Adatfeldolgozói Szerződés (DPA)
Szolgáltatás: „titkár.ai” (https://titkar.ai) Hatályos: 2026. június 5. · Verzió: 1.0 A GDPR ((EU) 2016/679) 28. cikke alapján.
Jelen Adatfeldolgozói Szerződés (a továbbiakban: DPA) az ÁSZF és az Adatkezelési tájékoztató elválaszthatatlan melléklete, amely a szolgáltatás használatával (az ÁSZF elfogadásával) a felek között hatályba lép.
A felek
- Adatkezelő: a Felhasználó (az a vállalkozás vagy természetes személy, aki a „titkár.ai” szolgáltatást igénybe veszi), a saját ügyfeleinek/partnereinek személyes adatai tekintetében.
- Adatfeldolgozó: BITNEX GROUP Kft. (4400 Nyíregyháza, Dózsa György utca 9. 3. emelet; cégjegyzékszám: 15-09-069325, nyilvántartó bíróság: Nyíregyházi Törvényszék Cégbírósága; adószám: 13311908-2-15; közösségi adószám: HU13311908; képviselő: Nánási Tamás Sándor; kapcsolat: info@titkar.ai).
A Felhasználó az adatkezelő, aki az adatkezelés céljait és eszközeit meghatározza; a BITNEX GROUP Kft. az ő dokumentált utasítására, az ő nevében dolgozza fel a számla-/partneradatokat.
1. A feldolgozás keretei
A feldolgozás tárgya, időtartama, jellege, célja, a kezelt személyes adatok típusai és az érintettek kategóriái az 1. mellékletben kerülnek meghatározásra (GDPR 28. cikk (3) bevezető fordulat).
2. Dokumentált utasítás; tilalom a saját célú felhasználásra
- Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő dokumentált utasítása alapján kezeli – ideértve a harmadik országba történő adattovábbítást is –, kivéve, ha a kezelést uniós vagy tagállami jog írja elő; ez esetben az Adatfeldolgozó erről előzetesen tájékoztatja az Adatkezelőt (GDPR 28. cikk (3) a)). A szolgáltatás rendeltetésszerű használata, illetve az ÁSZF az utasítás keretének minősül.
- AI-specifikus kikötés: az Adatfeldolgozó és az AI-lánc valamennyi al-adatfeldolgozója (a modellszolgáltató Anthropic és a hívásokat közvetítő Vercel AI Gateway) a személyes adatokat nem használja saját célra, így mesterségesintelligencia-modell tanítására sem. Az igénybe vett AI-szolgáltató (Anthropic) üzleti API-ja a tartalmat nem használja modelltanításra; a Vercel AI Gateway a tartalmat technikai továbbításra (routing) használja, nem tárolja saját célra és nem tanít rajta. E kötelezettség flow-down jelleggel az AI-lánc minden tagjára kiterjed (GDPR 28. cikk (4), (10)).
- Ha az Adatfeldolgozó az Adatkezelő utasításának keretein túllépve maga határozza meg az adatkezelés céljait és eszközeit, e tekintetben adatkezelőnek minősül (GDPR 28. cikk (10)).
3. Titoktartás
Az Adatfeldolgozó biztosítja, hogy a személyes adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaltak vagy jogszabályon alapuló titoktartási kötelezettség alatt állnak, és a hozzáférést a „need-to-know" elv szerint korlátozza (GDPR 28. cikk (3) b)).
4. Adatbiztonság
Az Adatfeldolgozó a GDPR 32. cikke szerinti, kockázattal arányos technikai és szervezési intézkedéseket alkalmazza; ezek részletes leírását a 3. melléklet tartalmazza (GDPR 28. cikk (3) c)).
5. Al-adatfeldolgozók
- Az Adatkezelő általános, előzetes írásbeli felhatalmazást ad az Adatfeldolgozónak al-adatfeldolgozók igénybevételére. Az aktuális al-adatfeldolgozók listáját a 2. melléklet tartalmazza (GDPR 28. cikk (2)).
- Az Adatfeldolgozó az al-adatfeldolgozók bármely tervezett változásáról (új vagy lecserélt al-adatfeldolgozó) a változás hatálybalépése előtt legalább 30 nappal értesíti az Adatkezelőt, akinek joga van a változással szemben az értesítéstől számított 30 napon belül indokolt kifogást emelni. Indokolt kifogás esetén a felek jóhiszeműen egyeztetnek a megoldásról, és a megoldásig az érintett al-adatfeldolgozó felé adattovábbítás nem történik. Ha a felek a kifogástól számított ésszerű időn belül nem találnak megoldást, az Adatkezelő az érintett szolgáltatásra vonatkozóan rendkívüli felmondással felmondhatja a szerződést, a már megfizetett, fel nem használt díj arányos visszatérítése mellett (GDPR 28. cikk (2), (4)).
