Adatfeldolgozási szerződés

A GDPR 28. cikk (3) bekezdése alapján megkötve. Az Általános Szerződési Feltételek szerves részét képezi, és automatikusan alkalmazandó minden WorkAist Cloud ügyfélre.

Hatályos: 2026-07-10

Ez a dokumentum több nyelven is megjelenik. Eltérés esetén az angol nyelvű változat az irányadó.

1. Felek és szerepkörök

Jelen Adatfeldolgozási szerződés („DPA”) a WorkAist fiókban megjelölt ügyfél („Adatkezelő”) és az ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 („Adatfeldolgozó”) között jön létre.

A WorkAist Cloudban kezelt Ügyféladatok tekintetében az Adatkezelő határozza meg az adatkezelés céljait és eszközeit, az Adatfeldolgozó pedig az Adatkezelő megbízásából végzi az adatkezelést. Ha az Adatkezelő maga is adatfeldolgozóként jár el egy harmadik fél számára, az Adatkezelő szavatolja, hogy jogosult jelen DPA megkötésére, és hogy az általa adott utasítások tükrözik az adott harmadik fél utasításait.

Jelen DPA nem alkalmazandó a WorkAist Self-Hostedra, ahol az Ügyféladatok nem jutnak el az Adatfeldolgozó rendszereihez, sem azokra az adatokra, amelyek tekintetében az Adatfeldolgozó maga az adatkezelő, és amelyekre az Adatvédelmi tájékoztató irányadó.

2. Rangsor

Ha jelen DPA ütközik az Általános Szerződési Feltételekkel, adatvédelmi kérdésekben jelen DPA élvez elsőbbséget. Ha ütközik egy egyedileg egyeztetett megrendelőlappal vagy egy aláírt adatfeldolgozási szerződéssel, az adott dokumentum élvez elsőbbséget.

3. Tárgy, időtartam, jelleg és cél

Az adatkezelés tárgya a WorkAist Cloud nyújtása. Az adatkezelés jellege és célja az Ügyféladatok hosztolása, tárolása, továbbítása és automatizált kezelése annak érdekében, hogy az Adatkezelő által konfigurált agentek, connectorök és folyamatok működhessenek, a Szolgáltatás nyújtásához szükséges támogatási, biztonsági, mérési és számlázási tevékenységekkel együtt.

Az adatkezelés a WorkAist Cloudra vonatkozó, az Adatkezelővel kötött szerződés hatályának teljes időtartama alatt, valamint a 11. pontban meghatározott törlési határidők alatt tart.

4. Az érintettek és a személyes adatok kategóriái

Az Adatkezelő dönti el, mit tölt fel. Az adatkezelés jellemzően a következőket érinti:

Érintettek kategóriáiSzemélyes adatok kategóriái
Az Adatkezelő munkavállalói és felhatalmazott felhasználóiNév, munkahelyi e-mail cím, szerepkör, hitelesítési adatok, auditnapló-bejegyzések
Az Adatkezelő ügyfelei, leadjei és kapcsolattartóiNév, e-mail, telefonszám, cég, levelezés, CRM-rekordok, bármely, az Adatkezelő által szinkronizálni kívánt azonosító
Az Adatkezelő beszállítói és partnereiElérhetőségi adatok, szerződéses és számlaadatok
Bármely, az Adatkezelő által kezelt dokumentumokban vagy üzenetekben megjelenő érintettBármely személyes adat, amely az Adatkezelő által a Szolgáltatásba feltöltött fájlokban, e-mailekben, átiratokban, képekben vagy üzenetekben szerepel

A GDPR 9. cikke szerinti különleges adatkategóriákba tartozó személyes adatok, valamint a GDPR 10. cikke szerinti, büntetőjogi felelősség megállapítására vonatkozó határozatokkal és bűncselekményekkel kapcsolatos személyes adatok nem kezelhetők a Szolgáltatásban, kivéve, ha a felek előzetesen írásban további garanciákban állapodtak meg.

