Adatfeldolgozási szerződés (DPA)

Figyelmeztetés — jogi tervezet

Jelen dokumentum tervezet, amelyet a végleges, kötelező érvényű közzététel előtt magyar ügyvéddel és adatvédelmi szakértővel kell véglegesíttetni. A szögletes zárójeles [...] jelölések kitöltendő helyek. A dokumentum a rendszer tényleges működése alapján készült, és teljes körű, de a végleges felelősségvállaláshoz szakmai felülvizsgálat szükséges.

Hatályos verzió: 2026-06-12

Jelen Adatfeldolgozási szerződés (a továbbiakban: DPA) a Dynex Kft. (mint Adatfeldolgozó) és a Platformot előfizetőként igénybe vevő vállalkozás (mint Adatkezelő) között jön létre, az Általános Szerződési Feltételek (ÁSZF) elválaszthatatlan mellékleteként, az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 28. cikkének megfelelően. A DPA a Szolgáltatás megrendelésével és az ÁSZF elfogadásával lép hatályba.

1. A felek és szerepük

  1. 1.1.Adatkezelő: az Előfizető (étterem / vendéglátó vállalkozás), aki a saját vendégei, ügyfelei és egyéb érintettjei vonatkozásában meghatározza a személyes adatok kezelésének céljait és eszközeit.
  1. 1.2.Adatfeldolgozó:
  • Cégnév: Dynex Kft.
  • Székhely: 1238 Budapest, Hősök tere 37.
  • Cégjegyzékszám: 01-09-439155
  • Adószám: 32722510-2-43
  • Képviselő (ügyvezető): Sereg László
  • Központi e-mail: info@dynex.hu
  • Adatvédelmi kapcsolattartás: privacy@dynex.hu
  • Ügyfélszolgálati telefon: +36 70 547 6527
  • Weboldal: https://dynex.hu
  1. 1.3.Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő nevében, annak dokumentált utasításai szerint kezeli, a jelen DPA-ban és az ÁSZF-ben foglaltak szerint.
  1. 1.4.A jelen DPA és az ÁSZF közötti ellentmondás esetén — az adatkezelést érintő kérdésekben — a DPA rendelkezései az irányadók.

2. Az adatfeldolgozás tárgya, időtartama, jellege és célja (GDPR 28. cikk (3))

  1. 2.1.Tárgya: a Dynex Platform (SaaS) nyújtása az Adatkezelő részére, és ennek keretében a személyes adatok az Adatkezelő nevében történő kezelése.
  1. 2.2.Időtartama: a felek közötti előfizetői szerződés (ÁSZF) időtartama, azaz a határozott, hat (6) hónapos alapidőtartam és annak esetleges megújulásai, kiegészülve a Szerződés megszűnését követő, a 11. pont szerinti törlési/visszaadási időszakkal.
  1. 2.3.Jellege: automatizált és nem automatizált adatkezelési műveletek, így különösen gyűjtés, rögzítés, rendszerezés, tárolás, megjelenítés, felhasználás, továbbítás (al-adatfeldolgozók felé), összekapcsolás, korlátozás és törlés.
  1. 2.4.Célja: kizárólag a Szolgáltatás nyújtása, azaz a Platform funkcióinak (kommunikáció, foglalás, hűségprogram, marketing, elemzés, AI-funkciók, számlázás stb.) az Adatkezelő számára történő biztosítása.

3. Az érintettek kategóriái

  1. 3.1.Az Adatkezelő által a Platformon kezelt érintettek jellemzően az alábbi kategóriákba tartoznak:
  • az Adatkezelő vendégei és ügyfelei;
  • hűségprogram-tagok;
  • asztalfoglalást kezdeményező személyek;
  • hírlevélre / marketingkommunikációra feliratkozók;
  • közösségimédia- és üzenetküldő csatornákon az Adatkezelővel kapcsolatba lépő személyek;
  • az Adatkezelő munkavállalói és a Platformot használó felhasználói.

4. A kezelt személyes adatok kategóriái

  1. 4.1.Az Adatfeldolgozó által az Adatkezelő nevében kezelt személyes adatok jellemzően az alábbi kategóriákba tartoznak:
  • azonosító- és kapcsolattartási adatok: név, e-mail cím, telefonszám;
  • foglalási adatok: időpont, létszám, asztal, megjegyzés;
  • hűségprogram-adatok: pontegyenleg, szint, vásárlási/fogyasztási előzmény;
  • kommunikációs adatok: üzenetek és azok tartalma (közösségi média, chat, e-mail), valamint hangadatok (telefonos hangasszisztens);
  • marketing-adatok: feliratkozási állapot, megnyitási/kattintási statisztikák;
  • technikai azonosítók: pl. közösségimédia-fiók azonosítója, eszköz- és használati adatok;
  • az Adatkezelő által önként a Platformra feltöltött egyéb adatok.
  1. 4.2.Az Adatkezelő felelős azért, hogy különleges kategóriájú személyes adatot (GDPR 9. cikk) csak megfelelő jogalappal és a szükséges garanciák mellett vigyen a rendszerbe. Az Adatfeldolgozó a Platformot nem ilyen adatok rendszeres kezelésére tervezte.