- Flow-down: az al-adatfeldolgozókra az Adatfeldolgozó ugyanazokat az adatvédelmi kötelezettségeket hárítja, mint amelyek őt e DPA alapján terhelik. Az al-adatfeldolgozó kötelezettségeinek nem teljesítéséért az Adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé (GDPR 28. cikk (4)).
6. Az érintetti jogok teljesítésének segítése
Az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt az érintettek (GDPR III. fejezet szerinti) kérelmeinek teljesítésében (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás). A kérelmek megválaszolásának felelőssége és határideje az Adatkezelőt terheli (GDPR 28. cikk (3) e)).
7. Incidens, DPIA, előzetes konzultáció
- Az Adatfeldolgozó az adatvédelmi incidensről – a tudomásszerzést követően – indokolatlan késedelem nélkül értesíti az Adatkezelőt. Az értesítés tartalmazza – amennyiben rendelkezésre áll – az incidens jellegét, az érintettek és az érintett adatok körét/kategóriáit, a valószínűsíthető következményeket és a megtett vagy tervezett intézkedéseket (GDPR 33. cikk (3)). A felügyeleti hatóság (NAIH) felé 72 órán belüli bejelentés és az érintettek értesítése az Adatkezelő kötelezettsége, amelyhez az Adatfeldolgozó a szükséges segítséget megadja (GDPR 28. cikk (3) f), 33. cikk (2), 34. cikk).
- Az Adatfeldolgozó a rendelkezésére álló információk alapján segíti az Adatkezelőt az adatvédelmi hatásvizsgálat (DPIA, GDPR 35. cikk) és az előzetes konzultáció (GDPR 36. cikk) elvégzésében.
8. Az adatok törlése vagy visszaadása
A szolgáltatás megszűnésekor az Adatfeldolgozó az Adatkezelő döntése szerint a személyes adatokat törli vagy visszaadja, és törli a meglévő másolatokat, kivéve, ha uniós vagy tagállami jog az adatok tárolását írja elő (különösen a 2000. évi C. tv. 169. § szerinti 8 éves számviteli megőrzés). A határidők – eltérő megállapodás hiányában: az Adatkezelő a megszűnéstől számított 30 napon belül rendelkezhet az adatok exportjáról/visszaadásáról; az Adatfeldolgozó az adatokat a megszűnéstől (vagy az export átadásától) számított 60 napon belül törli, és a törlést 15 napon belül írásban visszaigazolja (GDPR 28. cikk (3) g)).
9. Audit és ellenőrzés
Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikk szerinti kötelezettségek teljesítésének igazolásához szükséges, továbbá lehetővé teszi és elősegíti az Adatkezelő vagy az általa megbízott, titoktartásra kötelezett, független ellenőr által végzett auditokat, ideértve a helyszíni vizsgálatokat is. Az auditok ésszerű gyakorisággal (jellemzően évente egyszer, illetve adatvédelmi incidenst követően), előzetes értesítés mellett, az üzletmenet indokolatlan zavarása nélkül végezhetők. Az audit költségeit – eltérő megállapodás hiányában – az Adatkezelő viseli, kivéve, ha az audit lényeges nemmegfelelést tár fel, amely esetben a költség az Adatfeldolgozót terheli (GDPR 28. cikk (3) h)).
10. Jogsértő utasítás jelzése
Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy annak valamely utasítása sérti a GDPR-t vagy más uniós/tagállami adatvédelmi rendelkezést (GDPR 28. cikk (3) utolsó albekezdés). Ilyen esetben az Adatfeldolgozó az érintett utasítás végrehajtását felfüggesztheti.
11. Harmadik országba történő adattovábbítás
A DPA önmagában nem szolgál harmadik országba történő továbbítás jogalapjaként. Az Egyesült Államokban működő al-adatfeldolgozók (a Railway vezérlősíkja, az Anthropic és a Vercel) felé az adattovábbítás külön garanciák mellett történik (GDPR V. fejezet, 44–46. cikk): az EU-US Data Privacy Framework szerinti tanúsítás és/vagy a Bizottság 2021/914/EU általános szerződési feltételei (SCC), a vonatkozó transfer impact assessment elvégzése mellett. E követelmény flow-down jelleggel kiterjed az al-adatfeldolgozók al-adatfeldolgozóira is (pl. a felhőinfrastruktúra-szolgáltatókra): a lánc minden USA-beli szereplője felé a 44–46. cikk szerinti garanciát biztosítani kell. A részletek a 2. mellékletben szerepelnek.
