Adatfeldolgozási Megállapodás (DPA)
Hatályos: 2026. május 1-től · Az ÁSZF 11. pontjának melléklete
Preambulum
Jelen Adatfeldolgozási Megállapodás (a továbbiakban: DPA) az Általános Szerződési Feltételek 11. pontjának elválaszthatatlan mellékletét képezi, és szabályozza azt az adatfeldolgozást, amelyet az Adatfeldolgozó (Mészáros János e.v., a Grabit üzemeltetője) az Adatkezelő (Előfizető) megbízásából végez a Grabit Szolgáltatás keretében, az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (GDPR) 28. cikke szerint.
A jelen DPA az ÁSZF elfogadásával egyidejűleg, automatikusan hatályba lép minden Előfizetővel szemben, és az előfizetés időtartama alatt érvényben marad.
1. A felek és fogalmak
- Adatkezelő (Controller): az Előfizető, azaz a Grabit Szolgáltatást igénybe vevő vállalkozás vagy egyéni vállalkozó, aki saját végfelhasználói (foglaló ügyfelei) személyes adatainak céljáról és eszközeiről dönt.
- Adatfeldolgozó (Processor): Mészáros János egyéni vállalkozó, a grabit.hu üzemeltetője, aki az Adatkezelő nevében és utasításai szerint dolgozza fel a személyes adatokat.
- Érintett (Data Subject): az Adatkezelő végfelhasználói (foglaló ügyfelek) és az Adatkezelő tenantjához tartozó staff/munkatársak.
- Sub-processor (Al-adatfeldolgozó): harmadik fél, akit az Adatfeldolgozó az adatfeldolgozási feladatok ellátásához igénybe vesz (felsorolásukat lásd a 6. pontban).
- A jelen DPA-ban használt egyéb fogalmakat a GDPR 4. cikke szerint kell értelmezni.
2. Az adatkezelés tárgya, jellege, célja és időtartama
- Tárgy: az Adatkezelő végfelhasználói és staff-tagjai személyes adatainak feldolgozása a Grabit foglalási platformon keresztül.
- Jelleg: tárolás, módosítás, lekérdezés, törlés, struktúrált rendszerezés, biztonsági mentés, statisztikai aggregálás (ez utóbbi anonimizált formában).
- Cél: a foglalási, ügyfélkezelési és értesítési szolgáltatás technikai biztosítása az Adatkezelő részére.
- Időtartam: az ÁSZF szerinti előfizetés időtartama + a 11. pontban meghatározott megőrzési és törlési idő.
3. Az érintettek köre és az adatok típusai
Érintettek köre:
- Az Adatkezelő végfelhasználói (foglalást leadó ügyfelek)
- Az Adatkezelő staff-tagjai (munkatársak, akik fiókot kapnak az Adatkezelő tenantjában)
Kezelt személyes adatok kategóriái:
- Azonosítók: név, email cím, telefonszám
- Foglalási adatok: foglalás időpontja, választott szolgáltatás, foglaló munkatárs, ár
- Ügyfél-jegyzetek (az Adatkezelő által rögzített megjegyzések)
- Naplózási adatok: IP-cím, böngésző, foglalási események időbélyege (technikai célból)
- Staff-adatok: név, email, szerepkör (owner / staff / delegated), pillér-jogosultságok
Az Adatfeldolgozó NEM kezel: bankkártya- vagy fizetési adatokat — ezeket kizárólag a Paddle (Merchant of Record) dolgozza fel a Grabit fizetési folyamatában; a Paddle az Adatkezelő szempontjából önálló adatkezelő a fizetési adatok vonatkozásában.
4. Az Adatkezelő kötelezettségei
- Biztosítja, hogy az általa továbbított vagy a Szolgáltatásba bevitt személyes adatok kezelésének jogalapja megfelelő (GDPR 6. cikk).
- Saját végfelhasználói részére adatkezelési tájékoztatót biztosít, amely tartalmazza az Adatfeldolgozó és sub-processor-ok közreműködésének tényét.
- Beszerzi a szükséges hozzájárulásokat, ha a jogalap a hozzájárulás (GDPR 7. cikk).
- Felelős az általa rögzített adatok pontosságáért, helyességéért és aktualitásáért.
