(GDPR Article 28 Fully Compliant – Enterprise Version)
Hatályos: 2026. március 1.
Ez az Adatfeldolgozói Megállapodás („DPA”) a SmartCar Master Subscription Agreement („MSA”) elválaszthatatlan melléklete.
Jelen DPA az Európai Parlament és a Tanács (EU) 2016/679 rendeletének („GDPR”) 28. cikke alapján jön létre.
Az Előfizető: Adatkezelő
A Szolgáltató: Adatfeldolgozó
A Felek rögzítik, hogy az adatkezelés célját és eszközeit kizárólag az Adatkezelő határozza meg.
Az adatfeldolgozás tárgya a SmartCar rendszerben rögzített személyes adatok kezelése.
Az adatfeldolgozás az MSA hatályának időtartamáig tart, valamint a megszűnést követő 30 napos export időszak végéig.
Az adatfeldolgozás célja kizárólag:
felhőalapú adattárolás
adatmegjelenítés
strukturált feldolgozás
rendszeres mentés
jogosultság alapú hozzáférés biztosítása
Az adatfeldolgozás célja továbbá a SmartCar rendszerben elérhető AI alapú és automatizált funkciók működtetése, amennyiben az Előfizető ilyen funkciókat használ. Ilyen funkciók lehetnek különösen:
Az AI alapú adatfeldolgozás kizárólag az Előfizető utasítása, a rendszerben végzett felhasználói művelet vagy az Előfizető által engedélyezett funkció használata alapján történik. Az Adatfeldolgozó az ilyen adatokat saját önálló adatkezelési célra nem használja fel.
Az Adatfeldolgozó az adatokat saját üzleti célra nem használja.
az Adatkezelő ügyfelei
járműtulajdonosok
az Adatkezelő munkavállalói
név
telefonszám
e-mail cím
lakcím
járműazonosítók
javítási adatok
számlázási adatok
Az AI alapú és automatizált funkciók használata esetén kezelt adatok lehetnek továbbá:
Az Adatkezelő köteles:
megfelelő jogalapot biztosítani
érintetti tájékoztatást nyújtani
adatminimalizálás elvét betartani
jogellenes adatot nem rögzíteni
adatvédelmi hatásvizsgálatot lefolytatni, ha szükséges
Az Adatfeldolgozó nem vizsgálja a jogalap fennállását.
Az Adatfeldolgozó:
kizárólag dokumentált utasítás alapján jár el
biztosítja a titoktartást
megfelelő biztonsági intézkedéseket alkalmaz
nem használja az adatokat saját marketing célra
nem továbbít adatot engedély nélkül
Az Adatfeldolgozó az alábbi kontrollokat alkalmazza:
role-based access control
egyedi felhasználói azonosítás
jelszóhash-elés
adminisztrátori naplózás
TLS titkosított kommunikáció
tűzfalas védelem
szerveroldali hozzáférés korlátozás
rendszeres biztonsági mentés
mentések elkülönített tárolása
monitoring
redundáns infrastruktúra (amennyiben alkalmazandó)
Az Adatfeldolgozó jogosult infrastruktúra- és tárhelyszolgáltató igénybevételére.
Az alvállalkozó köteles:
GDPR-kompatibilis működésre
megfelelő biztonsági intézkedésekre
Az Adatfeldolgozó teljes felelősséggel tartozik az alvállalkozó tevékenységéért.
A SmartCar rendszer AI funkciói kétféle működési módban lehetnek elérhetők:
a) SmartCar által biztosított AI szolgáltatásként, amely esetben az AI funkciók a Szolgáltató által biztosított külső AI API-kapcsolaton keresztül működnek;
b) az Előfizető által megadott saját AI API-kulccsal, amely esetben az Előfizető saját OpenAI API-, Gemini API- vagy más támogatott AI szolgáltatói hozzáférést állít be a rendszerben.
Amennyiben az AI funkciók a SmartCar által biztosított AI szolgáltatáson keresztül működnek, a Szolgáltató jogosult külső AI, OCR, képfeldolgozási vagy kapcsolódó infrastruktúra-szolgáltatót al-adatfeldolgozóként igénybe venni.
