ADATFELDOLGOZÁSI MEGÁLLAPODÁS (DPA)

Mesterséges intelligencia használata a honlapon
(az Európai Unió Általános Adatvédelmi Rendeletének – „GDPR”, 2016/679/EU – 28. cikke alapján)

1. Felek, tárgy és hatály

Adatkezelő (megbízó):

  • Cégnév: Vezse Róbert e.v.

  • Székhely: 4803 Vásárosnamény, Gulácsi út 51.

  • Nyilvántartási szám: 52551356

  • Adószám: 68998246-1-35

  • Képviselő: Vezse Róbert

  • Adatvédelmi ügyekben kijelölt kapcsolattartó e-mail címe: info@kcronline.hu

  • Telefonszám: +36 20 346 3656

Adatfeldolgozó (szolgáltató):
OpenAI Ireland Ltd, az Ír Köztársaságban bejegyzett vállalat, amelynek székhelye: 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Írország, cégjegyzékszáma: 737350

A megállapodás tárgya: az Adatfeldolgozó az Adatkezelő [honlapján / webalkalmazásában] („Honlap”) működő mesterségesintelligencia‑funkciók (pl. beszélgetőablak, tartalom‑/összefoglaló‑/fordító‑/keresőmodulok, moderáció) nyújtása és üzemeltetése keretében az Adatkezelő nevében és utasításai szerint személyes adatokat dolgoz fel.

Időtartam: a jelen megállapodás az aláírás napján lép hatályba, és a felek közötti [főszolgáltatási szerződés / megrendelés] időtartamával azonos ideig áll fenn. Az adatkezelési műveletek időtartama a szolgáltatás nyújtásának idejére korlátozódik; a törlési és megőrzési szabályokat a 12. pont és a 1. melléklet tartalmazza.

2. Az adatkezelés jellege és célja

Az Adatfeldolgozó az alábbi műveleteket végzi: gyűjtés, továbbítás, rendszerezés, tárolás, elemzés, kérésre aggregálás és törlés a Honlapon keresztül megadott beviteli tartalmak („promptok”), felhasználói eseményadatok és üzemeltetési naplók tekintetében.

Célok: 

    • MI‑funkciók biztosítása (válaszgenerálás, keresés, összefoglalás, tartalom‑/kép‑/szöveg‑moderáció stb.);

    • szolgáltatásüzemeltetés és hibakeresés;

    • biztonság és visszaélés‑megelőzés (pl. robot‑/rosszindulatú forgalom kiszűrése, prompt‑injection elleni védelem);

    • teljesítmény‑, kapacitás‑ és minőségmonitoring (anonimizált vagy pszeudonimizált formában);

Model‑betanítás alaphelyzetben TILOS. Az Adatfeldolgozó a személyes adatokat nem használhatja fel modellek képzésére vagy finomhangolására, kivéve, ha az Adatkezelő ezt előzetesen, írásban, egyértelműen engedélyezi és a GDPR V. fejezet szerinti garanciák fennállnak.

3. Személyes adatok típusai és érintetti kategóriák

Személyes adatok köre (az Adatkezelő konfigurációjától függően):

    • azonosítók és technikai metaadatok: IP‑cím, cookie/SDK‑azonosító, munkamenet‑ID, böngésző‑ és eszközinformáció, időbélyegek;

    • felhasználói beviteli tartalmak (szabad szöveg, csatolmányok metaadatai, opcionálisan feltöltött fájlok tartalma, ha az Adatkezelő ezt engedélyezi);

    • ügyfélfiók‑/kontaktadatok: név, e‑mail, telefonszám, ügyfél‑/ügyazonosító (ha a Honlapon fiókhoz kötött a használat);

    • üzemeltetési naplók és események (pl. hibaüzenetek, válaszidő, státuszkódok);

    • opcionálisan: szervezet/munkahely, pozíció, település, ha a felhasználó ezeket a beviteli mezőkben megadja.

Különleges adatok kezelése tilos. Az Adatfeldolgozó nem kéri és nem kezeli a GDPR 9. cikk szerinti különleges adatokat, és azokat a Honlap nem célozza meg. Ha a felhasználó ilyen adatot mégis megad, az Adatfeldolgozó haladéktalanul törli vagy pszeudonimizálja.

Érintettek kategóriái: a Honlap látogatói és regisztrált felhasználói; az Adatkezelő ügyfelei, potenciális ügyfelei, beszállítói és kapcsolattartói; az Adatkezelő képviseletében eljáró személyek.