Az adatok forrása

Az Ügyféladatok azért jutnak el a Szolgáltatásba, mert az Adatkezelő külső rendszereket csatlakoztat, fájlokat tölt fel, vagy utasítja agentjeit azok lekérésére. Kizárólag az Adatkezelő választja ki ezeket a forrásokat, és határozza meg, mi kerül importálásra.

Az Adatkezelő szavatolja, hogy a GDPR 6. cikke — és adott esetben a 9. cikk — szerinti jogalappal rendelkezik az adott személyes adatok gyűjtésére és az Adatfeldolgozó részére történő továbbítására, valamint hogy a forrásrendszerben minden szükséges tájékoztatás vagy hozzájárulás rendelkezésre áll. Az Adatfeldolgozónak nincs hozzáférése az Adatkezelő forrásrendszereihez, azokat nem választja ki, és nem ellenőrzi, illetve nem is tudja ellenőrizni, hogy azok megfelelnek-e az adatvédelmi jogszabályoknak. Ennek megállapítása az Adatkezelő adatkezelői kötelezettsége.

5. Dokumentált utasításokon alapuló adatkezelés

Az Adatfeldolgozó kizárólag az Adatkezelő dokumentált utasításai alapján kezeli az Ügyféladatokat, ideértve a harmadik országokba történő továbbítást is, kivéve, ha az Adatfeldolgozóra vonatkozó uniós vagy tagállami jog ettől eltérő kezelésre kötelezi. Ez utóbbi esetben az Adatfeldolgozó a kezelés megkezdése előtt tájékoztatja az Adatkezelőt erről a jogi követelményről, kivéve, ha a jog fontos közérdekből ezt megtiltja.

Az Általános Szerződési Feltételek, jelen DPA, valamint az Adatkezelő általi konfiguráció és a Szolgáltatás használata alkotja az Adatkezelő teljes dokumentált utasítását. Bármely további utasításnak írásban kell történnie, és amennyiben az a Szolgáltatás standard funkcionalitásán túli erőfeszítést igényel, előzetesen egyeztetett, ésszerű díj tárgyát képezheti.

Az Adatfeldolgozó indokolatlan késedelem nélkül tájékoztatja az Adatkezelőt, ha megítélése szerint egy utasítás sérti a GDPR-t vagy más uniós vagy tagállami adatvédelmi jogszabályt.

6. Titoktartás

Az Adatfeldolgozó biztosítja, hogy az Ügyféladatok kezelésére jogosult személyek titoktartási kötelezettséget vállaltak, vagy megfelelő jogszabályi titoktartási kötelezettség alá esnek, valamint hogy a hozzáférés azokra korlátozódik, akiknek arra a szerződés teljesítéséhez szükségük van.

7. Az adatkezelés biztonsága

A technika jelenlegi állását, a megvalósítás költségeit, valamint az adatkezelés jellegét, hatókörét, körülményeit és céljait, továbbá a természetes személyek jogaira és szabadságaira jelentett kockázatot figyelembe véve, az Adatfeldolgozó a GDPR 32. cikke szerinti következő technikai és szervezési intézkedéseket alkalmazza.

