Kapcsolat
Kövessen minket:
Lépj a jövőbe
Close

Adatfeldolgozói Megállapodás („DPA”)

 

SMARTCAR

DATA PROCESSING AGREEMENT

(GDPR Article 28 Fully Compliant – Enterprise Version)

Hatályos: 2026. március 1.

Ez az Adatfeldolgozói Megállapodás („DPA”) a SmartCar Master Subscription Agreement („MSA”) elválaszthatatlan melléklete.


I. ÉRTELMEZŐ RENDELKEZÉSEK

1.1. Jogszabályi háttér

Jelen DPA az Európai Parlament és a Tanács (EU) 2016/679 rendeletének („GDPR”) 28. cikke alapján jön létre.

1.2. Szerepkörök

  • Az Előfizető: Adatkezelő

  • A Szolgáltató: Adatfeldolgozó

A Felek rögzítik, hogy az adatkezelés célját és eszközeit kizárólag az Adatkezelő határozza meg.


II. AZ ADATFELDOLGOZÁS TÁRGYA ÉS IDŐTARTAMA

2.1. Tárgy

Az adatfeldolgozás tárgya a SmartCar rendszerben rögzített személyes adatok kezelése.

2.2. Időtartam

Az adatfeldolgozás az MSA hatályának időtartamáig tart, valamint a megszűnést követő 30 napos export időszak végéig.


III. AZ ADATFELDOLGOZÁS JELLEGE ÉS CÉLJA

Az adatfeldolgozás célja kizárólag:

  • felhőalapú adattárolás

  • adatmegjelenítés

  • strukturált feldolgozás

  • rendszeres mentés

  • jogosultság alapú hozzáférés biztosítása

Az adatfeldolgozás célja továbbá a SmartCar rendszerben elérhető AI alapú és automatizált funkciók működtetése, amennyiben az Előfizető ilyen funkciókat használ. Ilyen funkciók lehetnek különösen:

  • forgalmi engedélyből történő adatfelismerés és adatelőtöltés,
    járműadatok automatikus strukturálása,
  • sérülésfotók vagy egyéb képek gépi elemzése,
  • munkalapokhoz, javítási leírásokhoz vagy ügyfélkommunikációhoz kapcsolódó szöveges AI támogatás,
    adminisztratív döntéstámogatás.

Az AI alapú adatfeldolgozás kizárólag az Előfizető utasítása, a rendszerben végzett felhasználói művelet vagy az Előfizető által engedélyezett funkció használata alapján történik. Az Adatfeldolgozó az ilyen adatokat saját önálló adatkezelési célra nem használja fel.

Az Adatfeldolgozó az adatokat saját üzleti célra nem használja.


IV. ÉRINTETTI KATEGÓRIÁK ÉS ADATTÍPUSOK

4.1. Érintettek

  • az Adatkezelő ügyfelei

  • járműtulajdonosok

  • az Adatkezelő munkavállalói

4.2. Kezelt adatok

  • név

  • telefonszám

  • e-mail cím

  • lakcím

  • járműazonosítók

  • javítási adatok

  • számlázási adatok

Az AI alapú és automatizált funkciók használata esetén kezelt adatok lehetnek továbbá:

  • feltöltött forgalmi engedély képe vagy PDF dokumentuma,
  • forgalmi engedélyből kinyert adatok,
  • rendszám,
  • alvázszám,
  • motorszám,
  • jármű gyártmánya, típusa, évjárata,
  • műszaki érvényesség,
  • hengerűrtartalom,
  • teljesítmény,
  • üzemanyag típusa,
  • váltó típusa,
  • tulajdonosi vagy üzembentartói adatok, amennyiben ezek a feltöltött dokumentumban szerepelnek,
  • sérülésfotók vagy egyéb járműhöz kapcsolódó képek,
  • AI képfeldolgozás során keletkező leírások,
  • munkalapok, javítási leírások, ajánlatok vagy ügyfélkommunikáció AI feldolgozáshoz továbbított részletei,
  • AI promptok, rendszerüzenetek és AI válaszok, amennyiben azok személyes adatot tartalmaznak.

V. AZ ADATKEZELŐ KÖTELEZETTSÉGEI

Az Adatkezelő köteles:

  1. megfelelő jogalapot biztosítani

  2. érintetti tájékoztatást nyújtani

  3. adatminimalizálás elvét betartani

  4. jogellenes adatot nem rögzíteni

  5. adatvédelmi hatásvizsgálatot lefolytatni, ha szükséges

Az Adatfeldolgozó nem vizsgálja a jogalap fennállását.