4. Adatkezelő utasításai

Az Adatfeldolgozó kizárólag az Adatkezelő dokumentált utasításai alapján jár el. Az Adatkezelő jelen megállapodással különösen az alábbiakat írja elő:

    1. a feldolgozás kizárólag a 2. pontban meghatározott célokra végezhető;

    1. a személyes adatokat harmadik országba vagy nemzetközi szervezethez csak a GDPR V. fejezete szerinti garanciák megléte esetén lehet továbbítani;

    1. a személyes adatok marketingcélú önálló felhasználása, profilozása vagy újracélzása tilos;

    1. alapértelmezetten tiltott a modellek betanítása személyes adatokkal;

    1. az adatok megőrzési ideje a 1. melléklet szerint; a megőrzési idők leteltét követően az adatok törlendők vagy visszaadandók;

    1. az Adatfeldolgozó köteles az Adatkezelő további ésszerű, írásbeli utasításainak eleget tenni, ideértve az adatkör‑, régió‑ és naplózási beállításokat.

Ha az Adatfeldolgozó valamely utasítást jogellenesnek tart, erről az Adatkezelőt haladéktalanul írásban tájékoztatja és az utasítás végrehajtását felfüggeszti a tisztázásig.

5. Titoktartás

Az Adatfeldolgozó, annak munkavállalói és a bevont alvállalkozói a tudomásukra jutott személyes adatokat, üzleti és műszaki információkat bizalmasan kezelik. Az Adatfeldolgozó gondoskodik arról, hogy a személyes adatokhoz hozzáférő személyek megfelelő titoktartási kötelezettséget vállaljanak és megfelelő adatvédelmi képzésben részesüljenek.

6. Biztonság – technikai és szervezési intézkedések

Az Adatfeldolgozó a kockázatokkal arányos, naprakész technikai és szervezési intézkedéseket (TOM‑ok) alkalmaz, ideértve különösen: titkosítás (átviteli és nyugalmi állapotban), hozzáférés‑kezelés és többtényezős hitelesítés, naplózás és monitorozás, sérülékenységkezelés, biztonságos fejlesztési életciklus, mentések és helyreállítási eljárások, DDoS‑ és visszaélés‑védelmi kontrollok, beszállítói kockázatkezelés. A részletes TOM‑lista az 1. mellékletben található. Az Adatfeldolgozó a TOM‑okat folyamatosan felülvizsgálja és indokolt esetben frissíti.

7. További adatfeldolgozók (alvállalkozók) igénybevétele

Az Adatfeldolgozó csak az Adatkezelő előzetes általános felhatalmazásával vonhat be további adatfeldolgozót, amely felhatalmazás jelen megállapodással megadottnak tekintendő, feltéve hogy: (i) az alvállalkozó megfelel a GDPR‑nak és a jelen megállapodás szintjén vállal kötelezettségeket; (ii) az alvállalkozó kiléte és feladatai a 2. mellékletben szerepelnek és változás esetén az Adatfeldolgozó legalább [10] nappal korábban értesítést küld; (iii) az Adatkezelő jogosult a bevonást indokolt esetben megtiltani. Az Adatfeldolgozó az alvállalkozóért úgy felel, mintha saját maga járt volna el.

8. Az Adatkezelő segítése és együttműködés

Az Adatfeldolgozó az Adatkezelő rendelkezésére áll és indokolatlan késedelem nélkül segítséget nyújt különösen:

 

    • érintetti kérelmek (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás, automatizált döntéshozatal felülvizsgálata) teljesítésében; az Adatfeldolgozó a kérelmekről haladéktalanul, de legkésőbb 2 munkanapon belül értesíti az Adatkezelőt és a végrehajtásban közreműködik;

    • adatvédelmi incidensek észlelése, bejelentése és kezelése során (lásd 9. pont);

    • adatvédelmi hatásvizsgálat (DPIA) és előzetes hatósági konzultáció előkészítésében;

    • a feldolgozási tevékenységek nyilvántartásának vezetésében és a GDPR 30–36. cikke szerinti kötelezettségek teljesítésében.

Az Adatfeldolgozó nem válaszol az érintettnek az Adatkezelő előzetes írásbeli jóváhagyása nélkül, kivéve, ha az uniós vagy tagállami jog erre kötelezi.