II. melléklet — Technikai és szervezési intézkedések

IntézkedésMegvalósítás
Titkosítás átvitel közbenA Szolgáltatáshoz és onnan érkező teljes forgalom TLS-en keresztül, automatikusan megújított tanúsítványokkal zajlik. A belső, szolgáltatások közötti forgalom nem hagyja el a host-hálózatot.
Titkok titkosításaAz ügyfél hozzáférési adatai és a connector-titkok nyugalmi állapotban AES-256-GCM titkosítással vannak védve, az alkalmazás adatbázisán kívül tárolt kulcs alatt.
ÁlnevesítésA telemetriai és mérési rekordok a bérlőkre és agentekre azonosító alapján hivatkoznak, nem név vagy e-mail alapján, mindenütt, ahol az azonosító elegendő.
Titkosság — hozzáférés-vezérlésMunkaterületenkénti szerepkör-alapú hozzáférés-vezérlés. Minden agent a saját tárolási előtagjára és saját adatbázis-sémájára korlátozódik; a bérlők közötti hozzáférést már az adatrétegen elutasítjuk, nem csak a felhasználói felületen.
Titkosság — munkatársakA legkisebb jogosultság elvén alapuló adminisztratív hozzáférés, egyénileg biztosítva és szerepkörváltáskor felülvizsgálva. Minden adminisztratív műveletet egy csak hozzáfűzhető auditnaplóba rögzítünk.
IntegritásVégig bemenetvalidálás és paraméterezett lekérdezések. Az operatív API-n keresztül végzett minden módosítás egy, a végrehajtó személyt azonosító auditnapló-sort rögzít.
Rendelkezésre állás és ellenállóképességFelügyelt hosztolás egy Tier III osztályú németországi adatközpontban. Az adatbázis automatizált napi biztonsági mentése, titkosítva és a produkciós környezettől elkülönítve tárolva.
HelyreállításDokumentált helyreállítási eljárás a legutóbbi biztonsági mentésből; a helyreállítást az infrastruktúra-változtatások részeként gyakoroljuk.
Tesztelés és értékelésFüggőségek sebezhetőségi vizsgálata a folyamatos integrációban, kódellenőrzés összeolvasztás előtt, valamint ezen intézkedések rendszeres, legalább évenkénti és a Szolgáltatás lényeges változása esetén történő felülvizsgálata.
Beépített adatminimalizálásA connectorök csak az Adatkezelő által engedélyezett mezőket szinkronizálják. Az Adatkezelő bármikor törölhet bármely szinkronizált táblát.

Az Adatfeldolgozó a technológia fejlődésével frissítheti ezeket az intézkedéseket, feltéve, hogy a védelem szintje nem csökken. A mindenkor aktuális változat mindig az ezen az oldalon közzétett.

8. Alvállalkozó adatfeldolgozók

Az Adatkezelő általános írásbeli felhatalmazást ad az Adatfeldolgozónak alvállalkozó adatfeldolgozók igénybevételére. Az Adatfeldolgozó minden alvállalkozó adatfeldolgozóra szerződéses úton olyan adatvédelmi kötelezettségeket ró, amelyek nem kevésbé védőek, mint a jelen DPA-ban foglaltak, és az Adatkezelővel szemben teljes mértékben felelős marad az alvállalkozó adatfeldolgozó teljesítéséért.

III. melléklet — Jóváhagyott alvállalkozó adatfeldolgozók

A következő alvállalkozó adatfeldolgozókat minden WorkAist Cloud ügyfél esetében igénybe vesszük, mivel részei annak az infrastruktúrának, amelyen a Szolgáltatás fut.

Alvállalkozó adatfeldolgozóCélHelyszínAdattovábbítási garancia
Hetzner Online GmbHAlkalmazásszerverek, adatbázis és biztonsági mentések hosztolásaNémetország (EU)Nem alkalmazandó
Cloudflare, Inc.DNS, reverse proxy, TLS-lezárás, DDoS-védelemGlobális edge-hálózat, beleértve az EU-tSCC-k; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Fizetés- és előfizetés-feldolgozásÍrország (EU)SCC-k a csoporton belüli továbbtovábbításokhoz; EU-US Data Privacy Framework
Resend, Inc.Tranzakciós e-mailek kézbesítéseAmerikai Egyesült ÁllamokSCC-k

Modellszolgáltatók

A nagy nyelvi modellek szolgáltatóit eltérően kezeljük, mivel azokat az Adatkezelő választja ki.

