Adatfeldolgozói Megállapodás

A Dynex platform használatának szabályai és feltételei.

Hatályos: 2026. január 1.

Hatályos: 2026. április 11-től

Adatfeldolgozó

Dynex Kft.

Székhely: 1238 Budapest, Hősök tere 37.

Cégjegyzékszám: 01-09-439155

Adószám: 32722510-2-43

E-mail: [email protected]

Jelen Adatfeldolgozói Megállapodás (továbbiakban: DPA) az Általános Szerződési Feltételek (ÁSZF) elválaszthatatlan részét képezi, és a Dynex Kft. (továbbiakban: Adatfeldolgozó) és az ÁSZF-et elfogadó ügyfél (továbbiakban: Adatkezelő vagy Megrendelő) között fennálló adatfeldolgozási jogviszonyt szabályozza.

A DPA a GDPR (az Európai Parlament és a Tanács (EU) 2016/679 rendelete) 28. cikke és a magyar 2011. évi CXII. törvény (Infotv.) alapján jött létre.

1 Fogalommeghatározások

  • Adatkezelő (Megrendelő): az a vállalkozás, amely a Dynex platformot használja és meghatározza a személyes adatok kezelésének céljait és eszközeit.
  • Adatfeldolgozó (Dynex Kft.): a Dynex Kft., amely az Adatkezelő nevében és utasításai alapján végez adatfeldolgozási tevékenységet.
  • Érintett: az a természetes személy, akinek személyes adatait az Adatkezelő a Dynex platformon kezeli (pl. vendég, ügyfél, érdeklődő).
  • Al-adatfeldolgozó: a Dynex által igénybe vett harmadik fél szolgáltató, amely az adatfeldolgozási tevékenység egészét vagy egy részét végzi.
  • Adatvédelmi incidens: a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

2 A megállapodás tárgya és hatálya

A DPA az Adatfeldolgozó által az Adatkezelő nevében végzett személyes adatfeldolgozási tevékenységekre vonatkozik, amelyek a Dynex platform használata során merülnek fel.

A DPA hatálya az ÁSZF szerinti szerződés időtartamára terjed ki, és automatikusan megszűnik a szolgáltatási szerződés megszűnésével.

3 Az adatfeldolgozás részletei

3.1. Az adatfeldolgozás célja

A Dynex platform működtetése az Adatkezelő számára, beleértve: vendégkapcsolat-kezelés (CRM), e-mail és SMS kommunikáció, marketing automatizáció, időpontfoglalás, weboldal és landing page üzemeltetés, online értékelések kezelése, mesterséges intelligencia alapú funkciók, analitika és riportálás.

3.2. Kezelt adatkategóriák

  • Azonosító adatok: név, e-mail cím, telefonszám, cégnév, beosztás
  • Kommunikációs adatok: e-mail és SMS üzenetek, chat üzenetek, feliratkozási státusz
  • Foglalási adatok: foglalás dátuma, időpontja, vendégszám, speciális kérések
  • Viselkedési adatok: kampányreakciók (megnyitás, kattintás), weboldalon végzett tevékenység
  • Technikai adatok: IP-cím, böngésző típusa, cookie-azonosító
  • Értékelési adatok: értékelések szövege, feladó azonosítók
  • Tranzakciós adatok: számlázási adatok, vásárlási előzmények (nem teljes bankkártyaadatok)

3.3. Érintettek köre

Az Adatkezelő ügyfelei, vendégei, érdeklődői, foglalást kezdeményező személyek, hírlevélre feliratkozott személyek és egyéb kapcsolattartók, akiknek adatait az Adatkezelő a Dynex platformra feltölti vagy amelyek a platform használata során keletkeznek.

3.4. Az adatfeldolgozás időtartama

Az adatfeldolgozás az ÁSZF szerinti szolgáltatási szerződés időtartama alatt történik. A szerződés megszűnését követően az Adatfeldolgozó az Adatkezelő utasítása szerint jár el az adatok tekintetében (lásd: 10. pont).

