Adatfeldolgozói Megállapodás (DPA)
Hatályos: 2026. május 30. napjától | Verzió: 1.0
Ez az Adatfeldolgozói Megállapodás (a továbbiakban: Megállapodás vagy DPA) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 28. cikke alapján jött létre, és a ChatAutomata szolgáltatásra vonatkozó Általános Szerződési Feltételek (ÁSZF) elválaszthatatlan mellékletét képezi.
1. A felek
Adatkezelő: a ChatAutomata szolgáltatásra előfizető ügyfél (a továbbiakban: Előfizető vagy Adatkezelő), aki a chatbotot a saját weboldalán használja, és aki a végfelhasználók személyes adatainak kezelése céljait és eszközeit meghatározza.
Adatfeldolgozó: Dobó Imre egyéni vállalkozó (székhely: 4029 Debrecen, Hajnal utca 14. 2/13.; adószám: 53669401-1-29; e-mail: info@chatautomata.hu), a ChatAutomata szolgáltatás üzemeltetője (a továbbiakban: Adatfeldolgozó).
A Megállapodás az Előfizetésre vonatkozó szerződés (ÁSZF) elfogadásával, írásban (ideértve az elektronikus formát is) jön létre, összhangban a GDPR 28. cikk (9) bekezdésével.
2. Az adatkezelés tárgya, jellege, célja és időtartama (GDPR 28. cikk (3) chapeau)
| Tárgya | a végfelhasználók által a beágyazott chatbottal folytatott kommunikáció és az ahhoz kapcsolódó adatok kezelése |
| Jellege | gyűjtés, rögzítés, tárolás, rendszerezés, lekérdezés, továbbítás (al-adatfeldolgozók felé), törlés — automatizált eszközökkel |
| Célja | a ChatAutomata chatbot-szolgáltatás nyújtása az Előfizető részére az Előfizető végfelhasználói felé |
| Időtartama | az Előfizetés időtartama, valamint az azt követő, jelen Megállapodásban meghatározott törlési/visszaadási időszak |
A személyes adatok típusai: a beszélgetés tartalma; álnevesített látogatói azonosító (anonimizált IP-cím); technikai/eszközadatok (böngésző, operációs rendszer, eszköztípus, nyelv, hivatkozó oldal, hozzávetőleges földrajzi hely); valamint — ha a végfelhasználó megadja — kapcsolati adatok (név, e-mail-cím, telefonszám).
3. Az Adatfeldolgozó kötelezettségei (GDPR 28. cikk (3) a)–h) — a nyolc kötelező kikötés)
Az Adatfeldolgozó vállalja, hogy:
a) Utasítás szerinti adatkezelés. A személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli — ideértve a harmadik országba történő adattovábbítást is —, kivéve, ha az adatkezelést uniós vagy tagállami jog írja elő; ez esetben erről a kezelés előtt értesíti az Adatkezelőt (kivéve, ha a jog ezt fontos közérdekből tiltja). Az ÁSZF és jelen Megállapodás az Adatkezelő dokumentált utasításának minősül.
b) Titoktartás. Biztosítja, hogy a személyes adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaltak vagy megfelelő jogszabályi titoktartási kötelezettség alatt állnak.
c) Adatbiztonság. Megteszi a GDPR 32. cikke szerinti, kockázattal arányos technikai és szervezési intézkedéseket (lásd 6. pont).
d) Al-adatfeldolgozók. Az al-adatfeldolgozók igénybevételére a 4. pontban foglalt feltételeket tartja be.
e) Az érintetti jogok teljesítésének támogatása. Az adatkezelés jellegét figyelembe véve megfelelő technikai és szervezési intézkedésekkel — a lehetséges mértékben — segíti az Adatkezelőt az érintettek jogai (GDPR III. fejezet: hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás) gyakorlására irányuló kérelmek teljesítésében.
f) Az Adatkezelő egyéb kötelezettségeinek támogatása. Segíti az Adatkezelőt a GDPR 32–36. cikke szerinti kötelezettségek teljesítésében (adatbiztonság, adatvédelmi incidens kezelése, hatásvizsgálat, előzetes konzultáció), figyelembe véve az adatkezelés jellegét és a rendelkezésére álló információkat.
g) Törlés vagy visszaadás. A szolgáltatás nyújtásának befejezését követően az Adatkezelő választása szerint törli vagy visszaadja az összes személyes adatot, és törli a meglévő másolatokat, kivéve, ha uniós vagy tagállami jog az adatok további tárolását írja elő. Alapértelmezett határidő: az Előfizetés megszűnését követő 30 nap.
h) Ellenőrzés és audit. Az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikk szerinti kötelezettségek teljesítésének igazolásához szükséges, továbbá lehetővé teszi és elősegíti az Adatkezelő vagy az általa megbízott más ellenőr által végzett auditokat, ideértve a helyszíni vizsgálatokat is, ésszerű előzetes értesítés mellett, üzletmenetet nem zavaró módon.
Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR-t vagy más adatvédelmi rendelkezést.
4. Al-adatfeldolgozók (GDPR 28. cikk (2) és (4))
Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak al-adatfeldolgozók igénybevételére, az alábbi feltételekkel:
- Az Adatfeldolgozó az al-adatfeldolgozóra a jelen Megállapodással azonos adatvédelmi kötelezettségeket telepít, írásbeli szerződésben.
- Az al-adatfeldolgozó tevékenységéért az Adatfeldolgozó az Adatkezelővel szemben teljes mértékben felelős marad.
- Az al-adatfeldolgozók körének tervezett változásáról (új vagy lecserélt al-adatfeldolgozó) az Adatfeldolgozó előzetesen tájékoztatja az Adatkezelőt, aki a változással szemben kifogással élhet.
A jelenleg igénybe vett al-adatfeldolgozók:
| Al-adatfeldolgozó | Tevékenység | Régió / garancia |
|---|---|---|
| Hostinger International Ltd. | tárhely, szerver, infrastruktúra | EU (Ciprus / EU-adatközpont) |
| Ollama Cloud (központi AI, pl. DeepSeek) | AI-válaszgenerálás, beágyazás | felhő (SCC) |
| OpenAI, L.L.C. / Anthropic, PBC / Google LLC (Gemini) | AI-válaszgenerálás (központi modellként) | USA / EU (DPF / SCC) |
| Mistral, Groq, OpenRouter, Together AI | AI-válaszgenerálás — kizárólag az Adatkezelő saját kulcsával (BYOK) | USA / EU (DPF / SCC) |
| Google LLC (Workspace SMTP), Resend, Inc., AhaSend | rendszer-e-mailek küldése | USA / EU (DPF / SCC) |
| Google LLC (OAuth) | közösségi belépés (ha az Adatkezelő/felhasználó ezt választja) | USA / EU (DPF / SCC) |
Megjegyzés: a fizetési (Stripe) és számlázási (Billingo) szolgáltatók az Előfizető díjfizetése kapcsán saját jogi céljaikra önálló adatkezelőként járnak el, nem jelen Megállapodás szerinti al-adatfeldolgozóként.
Az Előfizető által a chatbotjához külön bekapcsolt integrációk (pl. Meta/Messenger, WhatsApp, GA4, Telegram, naptár, webáruház) az Előfizető saját adatkezelői döntései; ezekért az Adatfeldolgozó nem felel.
5. Harmadik országba történő adattovábbítás
Amennyiben az adatkezelés harmadik országba (pl. USA) történő továbbítással jár, az Adatfeldolgozó biztosítja a GDPR V. fejezete szerinti megfelelő garanciát: az EU–USA Adatvédelmi Keret (DPF) szerinti megfelelőségi határozatot, vagy ennek hiányában az Európai Bizottság általános szerződési feltételeit (SCC), kiegészítve — az EDPB 01/2020. sz. ajánlása szerinti — továbbítási hatásvizsgálattal és a szükséges kiegészítő (technikai) intézkedésekkel.
6. Technikai és szervezési intézkedések (GDPR 32. cikk)
- titkosított adatátvitel (HTTPS/TLS);
- jelszavak titkosított kivonatként (bcrypt) tárolva;
- a látogatói IP-cím álnevesítése (az utolsó oktet nullázása);
- szerepköralapú, korlátozott hozzáférés;
- rendszeres mentés és üzemzavar-helyreállítás;
- naplózás és visszaélés-figyelés;
- a bizalmasság, sértetlenség, rendelkezésre állás és ellenálló képesség biztosítása.
7. Adatvédelmi incidens (GDPR 28. cikk (3) f), 33. cikk (2))
Az Adatfeldolgozó az adatvédelmi incidenst, amelyről a feldolgozott adatok vonatkozásában tudomást szerez, indokolatlan késedelem nélkül bejelenti az Adatkezelőnek, és a rendelkezésére álló információkkal segíti az Adatkezelőt a hatósági bejelentési (72 óra) és érintetti tájékoztatási kötelezettsége teljesítésében. Az Adatfeldolgozó az incidenst nem jelenti közvetlenül a felügyeleti hatóságnak (ez az Adatkezelő kötelezettsége).
8. Felelősség és záró rendelkezések
- A felek felelősségére a GDPR 82. cikke és az ÁSZF rendelkezései az irányadók.
- Jelen Megállapodásra a magyar jog és — adatvédelmi kérdésekben — a GDPR az irányadó.
- A Megállapodás az Előfizetés időtartamára szól; megszűnésére a 3.g) pont (törlés/visszaadás) az irányadó.
- Ellentmondás esetén jelen Megállapodás adatvédelmi rendelkezései megelőzik az ÁSZF általános rendelkezéseit.
*Verzió 1.0 — hatályos 2026. május 30-tól. Kapcsolat: info@chatautomata.hu*