1. melléklet – A feldolgozási tevékenységek leírása
| Elem | Tartalom |
|---|---|
| Adatkezelő | a Felhasználó (a „titkár.ai” előfizetője) |
| Adatfeldolgozó | BITNEX GROUP Kft. (kapcsolat: info@titkar.ai) |
| A feldolgozás tárgya | a Felhasználó ügyfeleinek/partnereinek személyes adatai a számlázás támogatásához |
| A feldolgozás jellege | partneradatok tárolása és keresése (memória), számlavázlatok készítése, számlák kiállítása a szamlazz.hu-n keresztül, számlaindex és audit napló vezetése |
| A feldolgozás célja | a számlázási szolgáltatás nyújtása a Felhasználó utasítására |
| A feldolgozás időtartama | a szolgáltatási szerződés fennállásáig, a 8. pont szerinti törléssel/visszaadással, a jogszabályi megőrzési kötelezettség korlátja mellett |
| Érintettek kategóriái | a Felhasználó vevői és szállítói (partnerei): természetes személyek, egyéni vállalkozók, valamint a partner szervezetek kapcsolattartói |
| Személyes adatok típusai | partner neve; adószáma; EU-adószáma; címe (irányítószám, város, cím, ország); e-mail-címe; telefonszáma; megjegyzés; a számlavázlatok és számlák vevői adatai; a tételek leírása; az audit napló pillanatképei |
| Különleges adatok | nincs (a szolgáltatás nem kér és nem kezel különleges adatot) |
2. melléklet – Al-adatfeldolgozók listája
| # | Név | Székhely / ország | Tevékenység | Adatlokáció | Továbbítási garancia | Státusz |
|---|---|---|---|---|---|---|
| 1 | Railway Corp. | USA (Delaware) | tárhely (hosting) + PostgreSQL adatbázis | alkalmazásadat: EU/Frankfurt; vezérlősík: USA | EU-US DPF és 2021/914 SCC | élő |
| 2 | KBOSS.HU Kft. (szamlazz.hu) | Magyarország | számlakiállítás + NAV-adatszolgáltatás | EU (Magyarország) | EU-n belüli (nincs harmadik országba továbbítás); a szamlazz.hu a NAV felé önálló adatkezelő | élő |
| 3 | Anthropic (Claude) – Anthropic Ireland, Limited / Anthropic PBC | Írország / USA | AI-modell: chat-tartalom + minimalizált partner-/számlaadat feldolgozása (az Agent kulcsot nem kapja) | USA | 2021/914 SCC | élő |
| 4 | Vercel Inc. (AI Gateway) | USA | az AI-modellhívások technikai közvetítése (routing) | USA | EU-US DPF és 2021/914 SCC | élő |
Az Anthropic és a Railway saját al-adatfeldolgozói (pl. felhőinfrastruktúra) a lánc részét képezik; az aktuális listák a trust.anthropic.com/subprocessors, illetve a trust.railway.com oldalon érhetők el. A lista naprakészen tartása az Adatfeldolgozó kötelezettsége (GDPR 28. cikk (2), 30. cikk).
3. melléklet – Technikai és szervezési intézkedések (TOM)
A GDPR 32. cikke szerinti, kockázattal arányos intézkedések:
- Titkosítás átvitel közben: HTTPS/TLS minden hálózati kommunikációnál.
- Titkosítás tárolás közben: a Felhasználó szamlazz.hu Számla Agent kulcsa AES-256-GCM algoritmussal titkosítva tárolt; a kulcs soha nem kerül a böngészőbe és soha nem kerül átadásra az AI-modellnek.
- Hozzáférés-kezelés: hitelesítés (e-mail + jelszó, visszafejthetetlen jelszó-hash), biztonságos munkamenet-kezelés, „need-to-know" hozzáférés, tenant- (ügyfél-) szintű adatelkülönítés a több-bérlős rendszerben.
- Adatlokáció: az alkalmazásadat az EU/Frankfurt régióban.
- Naplózás: biztonsági és művelet-/audit napló a számlázási műveletekről.
- Mentés és helyreállíthatóság: rendszeres biztonsági mentés.
- Incidenskezelés: incidens esetén az Adatkezelő indokolatlan késedelem nélküli értesítése, a NAIH-bejelentés (72 óra) és az érintettek értesítésének támogatása.
Kapcsolódó dokumentumok: Adatkezelési tájékoztató · ÁSZF · Süti tájékoztató.
Hatálybalépés: 2026. június 5.