Az ilyen al-adatfeldolgozó kizárólag az adott AI művelet végrehajtásához szükséges adatokat kezelheti. A Szolgáltató törekszik arra, hogy az AI szolgáltató felé csak az adott funkció működéséhez szükséges, adattakarékos adatkör kerüljön továbbításra.
A Szolgáltató nem használja fel az Előfizető által a rendszerben kezelt személyes adatokat saját AI modelljeinek önálló, üzleti célú betanítására.
Amennyiben az Előfizető saját OpenAI API-, Gemini API- vagy más támogatott AI API-kulcsot állít be a SmartCar rendszerben, a külső AI szolgáltatót az Előfizető választja ki.
Ebben az esetben a Szolgáltató az Előfizető utasítása alapján, technikai közvetítőként továbbítja az adott AI művelethez szükséges adatokat az Előfizető által megadott szolgáltatói hozzáférésen keresztül.
Saját API-kulcs használata esetén az Előfizető felelős különösen:
Gemini API vagy más külső AI szolgáltató saját API-kulccsal történő használata esetén az Előfizető köteles meggyőződni arról, hogy az általa használt szolgáltatói konstrukció alkalmas-e személyes, bizalmas vagy ügyféladatok feldolgozására.
Az Előfizető nem használhat olyan külső AI szolgáltatói konstrukciót vagy API hozzáférést, amelynek feltételei kizárják vagy korlátozzák személyes, bizalmas vagy üzleti adatok beküldését, amennyiben az adott AI művelet ilyen adatokat tartalmaz.
A Szolgáltató a saját API-kulcs használatához szükséges technikai beállításokat biztosítja. Az Előfizető által megadott API-kulcs bizalmas információnak minősül.
A Szolgáltató köteles az API-kulcsot technikailag védetten kezelni, azt harmadik személy részére nem adhatja át, és kizárólag az Előfizető által kezdeményezett vagy engedélyezett AI műveletek végrehajtásához használhatja.
Az Előfizető köteles gondoskodni arról, hogy saját API-kulcsához csak megfelelő jogosultsággal rendelkező személyek férjenek hozzá, és az API-kulcs kompromittálódása esetén haladéktalanul intézkedjen annak visszavonásáról vagy cseréjéről.
Amennyiben az AI szolgáltató vagy annak infrastruktúrája harmadik országban található, az adattovábbításra kizárólag a GDPR szerinti megfelelő garanciák mellett kerülhet sor.
SmartCar által biztosított AI szolgáltatás esetén az ilyen garanciák biztosítása a Szolgáltató feladata az al-adatfeldolgozói jogviszony keretei között.
Saját API-kulcs használata esetén az Előfizető felelős annak ellenőrzéséért, hogy az általa választott AI szolgáltatóval fennálló jogviszonyban a megfelelő adattovábbítási garanciák rendelkezésre állnak-e.
Személyes adat harmadik országba kizárólag:
megfelelőségi határozat, vagy
standard szerződéses klauzula alapján
továbbítható.
Az Adatfeldolgozó az incidens tudomására jutásától számított indokolatlan késedelem nélkül, de legkésőbb 72 órán belül értesíti az Adatkezelőt.
incidens jellege
érintett adatok köre
kockázatelemzés
megtett intézkedések
Az Adatfeldolgozó:
támogatja az adathozzáférési kérelmek teljesítését
technikailag biztosítja az adattörlést
lehetővé teszi az adatexportot
Az Adatfeldolgozó köteles együttműködni:
NAIH vizsgálat esetén
hatósági megkeresés esetén
Az MSA megszűnését követően:
30 nap export
ezt követően végleges törlés
mentések felülírása a ciklus szerint
Az Adatfeldolgozó felelőssége az MSA szerinti felelősségi plafonhoz kötött.
Az Adatkezelő köteles megtéríteni azokat a bírságokat, amelyek az ő jogellenes adatkezeléséből erednek.
Közös jogsértés esetén a felelősség a GDPR 82. cikk szerint oszlik meg.
Az Adatkezelő jogosult évente egyszer auditot kezdeményezni a DPA szerinti megfelelőség vizsgálatára az MSA auditklauzulájának megfelelően.
Jelen DPA az MSA megszűnésével automatikusan megszűnik.
A DPA-ra a magyar jog az irányadó.
Eltérés esetén az MSA rendelkezései irányadók, kivéve adatvédelmi kérdésekben.