5. Az Adatkezelő utasításai és kötelezettségei

  1. 5.1.Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli. A jelen DPA, az ÁSZF, valamint az Adatkezelő által a Platform funkcióinak használatával adott konfigurációk és beállítások az Adatkezelő dokumentált utasításainak minősülnek.
  1. 5.2.Amennyiben uniós vagy tagállami jog az Adatfeldolgozót a fentiektől eltérő adatkezelésre kötelezi, az Adatfeldolgozó — ha a jog ezt nem tiltja — az adatkezelést megelőzően erről tájékoztatja az Adatkezelőt.
  1. 5.3.Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy annak valamely utasítása sérti a GDPR-t vagy más adatvédelmi rendelkezést.
  1. 5.4.Az Adatkezelő szavatolja, hogy az adatkezelésnek megfelelő jogalapja van, az érintetteket megfelelően tájékoztatta, és az Adatfeldolgozónak adott utasításai jogszerűek.

6. Az Adatfeldolgozó kötelezettségei (GDPR 28. cikk (3))

  1. 6.1.Az Adatfeldolgozó:
  1. 1.a személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli, ideértve az EGT-n kívülre történő adattovábbítást is, kivéve, ha uniós vagy tagállami jog az eltérésre kötelezi;
  2. 2.biztosítja, hogy a személyes adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaljanak, vagy megfelelő jogszabályon alapuló titoktartási kötelezettség alatt álljanak;
  3. 3.megteszi a 7. pont szerinti technikai és szervezési intézkedéseket (GDPR 32. cikk);
  4. 4.tiszteletben tartja az al-adatfeldolgozók igénybevételére vonatkozó, a 8. pont szerinti feltételeket;
  5. 5.az adatkezelés jellegét figyelembe véve megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt az érintetti jogok gyakorlásával kapcsolatos kötelezettségei teljesítésében (GDPR III. fejezet);
  6. 6.segíti az Adatkezelőt a GDPR 32–36. cikke szerinti kötelezettségek teljesítésében (adatbiztonság, adatvédelmi incidens kezelése és bejelentése, adatvédelmi hatásvizsgálat, előzetes konzultáció), figyelembe véve az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat;
  7. 7.a Szerződés megszűnésekor a 11. pont szerint jár el az adatok visszaadása vagy törlése tekintetében;
  8. 8.az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikk szerinti kötelezettségek teljesítésének igazolásához szükséges, és lehetővé teszi, illetve elősegíti a 10. pont szerinti auditokat.

7. Adatbiztonság — technikai és szervezési intézkedések (GDPR 32. cikk)

  1. 7.1.Az Adatfeldolgozó a tudomány és technológia állását, a megvalósítás költségeit, valamint az adatkezelés jellegét és kockázatait figyelembe véve megfelelő technikai és szervezési intézkedéseket (TOM) alkalmaz, így különösen:
  • titkosított adattovábbítás (TLS) a Platform és a felhasználók, valamint a Platform és az al-adatfeldolgozók között;
  • a tárolt érzékeny hitelesítő adatok (pl. integrációs API-kulcsok, hozzáférési tokenek) titkosított tárolása;
  • szerepkör-alapú hozzáférés-kezelés (RBAC), a legkisebb jogosultság elve, valamint testreszabható, menüpont- és műveletszintű jogosultságkezelés;
  • tenant-szintű (bérlőnkénti) logikai adatszeparáció, amely biztosítja, hogy az egyik Adatkezelő adataihoz másik Adatkezelő ne férjen hozzá;
  • naplózás, auditnapló (GDPR-szempontú eseménynapló) és monitorozás;
  • rendszeres biztonsági mentés és helyreállíthatóság;
  • a hozzáférési jogosultságok rendszeres felülvizsgálata.
  1. 7.2.Az intézkedések részletes és naprakész listáját (TOM-melléklet) az Adatfeldolgozó kérésre az Adatkezelő rendelkezésére bocsátja. [A TOM-melléklet részletes kidolgozása és karbantartása szükséges.]