5. Az Adatfeldolgozó kötelezettségei (GDPR 28. cikk (3) bek.)
Az Adatfeldolgozó vállalja, hogy a személyes adatokat:
- a) kizárólag az Adatkezelő dokumentált utasításai alapján kezeli — ideértve a harmadik országba történő adattovábbítást is —, kivéve, ha az adatkezelést uniós vagy tagállami jog írja elő, amely esetben az Adatfeldolgozó az adatkezelést megelőzően értesíti az Adatkezelőt;
- b) biztosítja, hogy az adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaltak vagy jogszabályi titoktartás alá tartoznak;
- c) meghozza a GDPR 32. cikke szerinti, az adatok biztonságát garantáló technikai és szervezési intézkedéseket (lásd 7. pont);
- d) sub-processor-t csak a 6. pont szerinti általános felhatalmazás alapján vesz igénybe, és új sub-processor bevonása esetén az Adatkezelőnek lehetőséget biztosít a kifogásolásra;
- e) megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt az érintett jogainak (GDPR 12-22. cikk) gyakorlásával kapcsolatos kötelezettségei teljesítésében, az Adatkezelő észszerű kérése alapján;
- f) segíti az Adatkezelőt a GDPR 32-36. cikkei szerinti kötelezettségek (adatbiztonság, incidens-bejelentés, hatásvizsgálat, előzetes konzultáció) teljesítésében, az adatkezelés jellegének és az Adatfeldolgozó rendelkezésére álló információknak megfelelően;
- g) az adatfeldolgozási megbízás megszűnésekor az Adatkezelő választása szerint visszaadja vagy törli a személyes adatokat (lásd 11. pont);
- h) az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikkében előírt kötelezettségek teljesítésének igazolásához szükséges, valamint lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat (lásd 12. pont).
6. Al-adatfeldolgozók (sub-processors)
Az Adatkezelő a jelen DPA elfogadásával általános felhatalmazást ad az Adatfeldolgozónak az alábbi al-adatfeldolgozók igénybevételére:
| Sub-processor | Cél | Adattárolás helye |
|---|---|---|
| Supabase Inc. | Adatbázis-üzemeltetés, hitelesítés, file storage | EU (Frankfurt, Németország) |
| Hetzner Online GmbH | Szerver-üzemeltetés és tárhely | EU (Nürnberg / Falkenstein, Németország) |
| Resend Inc. | Tranzakciós email küldés | US (EU-U.S. Data Privacy Framework) |
| Paddle.com Market Limited | Fizetésfeldolgozás (Merchant of Record) — kizárólag az Adatkezelő saját számlázási adataira | EU / UK |
Új sub-processor bevonása: az Adatfeldolgozó új al-adatfeldolgozó bevonását legalább 30 nappal a változás hatályba lépése előtt emailben jelzi az Adatkezelő felé. Az Adatkezelő a változást kifogásolhatja; ha észszerű határidőn belül nem sikerül megegyezni a kifogás alapján, az Adatkezelő jogosult az előfizetést rendkívüli felmondással megszüntetni.
Az Adatfeldolgozó a sub-processor-okkal a jelen DPA-val azonos szintű adatvédelmi kötelezettségeket vállaló írásbeli szerződést köt, és teljes felelősséggel tartozik a sub-processor-ok cselekményeiért az Adatkezelővel szemben.
7. Biztonsági intézkedések (GDPR 32. cikk)
Az Adatfeldolgozó az alábbi technikai és szervezési intézkedéseket alkalmazza:
- Titkosítás átvitelben: minden HTTP forgalom TLS 1.2+ titkosítással történik (HSTS bekapcsolva)
- Titkosítás nyugalmi állapotban: az adatbázis és a file storage titkosított a Supabase / Hetzner infrastruktúrában
- Tenant izoláció: Row-Level Security (RLS) szabályok biztosítják, hogy egy Előfizető adatait kizárólag a saját tenant-ja érje el
- Hozzáférés-szabályozás: erős jelszó-policy (min. 10 karakter), bcrypt hash-elés, opcionális kétlépcsős hitelesítés (2FA), session-időkorlát
- Szerepkör-alapú jogosultságkezelés (RBAC): 4-szintű szerep (owner / staff / delegated / null) + 5-rétegű guard (lásd PERMISSIONS doksi)
- Naplózás és incidens-észlelés: rendszerszintű hibanaplók, foglalási audit log, gyanús események figyelése
- Biztonsági mentés: napi automatikus backup (Supabase + Hetzner snapshot)
- Frissítések: a függőségek és OS-csomagok rendszeres biztonsági frissítése
- Adatok minimalizálása: csak a Szolgáltatás nyújtásához szükséges adatokat tárolja
- Hozzáférés-korlátozás belső személyzet részéről: production adatokhoz csak az üzemeltetésért felelős személy fér hozzá, dokumentált és naplózott módon
8. Adatvédelmi incidens (GDPR 33. cikk)
Adatvédelmi incidens (data breach) észlelése esetén az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 48 órán belül emailben értesíti az Adatkezelőt. Az értesítés tartalmazza:
- az incidens jellegét, valamint az érintett adatok és érintettek hozzávetőleges kategóriáit és számát;
- az incidens valószínűsíthető következményeit;
- a megtett vagy tervezett intézkedéseket az incidens kezelésére, hatásainak enyhítésére;
- az adatvédelmi tisztviselő vagy más kapcsolattartó elérhetőségét.
Az Adatkezelő a felügyeleti hatósági (NAIH) bejelentésért felelős a GDPR 33. cikke alapján; az Adatfeldolgozó ehhez minden szükséges információt megad.
