáltató a feldolgozás előtt erről tájékoztatja a Providert, kivéve, ha a jog ezt fontos közérdekből tiltja.
5. Titoktartás
A Szolgáltató biztosítja, hogy az adatokhoz hozzáférő személyek titoktartási kötelezettséget vállaltak, vagy megfelelő jogszabályi titoktartás alá esnek, és kizárólag a feladatuk ellátásához szükséges mértékben (need-to-know, legkisebb jogosultság elve) férnek hozzá.
6. Technikai és szervezési intézkedések (TOMs) — GDPR 32. cikk
A Szolgáltató az alábbi intézkedéseket alkalmazza (a kockázattal arányosan):
- Titkosítás átvitel közben (TLS/HTTPS) minden hálózati forgalomra;
- Titkosítás nyugalmi állapotban az adatbázis- és tárolószolgáltató (Supabase) szintjén;
- Hozzáférés-ellenőrzés: szerepkör-alapú jogosultságok, a legkisebb jogosultság elve, adminisztratív műveletekhez kétfaktoros hitelesítés (2FA);
- Jelszókezelés: jelszó-hash (bcrypt), titkok elkülönített tárolása;
- Álnevesítés / anonimizálás: fiók törlésekor a személyes azonosítók eltávolítása (tombstone), naplók álnevesítése;
- Naplózás és auditálhatóság: biztonságilag releváns események naplózása;
- Visszaélés-megelőzés: sebességkorlátozás (rate limiting), bot- és csalásvédelmi mechanizmusok;
- Üzletmenet-folytonosság: rendszeres biztonsági mentések, helyreállíthatóság;
- Adatvédelem beépítetten és alapértelmezetten (privacy by design/by default).
A TOMs aktuális részletei kérésre rendelkezésre bocsáthatók, és a technológiai fejlődéssel összhangban frissülhetnek, a védelmi szint csökkentése nélkül.
7. Alfeldolgozók (sub-processors)
A Provider általános felhatalmazást ad a Szolgáltatónak alfeldolgozók igénybevételére. A Szolgáltató minden alfeldolgozóval a GDPR 28. cikke szerinti, a jelennel lényegében azonos adatvédelmi kötelezettségeket tartalmazó szerződést köt, és felelős marad az alfeldolgozók tevékenységéért. Új alfeldolgozó bevezetéséről vagy cseréjéről a Szolgáltató előzetesen tájékoztat, és a Provider kifogást emelhet.
Jelenlegi alfeldolgozók:
| Alfeldolgozó | Funkció | Adatkezelés helye | Garancia |
|---|---|---|---|
| Supabase Inc. | Adatbázis (PostgreSQL), tárolás | EU régió | EGT-n belül |
| Vercel Inc. | Hosting, edge hálózat | USA | EU-USA DPF / SCC |
| Paddle.com Market Ltd. | Fizetésfeldolgozás, számlázás (Merchant of Record) | Egyesült Királyság / USA | UK GDPR adequacy / SCC |
| MailerSend (MailerSend Inc.) | Tranzakciós e-mail kézbesítés | USA / EU | EU-USA DPF / SCC |
| GeoNames (Unxos GmbH) | Város-autokiegészítés | Németország | EGT-n belül |
| OpenStreetMap Foundation | Térkép, geokódolás (Nominatim) | Egyesült Királyság | UK GDPR adequacy |
| Open-Meteo (Open-Meteo.com) | Időjárás-adat (koordináta alapján) | Németország | EGT-n belül |
| Anthropic PBC | AI foglalási és kereső asszisztens (Claude) | USA | SCC + GDPR 28. cikk szerinti adatfeldolgozási szerződés |
8. Nemzetközi adattovábbítás
EGT-n kívüli továbbítás esetén a Szolgáltató megfelelőségi határozatra, Általános Szerződési Záradékokra (SCC, 2021/914 EU határozat), illetve EU-USA Data Privacy Framework tanúsításra támaszkodik, szükség szerint kiegészítő technikai-szervezési intézkedésekkel.
9. Segítségnyújtás az adatkezelőnek
A Szolgáltató a feldolgozás jellegét figyelembe véve, megfelelő intézkedésekkel segíti a Providert:
- az érintetti jogok (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás) teljesítésében;
- a 32–36. cikk szerinti biztonsági, incidens-bejelentési, hatásvizsgálati (DPIA) és előzetes konzultációs kötelezettségek teljesítésében.
10. Adatvédelmi incidens kezelése
A Szolgáltató az általa kezelt adatokat érintő adatvédelmi incidensről indokolatlan késedelem nélkül, a tudomásszerzést követően a lehető leghamarabb (célállapot: 72 órán belül) tájékoztatja a Providert, és átadja a bejelentéshez ésszerűen szükséges információkat.
11. Ellenőrzés (audit)
A Szolgáltató a Provider rendelkezésére bocsátja a 28. cikk szerinti kötelezettségek igazolásához szükséges információkat, és ésszerű időközönként, előzetes egyeztetés alapján lehetővé teszi az auditot (ideértve a Provider által megbízott, titoktartásra kötelezett független auditort), az üzletmenet és más ügyfelek adatainak indokolt védelme mellett.
12. Az adatok visszaadása és törlése
A szerződés megszűnésekor a Szolgáltató a Provider választása szerint visszaadja vagy törli a feldolgozott személyes adatokat, kivéve, ha uniós/tagállami jog a tárolást előírja (pl. számviteli megőrzés). A megőrzési időkre lásd az Adatvédelmi Tájékoztatót és a belső retention mátrixot.
13. Felelősség és irányadó jog
A felelősségre és az irányadó jogra az ÁSZF rendelkezései alkalmazandók. A jelen DPA a magyar jog és a GDPR szerint értelmezendő.
14. Kapcsolat
Adatfeldolgozással kapcsolatos megkeresések: privacy@1booq.com (lásd még az Impresszumot és az Adatvédelmi Tájékoztatót).