4 Az Adatfeldolgozó kötelezettségei

A Dynex Kft. mint Adatfeldolgozó az alábbi kötelezettségeket vállalja:

  • A személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli, kivéve, ha az uniós vagy tagállami jog másként rendelkezik.
  • Biztosítja, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak.
  • Megteszi a GDPR 32. cikkében előírt technikai és szervezési intézkedéseket az adatok védelme érdekében.
  • Segítséget nyújt az Adatkezelőnek az érintetti jogok gyakorlásához kapcsolódó kérelmek megválaszolásában.
  • Segítséget nyújt az Adatkezelőnek a GDPR 32–36. cikkei szerinti kötelezettségek teljesítésében (biztonság, incidensbejelentés, hatásvizsgálat, előzetes konzultáció).
  • Az Adatkezelő választása szerint a szolgáltatás végén az összes személyes adatot törli vagy visszaszolgáltatja, és a meglévő másolatokat törli, kivéve, ha jogszabály az adatok megőrzését írja elő.
  • Az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikk szerinti kötelezettségek teljesítésének igazolásához szükséges, és lehetővé teszi az auditokat és ellenőrzéseket.

5 Az Adatkezelő kötelezettségei

  • Biztosítja, hogy a személyes adatok Dynex platformra történő feltöltése és kezelése jogszerű, és megfelelő jogalappal rendelkezik (pl. hozzájárulás, jogos érdek, szerződés teljesítése).
  • Gondoskodik az érintettek megfelelő tájékoztatásáról (GDPR 13-14. cikk) az adatfeldolgozás tényéről.
  • Az érintetti kérelmeket (hozzáférés, törlés, helyesbítés, tiltakozás, hordozhatóság) elsődlegesen maga kezeli; a Dynex az Adatkezelő utasítása alapján nyújt technikai segítséget.
  • Nem tölt fel a platformra különleges adatokat (GDPR 9. cikk: egészségügyi, faji, vallási, politikai, szexuális orientációra vonatkozó adatok), kivéve, ha erről külön megállapodás születik.

6 Technikai és szervezési intézkedések (TOM)

A Dynex Kft. a GDPR 32. cikke alapján az alábbi intézkedéseket alkalmazza:

  • Titkosítás: TLS 1.2+ az adatátvitel során; AES-256 titkosítás a nyugalmi állapotban tárolt adatoknál.
  • Hozzáférés-kezelés: Szerepkör-alapú hozzáférés (RBAC), kétfaktoros hitelesítés (2FA) minden adminisztrátori fiókhoz.
  • Naplózás: Minden hozzáférés és művelet naplózásra kerül; audit log megőrzés.
  • Mentés: Rendszeres biztonsági mentések felhőinfrastruktúrán, 7 napos visszaállítási lehetőséggel.
  • Tanúsítványok: A Dynex által igénybe vett infrastruktúra-szolgáltató ISO 27001:2022 és SOC 2 Type II tanúsítvánnyal rendelkezik.
  • Személyzet: Minden munkatárs titoktartási nyilatkozatot ír alá; rendszeres adatvédelmi oktatás.

7 Al-adatfeldolgozók igénybevétele

Az Adatkezelő jelen megállapodás elfogadásával általános írásbeli felhatalmazást ad a Dynex számára al-adatfeldolgozók igénybevételére a GDPR 28(2) cikke alapján.

  • Az aktuális al-adatfeldolgozók listája a dynex.hu/al-adatfeldolgozok oldalon érhető el.
  • Új al-adatfeldolgozó bevonásáról a Dynex legalább 15 nappal előre e-mailben értesíti az Adatkezelőt.
  • Amennyiben az Adatkezelő az új al-adatfeldolgozó ellen megalapozott kifogást emel, a felek egyeztetnek; megegyezés hiányában az Adatkezelő jogosult a szerződés felmondására.
  • A Dynex biztosítja, hogy al-adatfeldolgozóival legalább a jelen DPA-ban foglaltakkal egyenértékű adatvédelmi feltételeket tartalmazó szerződést köt.

8 Adattovábbítás az Európai Gazdasági Térségen kívülre

A Dynex által igénybe vett egyes al-adatfeldolgozók az EGT-n kívül, elsősorban az Egyesült Államokban működnek. Az adattovábbítás az alábbi garanciák alapján jogszerű:

  • EU–USA Adatvédelmi Keretrendszer (DPF): A Dynex infrastruktúra-szolgáltatója és több al-adatfeldolgozó tanúsítvánnyal rendelkezik az EU–USA Data Privacy Framework keretrendszer alapján.
  • Standard Szerződési Feltételek (SCCs): Az Európai Bizottság 2021/914/EU határozata szerinti Standard Contractual Clauses beépítésre került az al-adatfeldolgozói szerződésekbe.

A részletes al-adatfeldolgozói lista és az adattovábbítási garanciák a dynex.hu/al-adatfeldolgozok oldalon tekinthetők meg.