9. Nemzetközi adattovábbítás
A személyes adatok elsősorban az Európai Gazdasági Térség (EGT) területén tárolódnak (Németország, Hetzner / Supabase EU-régió). Az EGT-n kívüli adattovábbítás csak a GDPR V. fejezete szerinti megfelelő garanciák mellett történik:
- Resend Inc. (US): az EU-U.S. Data Privacy Framework (DPF) keretében biztosított megfelelőségi határozat alapján.
- Paddle.com Market Limited (UK): az Egyesült Királyság az Európai Bizottság megfelelőségi határozata szerint biztosít megfelelő szintű védelmet.
10. Az érintett jogainak támogatása
Az Adatfeldolgozó a Szolgáltatásban biztosítja a következő technikai eszközöket az érintett jogainak gyakorlásához (GDPR 12-22. cikk):
- Hozzáférés / hordozhatóság (15., 20. cikk): az Adatkezelő admin felületen keresztül exportálhatja a foglalási és ügyfél-adatokat géppel olvasható formátumban (CSV / JSON).
- Helyesbítés (16. cikk): az Adatkezelő szerkesztheti vagy javíthatja az ügyfél-adatokat a Szolgáltatásban.
- Törlés (17. cikk): az Adatkezelő törölheti az ügyfél-adatokat a Szolgáltatásban; a törlés véglegesen érvényesül a következő biztonsági mentési ciklus végén.
- Tiltakozás (21. cikk): az Adatkezelő kezeli a tiltakozási kérelmeket; az Adatfeldolgozó technikai segítséget nyújt.
Az érintettek elsősorban az Adatkezelőt keresik fel jogaik gyakorlása érdekében. Amennyiben az érintett közvetlenül az Adatfeldolgozónál jelentkezik, az Adatfeldolgozó a kérelmet észszerű időn belül továbbítja az Adatkezelőnek, és csak az Adatkezelő utasítása alapján reagál közvetlenül.
11. Adatok visszaadása és törlése a megszűnéskor
Az Előfizetés (és így a jelen DPA) megszűnésekor — pl. lemondás, fiók törlése — az Adatfeldolgozó:
- az adatokat 30 napig megőrzi az Adatkezelő hozzáférésével, hogy az Adatkezelő exportálhassa vagy újraaktiválhassa a fiókját;
- ezt követően a személyes adatokat véglegesen törli az élő rendszerekből, valamint a következő rendes biztonsági mentési ciklus végén a backup-okból is, kivéve, ha jogszabály a megőrzést írja elő (pl. számviteli törvény: 8 év a számlázási adatokra);
- a törlésről az Adatkezelő kérésére írásbeli megerősítést ad ki.
12. Audit és ellenőrzés
Az Adatkezelő évente egyszer, írásbeli kérelemre, az Adatfeldolgozótól tájékoztatást és igazoló dokumentumokat kérhet a jelen DPA-ban foglalt biztonsági és szervezési intézkedésekről, valamint a sub-processor-okkal kötött szerződésekről.
Helyszíni audit kizárólag indokolt esetben (pl. konkrét gyanú adatvédelmi incidensre), előzetes egyeztetés után, megfelelő titoktartási megállapodás (NDA) megkötését követően végezhető. Az audit költségei az Adatkezelőt terhelik, kivéve, ha az audit során feltárt jelentős nem-megfelelőség miatt indokolt az Adatfeldolgozó költségvállalása.
13. Felelősség
A felek a GDPR 82. cikke szerinti felelősséggel tartoznak az érintettek felé. Az Adatfeldolgozó és az Adatkezelő közötti felelősség-megosztásra az ÁSZF 10. pontjában foglalt felelősségkorlátozás alkalmazandó, kivéve, ha kötelező jogszabály ettől eltérően rendelkezik.
14. Hatálybalépés, időtartam, megszűnés
Jelen DPA az ÁSZF elfogadásával egyidejűleg lép hatályba, és az előfizetés időtartama alatt érvényben marad. Az előfizetés megszűnésével a DPA is megszűnik, kivéve azokat a rendelkezéseket, amelyek természetüknél fogva túlélik a megszűnést (pl. titoktartás, adattörlési kötelezettség, audit-jog még folyamatban lévő ügyek tekintetében).
15. Záró rendelkezések
- Irányadó jog: a magyar jog, a GDPR keretei között.
- Vitarendezés: az ÁSZF 14. pontjának megfelelően.
- Módosítás: az Adatfeldolgozó a DPA-t egyoldalúan módosíthatja, az Adatkezelőt legalább 30 nappal a hatályba lépés előtt emailben értesíti.
- Kapcsolat: adatvédelmi kérdésekben support@grabit.hu.
- Kapcsolódó dokumentumok: ÁSZF, Adatkezelési tájékoztató, Impresszum.