  • Ha az Adatkezelő saját szolgáltatói hozzáférési adatokat biztosít, az adott szolgáltatót az Adatkezelő veszi igénybe, az Adatkezelő utasításai alapján és az Adatkezelő saját, vele kötött megállapodása szerint. Ez a szolgáltató nem az Adatfeldolgozó alvállalkozó adatfeldolgozója. Az Adatfeldolgozó pusztán a megadott hozzáférési adatok felhasználásával továbbítja a kérést, és nem vállal garanciát az adott szolgáltató biztonságáért, az adatkezelés helyszínéért, tanítási gyakorlatáért vagy jogszabályi megfelelőségéért.
  • Ha az Adatkezelő az Adatfeldolgozó felügyelt tokenelszámolását veszi igénybe, az Adatfeldolgozó választja ki a szolgáltatót, és az az Adatfeldolgozó alvállalkozó adatfeldolgozójának minősül. Az e minőségben jelenleg igénybe vett szolgáltató az Anthropic PBC (Amerikai Egyesült Államok), nagy nyelvi modell inferencia céljából, általános szerződési feltételek (SCC) alapján, és szerződésben tiltva attól, hogy a részére küldött adatokon tanítson.

Az Adatkezelő a Szolgáltatáson belül bármikor megtekintheti, mely modellszolgáltatót használja az egyes agentjei, és azt módosíthatja is.

Alvállalkozó adatfeldolgozók változása

Az Adatfeldolgozó legalább 30 nappal korábban, e-mailben értesíti az Adatkezelőt egy alvállalkozó adatfeldolgozó hozzáadása vagy cseréje előtt. Az Adatkezelő ezen 30 napon belül ésszerű adatvédelmi okokból kifogást emelhet. Ha a felek nem tudják rendezni a kifogást, az Adatkezelő kötbér nélkül felmondhatja a Szolgáltatás érintett részét, és arányos visszatérítést kap az előre kifizetett díjakból.

9. Segítségnyújtás az érintetti jogok gyakorlásában

Az adatkezelés jellegét figyelembe véve, az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt — amennyiben ez lehetséges — az érintett GDPR III. fejezete szerinti jogai gyakorlására irányuló kérelmekre való válaszadási kötelezettségének teljesítésében.

A Szolgáltatás közvetlen hozzáférést biztosít az Adatkezelő számára az Ügyféladatokhoz, hogy maga tudja megtalálni, exportálni, helyesbíteni és törölni a személyes adatokat. Ha egy kérelem mindazonáltal az Adatfeldolgozó közreműködését igényli, az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 10 munkanapon belül válaszol. Ha egy érintett közvetlenül az Adatfeldolgozóhoz fordul az Ügyféladatokkal kapcsolatban, az Adatfeldolgozó nem ad érdemi választ; a kérelmet indokolatlan késedelem nélkül továbbítja az Adatkezelőnek.

10. Segítségnyújtás a 32–36. cikkek tekintetében

Az Adatfeldolgozó segíti az Adatkezelőt a GDPR 32–36. cikkeiben foglalt kötelezettségek betartásának biztosításában, figyelembe véve az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat — különösen az adatkezelés biztonsága, az adatvédelmi incidensek bejelentése, az érintettek tájékoztatása, az adatvédelmi hatásvizsgálatok és az előzetes konzultáció tekintetében.

Adatvédelmi incidens

Az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti az Adatkezelőt, miután tudomást szerzett egy, az Ügyféladatokat érintő adatvédelmi incidensről. Az értesítés leírja az incidens jellegét, az érintett érintettek és rekordok kategóriáit és hozzávetőleges számát, a valószínű következményeket, a megtett vagy javasolt intézkedéseket, valamint egy kapcsolattartási pontot. Ha nem áll rendelkezésre egyszerre minden információ, azokat szakaszosan, további indokolatlan késedelem nélkül bocsátja rendelkezésre. Az Adatfeldolgozó az Adatkezelő nevében nem értesít felügyeleti hatóságot vagy érintetteket, kivéve, ha erre utasítást kap.

11. Ügyféladatok törlése és visszaadása

Az Adatkezelő választása szerint az Adatfeldolgozó az adatkezeléssel kapcsolatos szolgáltatások nyújtásának befejezését követően törli vagy visszaadja az összes Ügyféladatot, és törli a meglévő másolatokat, kivéve, ha uniós vagy tagállami jog a személyes adatok tárolását írja elő.