9 Adatvédelmi incidensek kezelése

Adatvédelmi incidens észlelése esetén a Dynex az alábbiak szerint jár el:

  • Az Adatkezelőt haladéktalanul, de legkésőbb 24 órán belül értesíti az incidens észlelésétől számítva.
  • Az értesítés tartalmazza: az incidens leírását, az érintett adatkategóriákat és személyek becsült számát, a várható következményeket, valamint a megtett és javasolt intézkedéseket.
  • Segítséget nyújt az Adatkezelőnek a GDPR 33. cikk (NAIH-bejelentés, 72 órás határidő) és 34. cikk (érintettek értesítése) szerinti kötelezettségek teljesítésében.
  • Minden incidenst dokumentál az incidensnyilvántartásban, függetlenül attól, hogy az eléri-e a hatósági bejelentési küszöböt.

10 Adatok törlése és visszaszolgáltatása

A szolgáltatási szerződés megszűnésekor:

  • Az Adatkezelő a szerződés fennállása alatt bármikor exportálhatja adatait a platform által biztosított formátumban.
  • A szerződés megszűnését követően a Dynex az Adatkezelő választása szerint az adatokat törli vagy visszaszolgáltatja, legkésőbb a megszűnéstől számított 30 napon belül.
  • A törlés megtörténtéről a Dynex írásos visszaigazolást küld az Adatkezelőnek.
  • Ha jogszabály (pl. számviteli törvény: 8 év) az adatok további megőrzését írja elő, a Dynex kizárólag a jogszabályi kötelezettség teljesítéséhez szükséges adatokat és időtartamra őrzi meg.

11 Auditálási jog

Az Adatkezelő jogosult a Dynex adatfeldolgozási tevékenységét ellenőrizni a GDPR 28(3)(h) cikke alapján:

  • Az auditot legalább 30 nappal előre, írásban kell bejelenteni.
  • Az audit nem zavarhatja a Dynex és más ügyfelek normál működését.
  • A Dynex rendelkezésre bocsátja a megfelelőséget igazoló dokumentumokat (TOM, incidensnapló, al-adatfeldolgozói szerződések).
  • Amennyiben a Dynex ISO 27001 tanúsítvánnyal rendelkező infrastruktúra-szolgáltatót vesz igénybe, az audit ezen szolgáltató vonatkozásában a tanúsítvány és a vonatkozó dokumentáció bemutatásával is teljesíthető.

12 Érintetti jogok kezelése

Ha egy érintett (pl. vendég) közvetlenül a Dynexhez fordul adatkezelési kéréssel:

  • A Dynex az érintettet az Adatkezelőhöz irányítja, mivel az adatkezelési döntések az Adatkezelő hatáskörébe tartoznak.
  • Egyidejűleg a Dynex haladéktalanul értesíti az Adatkezelőt a megkeresésről.
  • Az Adatkezelő utasítása alapján a Dynex technikai segítséget nyújt a kérelem teljesítéséhez (pl. adatexport, törlés végrehajtása).

13 Felelősség

  • A Dynex kizárólag a saját kötelezettségeinek megsértéséért felel a GDPR 82(2) cikke alapján.
  • A Dynex nem felel az Adatkezelő jogellenes utasításainak végrehajtásából eredő károkért, amennyiben az Adatkezelőt az utasítás jogellenességéről tájékoztatta.
  • A felelősség mértéke az ÁSZF-ben foglalt felelősségkorlátozási rendelkezések szerint alakul.

14 A DPA módosítása

A Dynex jogosult jelen DPA-t egyoldalúan módosítani, amennyiben azt jogszabályi változás, hatósági előírás vagy a szolgáltatás technikai fejlődése indokolja. A módosításról az Adatkezelőt legalább 15 nappal a hatályba lépés előtt e-mailben értesíti. A szolgáltatás további használata a módosított DPA elfogadásának minősül.

15 Záró rendelkezések

  • Jelen DPA az ÁSZF elválaszthatatlan mellékletét képezi.
  • A DPA-ban nem szabályozott kérdésekben a GDPR, az Infotv. és a magyar Ptk. rendelkezései irányadóak.
  • Ha jelen DPA és az ÁSZF között ellentmondás van, az adatvédelmi kérdésekben a DPA rendelkezései az irányadóak.
  • Jelen DPA a Dynex szolgáltatásra való regisztrációval, az ÁSZF elfogadásával lép hatályba.

Adatvédelmi kérdés? Írj nekünk: [email protected]