9. Adatvédelmi incidensek

Az Adatfeldolgozó az adatvédelmi incidenst (különösen jogosulatlan hozzáférés, elvesztés, megsemmisülés, sérülés vagy nyilvánosságra hozatal) indokolatlan késedelem nélkül, de legkésőbb észszerűen 24–36 órán belül bejelenti az Adatkezelőnek, a rendelkezésére álló információkkal és a megtett/megteendő intézkedésekkel együtt. Az incidenskezelési folyamat részleteit a 3. melléklet tartalmazza.

10. Nemzetközi adattovábbítás

Személyes adatok az EGT‑n kívülre csak akkor továbbíthatók, ha fennáll a GDPR V. fejezete szerinti jogalap (pl. megfelelőségi határozat, naprakész standard szerződési klauzulák), és az Adatkezelő erről előzetesen írásban rendelkezett vagy jóváhagyást adott. Az Adatfeldolgozó vállalja a szükséges kiegészítő garanciák (pl. titkosítás, adatredukció, hozzáférés‑naplózás) alkalmazását. A konkrét átadások és jogalapok a 2. mellékletben kerülnek felsorolásra.

11. Ellenőrzés, audit és megfelelőség

Az Adatkezelő jogosult a jelen megállapodás betartását ésszerű időközönként ellenőrizni (helyszíni audit vagy dokumentumalapú vizsgálat). Az Adatfeldolgozó köteles együttműködni, hozzáférést adni a releváns információkhoz (pl. szabályzatok, naplók, tanúsítványok), és az észszerű kérdéseket megválaszolni. Az audit nem vezethet más ügyfelek adatainak feltárásához, és nem sértheti az Adatfeldolgozó információbiztonságát.

12. Adatok visszaszolgáltatása és törlése

A szolgáltatás megszűnésekor vagy az Adatkezelő rendelkezésére az Adatfeldolgozó visszaszolgáltatja az Adatkezelő által meghatározott formátumban az adatokat, majd ésszerű határidőn belül (alapértelmezetten legfeljebb 30 napvéglegesen törli a másolatokat, kivéve, ha kötelező jogi megőrzés áll fenn. A biztonsági mentésekben lévő példányok a rendszeres életciklusuk végén, legfeljebb 90 napon belül kerülnek felülírásra/törlésre.

13. Felelősség és jogérvényesítés

A felelősség és kártérítés szabályait a felek közötti [főszolgáltatási szerződés] tartalmazza. A jelen megállapodás nem korlátozza a GDPR szerinti érintetti jogokat és hatósági jogköröket.

14. Irányadó jog és jogvita

A jelen megállapodásra a magyar jog és közvetlenül alkalmazandó uniós jog (GDPR) irányadó. Jogvita esetén a felek elsődlegesen egyeztetnek; ennek eredménytelensége esetén [a Felek székhelye szerinti illetékes bíróság] rendelkezik hatáskörrel.

15. Vegyes rendelkezések

 

    • A jelen megállapodás a felek között létrejött teljes megállapodást képezi az adatfeldolgozás tárgyában; módosítása írásban lehetséges.

    • Értesítések: [adatvedelem@…] / [dpo@…] címekre, illetve a Felek által kijelölt kapcsolattartóknak.

    • Érvénytelenség esetén a többi rendelkezés hatályban marad.

Kelt: 2025.11.12.
Adatkezelő: Vezse Róbert e.v.
Adatfeldolgozó: OpenAI Ireland LTD.

1. melléklet – Tárgy, időtartam, jelleg, célok, megőrzés

Tárgy: MI‑funkciók működtetése a Honlapon az Adatkezelő megbízásából.
Időtartam: a szolgáltatás ideje + törlési határidők (lásd alább).
Jelleg: automatizált feldolgozás, ideértve az algoritmikus elemzést és válaszgenerálást; nagy nyelvi modellek API‑n keresztüli hívása; üzemeltetési naplózás.
Célok: lásd 2. pont.
Megőrzés:

 

    • alkalmazás‑naplók: [7–30] nap;

    • visszaélés‑/biztonsági naplók: [90] nap;

    • hibaelhárítási minták (pszeudonimizált): legfeljebb [30] nap;

    • support‑kommunikáció: jogi igényérvényesítésig, de legfeljebb [1] év;

    • model‑betanítási célú megőrzés: nem engedélyezett (kivéve külön írásos felhatalmazással).

2. melléklet – Személyes adatok és érintettek; további adatfeldolgozók

Adatkategóriák: lásd a 3. pontban.
Érintettek: Honlap‑felhasználók, ügyfelek és kapcsolattartók.
További adatfeldolgozók listája (minta – töltse ki az Adatkezelő):

Szerep Név Székhely/ország Feldolgozás tárgya Régió Átadási jogalap
MI‑modell API OpenAI  Egyesült Államok promptok feldolgozása válaszgenerálásra USA [SCC / megfelelőség]

Az Adatfeldolgozó a fenti listát naprakészen tartja és változásról előzetesen értesít.