  • A szerződés megszűnését követő 30 napig az Adatkezelő exportálhatja az Ügyféladatokat a Szolgáltatásból, vagy kérheti azok visszaadását strukturált, általánosan használt, géppel olvasható formátumban.
  • Az Adatfeldolgozó az exportálási időszak lezárultát követő 30 napon belül törli az Ügyféladatokat az éles rendszerekből.
  • Az Ügyféladatokat tartalmazó titkosított biztonsági mentések a szokásos rotációjuk során, de legkésőbb az éles rendszerekből történő törlést követő 90 napon belül felülíródnak.
  • Írásbeli kérésre az Adatfeldolgozó írásban visszaigazolja a törlést.

12. Auditok és tájékoztatás

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden, a GDPR 28. cikkének való megfelelés igazolásához szükséges információt, és lehetővé teszi, valamint közreműködik az Adatkezelő vagy az általa megbízott másik auditor által végzett auditokban, ideértve a helyszíni vizsgálatokat is.

A gyakorlatban az Adatfeldolgozó először rendelkezésre bocsátja a technikai és szervezési intézkedéseiről szóló aktuális dokumentációját, alvállalkozó adatfeldolgozóinak listáját, valamint egy biztonsági kérdőívre adott írásbeli válaszait. Ha ez nem elegendő a megfelelés igazolásához, az Adatkezelő 30 napos írásbeli előzetes értesítéssel helyszíni vagy távoli auditot végezhet, naptári évenként legfeljebb egy alkalommal, kivéve, ha adatvédelmi incidens történt, vagy egy felügyeleti hatóság ezt megköveteli. Az auditok munkaidőben zajlanak, nem zavarhatják indokolatlanul az Adatfeldolgozó működését, és titoktartási kötelezettség alá esnek. Az Adatkezelő viseli saját auditköltségeit; az Adatfeldolgozó viseli a sajátját, kivéve, ha az audit jelen DPA lényeges megsértését tárja fel.

13. Nemzetközi adattovábbítások

Az Adatfeldolgozó az Ügyféladatokat nyugalmi állapotban Németországban tárolja. A III. mellékletben felsorolt, az Európai Gazdasági Térségen kívüli alvállalkozó adatfeldolgozók felé történő továbbítás az Európai Bizottság általános szerződési feltételei (az (EU) 2021/914 végrehajtási határozat) harmadik modulja alapján történik, amely arra az esetre vonatkozik, amikor az Adatfeldolgozó adatfeldolgozóként alvállalkozó adatfeldolgozót vesz igénybe, szükség esetén további garanciákkal kiegészítve, és — amennyiben a címzett tanúsítvánnyal rendelkezik — az EU-US Data Privacy Framework megfelelőségi határozata alapján.

Jelen DPA megkötésével az Adatkezelő megbízza az Adatfeldolgozót, hogy ezen általános szerződési feltételeket az Adatkezelő nevében és megbízásából kösse meg minden egyes alvállalkozó adatfeldolgozóval.

14. Felelősség

A jelen DPA szerinti felelősségre az Általános Szerződési Feltételekben foglalt felelősségkorlátozás irányadó, azzal, hogy semmi nem korlátozza egyik fél GDPR 82. cikke szerinti, érintettel szembeni felelősségét, sem a felügyeleti hatósággal szembeni felelősségét.

15. Időtartam, alkalmazandó jog és kapcsolat

Jelen DPA az Adatkezelő WorkAist Cloudra vonatkozó szerződésének kezdetekor lép hatályba, és mindaddig hatályban marad, amíg az Adatfeldolgozó Ügyféladatokat kezel. Portugália joga az irányadó, és Lisszabon bíróságai rendelkeznek kizárólagos joghatósággal, a GDPR 79. cikkének sérelme nélkül.

Kapcsolat jelen DPA-val kapcsolatos minden ügyben: [email protected].