8. Al-adatfeldolgozók

  1. 8.1.Az Adatkezelő a jelen DPA elfogadásával ÁLTALÁNOS írásbeli felhatalmazást ad az Adatfeldolgozónak az al-adatfeldolgozók igénybevételére, a jelen pontban foglalt feltételekkel.
  1. 8.2.Az aktuális al-adatfeldolgozók listáját (a szolgáltató neve, az adatfeldolgozás célja, a tárolás helye és az EGT-n kívüli továbbítás jelölése) az Al-adatfeldolgozók oldal tartalmazza. A felek a fiók létrejöttekor hatályos listát az Adatkezelő jogi pillanatképében (snapshot) is rögzítik.
  1. 8.3.Az Adatfeldolgozó az al-adatfeldolgozók személyében bekövetkező tervezett változásokról (új vagy lecserélt al-adatfeldolgozó) előzetesen, ésszerű határidővel értesíti az Adatkezelőt. Az Adatkezelő a változással szemben indokolt esetben — adatvédelmi okból — kifogással élhet az értesítésben megjelölt határidőn belül.
  1. 8.4.Amennyiben az Adatkezelő megalapozott kifogást emel, és a felek nem találnak ésszerű megoldást, az Adatkezelő jogosult a Szerződést — az érintett funkció tekintetében vagy egészében — felmondani. A kifogás joga nem akadályozza az Adatfeldolgozót a Szolgáltatás működéséhez nélkülözhetetlen al-adatfeldolgozó igénybevételében, ahol erre nincs ésszerű alternatíva; ilyen esetben a 8.4. pont szerinti felmondás biztosítja az Adatkezelő érdekeinek védelmét.
  1. 8.5.Az Adatfeldolgozó az al-adatfeldolgozókra szerződéssel a jelen DPA-val lényegében azonos adatvédelmi kötelezettségeket hárít. Az al-adatfeldolgozó kötelezettségszegéséért az Adatfeldolgozó az Adatkezelővel szemben úgy felel, mintha a kötelezettséget maga szegte volna meg.

9. Adattovábbítás az EGT-n kívülre

  1. 9.1.Egyes al-adatfeldolgozók (pl. egyesült államokbeli székhelyű szolgáltatók) esetében adattovábbítás történhet az Európai Gazdasági Térségen (EGT) kívülre. Az EGT-n kívüli továbbítás jelölését az Al-adatfeldolgozók oldal tartalmazza.
  1. 9.2.Az ilyen adattovábbítás a GDPR V. fejezete szerinti megfelelő garanciák alapján történik, így különösen az Európai Bizottság megfelelőségi határozata (pl. EU–US Data Privacy Framework, ahol alkalmazandó), vagy az Európai Bizottság által elfogadott általános szerződési feltételek (Standard Contractual Clauses, SCC), szükség esetén kiegészítő intézkedésekkel.
  1. 9.3.[A konkrét garanciák al-adatfeldolgozónkénti megjelölése és dokumentálása ügyvédi/adatvédelmi véglegesítés tárgya.]

10. Audit és ellenőrzés

  1. 10.1.Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsátja a 28. cikknek való megfelelés igazolásához szükséges információkat, és — ésszerű előzetes értesítés mellett, az üzletmenet indokolatlan zavarása nélkül, a titoktartás és más Adatkezelők adatainak védelme mellett — lehetővé teszi és elősegíti az Adatkezelő vagy az általa megbízott független ellenőr által végzett auditokat, ideértve a helyszíni ellenőrzést is.
  1. 10.2.Az Adatfeldolgozó az auditkötelezettséget elsődlegesen az általa rendelkezésre bocsátott dokumentációval, tanúsítványokkal vagy összefoglalókkal is teljesítheti.

11. Az adatok törlése vagy visszaadása a szerződés végén

  1. 11.1.A Szerződés (a hat hónapos időtartam vagy annak megújulásai) megszűnését követően — az Adatkezelő választása szerint — az Adatfeldolgozó az összes személyes adatot visszaadja az Adatkezelőnek (export útján), vagy törli, és a meglévő másolatokat törli, kivéve, ha uniós vagy tagállami jog az adatok további tárolását írja elő.
  1. 11.2.Az export, illetve a törlés ésszerű határidejét — a Szerződés megszűnésétől számított [30] napot — a véglegesített szöveg rögzíti. E határidő lejártát követően az Adatfeldolgozó a személyes adatokat törli, illetve anonimizálja.
  1. 11.3.A biztonsági mentésekben esetlegesen fennmaradó adatokat az Adatfeldolgozó a mentési ciklusnak megfelelően, technikailag ésszerű időn belül törli.

12. Adatvédelmi incidens

  1. 12.1.Az Adatfeldolgozó az általa kezelt adatokat érintő adatvédelmi incidenst — annak tudomására jutását követően — indokolatlan késedelem nélkül bejelenti az Adatkezelőnek.
  1. 12.2.A bejelentés tartalmazza — amennyiben rendelkezésre áll — az incidens jellegét, az érintettek és az érintett adatok körét és hozzávetőleges számát, a valószínűsíthető következményeket, valamint a megtett vagy tervezett intézkedéseket.
  1. 12.3.Az Adatfeldolgozó az incidens kezelésében, valamint a hatóság (NAIH) és az érintettek felé történő — az Adatkezelőt terhelő — tájékoztatásban a szükséges mértékben közreműködik. A hatósági bejelentés (GDPR 33. cikk) és az érintettek tájékoztatása (34. cikk) az Adatkezelő kötelezettsége.

13. Felelősség és irányadó jog

  1. 13.1.A felek felelősségére az ÁSZF, a magyar jog, valamint a GDPR rendelkezései az irányadók.
  1. 13.2.A jelen DPA a Szerződés (ÁSZF) megszűnéséig, illetve — a természetüknél fogva fennmaradó rendelkezések tekintetében — az adatok törléséig vagy visszaadásáig marad hatályban.