3. melléklet – Incidenskezelési folyamat és értesítési határidők

 

    1. észlelés/azonosítás → osztályozás (súlyosság) → zárolás/enyhítés → forenzika és naplóelemzés → érintett adatkör és következmények felmérése → értesítés az Adatkezelőnek (24–36 órán belül) → közös helyreállítási terv → utólagos jelentés és megelőző intézkedések.

    1. értesítés tartalma: incidens jellege, érintettek és adatkategóriák, valószínű következmények, megtett javasolt intézkedések, kapcsolattartó.

    1. az Adatfeldolgozó nyilvántartást vezet minden incidensről.

4. melléklet – Technikai és szervezési intézkedések (TOM‑ok)

Hozzáférés‑kezelés: szerepköralapú jogosultság (RBAC), legkisebb jogosultság elve, kötelező MFA, SSO ahol elérhető, rendszeres jogosultság‑felülvizsgálat.
Titkosítás: TLS 1.2+ átvitelkor; nyugalmi titkosítás (pl. AES‑256); kulcskezelés dedikált KMS‑szel; titkos kulcsok biztonságos tárolása és rotációja.
Fejlesztés és üzemeltetés: biztonságos SDLC, kódfelülvizsgálat, dependency‑/sérülékenységvizsgálat, rendszeres patch‑menedzsment.
Naplózás és monitorozás: központosított naplógyűjtés, SIEM‑alapú riasztás, admin‑műveletek naplózása, napló‑integritás.
Biztonsági mentések és BC/DR: rendszeres mentések, titkosított tárolás, visszaállítási próba; cél‑RPO: [] óra, cél‑RTO: [] óra.
Hálózati védelem: tűzfalak, WAF, DDoS‑védelmi rétegek, hálózati szegmentáció.
Fizikai biztonság: adatközpontok iparági standardok szerint (pl. ISO 27001/SOC 2 – ha alkalmazható).
Adatredukció és pszeudonimizálás: csak szükséges adatok kezelése; ahol lehet, pszeudonimizálás/anonimizálás.
MI‑sajátosságok: prompt‑injection észlelés, kimenet‑szűrés (toxicitás/személyes adatok kiszivárgásának gátlása), prompt‑/kimenet‑naplózás kontrollált megőrzéssel, tesztelési és verifikációs eljárások; személyes adatokkal végzett model‑finomhangolás tiltása (kivéve külön engedéllyel).
Képzés és tudatosság: éves adatvédelmi és információbiztonsági tréning a hozzáférő dolgozóknak.
Beszállítói kockázat: alvállalkozók értékelése, szerződéses kötelezettségek, rendszeres felülvizsgálat.

5. melléklet – Adatkezelő részletes utasításai (minta)

 

    1. feldolgozási régió: EU/EEA elsődlegesen;
    2. naplómegőrzés: alkalmazás 30 nap; biztonsági naplók 90 nap;
    3. adatkategóriák: kizárólag a 3. pontban felsoroltak; különleges adatok kiszűrése;
    4. kimenetek: a rendszer semmilyen döntést önmagában nem hoz joghatással vagy jelentős hasonló hatással; mindig van emberi felülvizsgálat;
    5. model‑betanítás: tiltott, kivéve, ha külön írásban engedélyezett;
    6. érintetti kérelmek továbbítása az Adatkezelőnek beérkezéstől számított 2 munkanapon belül;
    7. export és törlés: az Adatkezelő kérésére ésszerű időn belül, de legkésőbb 15 napon belül.

6. melléklet – Érintetti jogok támogatása (folyamat)

Beérkezés azonosítása → azonosítás/validáció → kiterjedés felmérése (rendszerek, naplók, alvállalkozók) → adatok összegyűjtése (strukturált, géppel olvasható formátum) → választervezet az Adatkezelőnek → végrehajtás (helyesbítés/törlés/korlátozás/hordozhatóság) → lezárás és naplózás.
Határidő: az Adatfeldolgozó támogatást nyújt, hogy az Adatkezelő a GDPR szerinti 1 hónapos határidőn belül válaszolni tudjon; bonyolult kérelmeknél az Adatkezelővel egyeztetett indokolt hosszabbítás alkalmazható.