VI. AZ ADATFELDOLGOZÓ KÖTELEZETTSÉGEI

Az Adatfeldolgozó:

  1. kizárólag dokumentált utasítás alapján jár el

  2. biztosítja a titoktartást

  3. megfelelő biztonsági intézkedéseket alkalmaz

  4. nem használja az adatokat saját marketing célra

  5. nem továbbít adatot engedély nélkül


VII. TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSEK

Az Adatfeldolgozó az alábbi kontrollokat alkalmazza:

7.1. Hozzáférés-kezelés

  • role-based access control

  • egyedi felhasználói azonosítás

  • jelszóhash-elés

  • adminisztrátori naplózás

7.2. Adatbiztonság

  • TLS titkosított kommunikáció

  • tűzfalas védelem

  • szerveroldali hozzáférés korlátozás

7.3. Mentés

  • rendszeres biztonsági mentés

  • mentések elkülönített tárolása

7.4. Integritás és rendelkezésre állás

  • monitoring

  • redundáns infrastruktúra (amennyiben alkalmazandó)


VIII. ALVÁLLALKOZÓK

8.1. Igénybevétel

Az Adatfeldolgozó jogosult infrastruktúra- és tárhelyszolgáltató igénybevételére.

8.2. Garanciák

Az alvállalkozó köteles:

  • GDPR-kompatibilis működésre

  • megfelelő biztonsági intézkedésekre

8.3. Felelősség

Az Adatfeldolgozó teljes felelősséggel tartozik az alvállalkozó tevékenységéért.

 

VIII/A. AI SZOLGÁLTATÓK ÉS SAJÁT API-KULCS HASZNÁLATA

8/A.1. AI szolgáltatási módok

A SmartCar rendszer AI funkciói kétféle működési módban lehetnek elérhetők:

a) SmartCar által biztosított AI szolgáltatásként, amely esetben az AI funkciók a Szolgáltató által biztosított külső AI API-kapcsolaton keresztül működnek;

b) az Előfizető által megadott saját AI API-kulccsal, amely esetben az Előfizető saját OpenAI API-, Gemini API- vagy más támogatott AI szolgáltatói hozzáférést állít be a rendszerben.

8/A.2. SmartCar által biztosított AI szolgáltatás

Amennyiben az AI funkciók a SmartCar által biztosított AI szolgáltatáson keresztül működnek, a Szolgáltató jogosult külső AI, OCR, képfeldolgozási vagy kapcsolódó infrastruktúra-szolgáltatót al-adatfeldolgozóként igénybe venni.

Az ilyen al-adatfeldolgozó kizárólag az adott AI művelet végrehajtásához szükséges adatokat kezelheti. A Szolgáltató törekszik arra, hogy az AI szolgáltató felé csak az adott funkció működéséhez szükséges, adattakarékos adatkör kerüljön továbbításra.

A Szolgáltató nem használja fel az Előfizető által a rendszerben kezelt személyes adatokat saját AI modelljeinek önálló, üzleti célú betanítására.

8/A.3. Előfizető által megadott saját AI API-kulcs

Amennyiben az Előfizető saját OpenAI API-, Gemini API- vagy más támogatott AI API-kulcsot állít be a SmartCar rendszerben, a külső AI szolgáltatót az Előfizető választja ki.

Ebben az esetben a Szolgáltató az Előfizető utasítása alapján, technikai közvetítőként továbbítja az adott AI művelethez szükséges adatokat az Előfizető által megadott szolgáltatói hozzáférésen keresztül.

Saját API-kulcs használata esetén az Előfizető felelős különösen:

  • az adott AI szolgáltató kiválasztásáért,
  • az AI szolgáltatóval fennálló szerződéses jogviszonyért,
  • az API-kulcs jogszerű használatáért,
  • az API-kulcshoz kapcsolódó díjakért, kvótákért és limitekért,
  • az AI szolgáltató adatkezelési, adatfeldolgozási és adattovábbítási feltételeinek ellenőrzéséért,
  • annak biztosításáért, hogy az adott AI szolgáltató használata megfeleljen az Előfizető saját adatkezelési kötelezettségeinek.

8/A.4. Gemini API és más külső AI szolgáltatók használata

Gemini API vagy más külső AI szolgáltató saját API-kulccsal történő használata esetén az Előfizető köteles meggyőződni arról, hogy az általa használt szolgáltatói konstrukció alkalmas-e személyes, bizalmas vagy ügyféladatok feldolgozására.

Az Előfizető nem használhat olyan külső AI szolgáltatói konstrukciót vagy API hozzáférést, amelynek feltételei kizárják vagy korlátozzák személyes, bizalmas vagy üzleti adatok beküldését, amennyiben az adott AI művelet ilyen adatokat tartalmaz.

8/A.5. API-kulcsok kezelése

A Szolgáltató a saját API-kulcs használatához szükséges technikai beállításokat biztosítja. Az Előfizető által megadott API-kulcs bizalmas információnak minősül.

A Szolgáltató köteles az API-kulcsot technikailag védetten kezelni, azt harmadik személy részére nem adhatja át, és kizárólag az Előfizető által kezdeményezett vagy engedélyezett AI műveletek végrehajtásához használhatja.

Az Előfizető köteles gondoskodni arról, hogy saját API-kulcsához csak megfelelő jogosultsággal rendelkező személyek férjenek hozzá, és az API-kulcs kompromittálódása esetén haladéktalanul intézkedjen annak visszavonásáról vagy cseréjéről.

8/A.6. Harmadik országbeli adattovábbítás AI szolgáltatók esetén

Amennyiben az AI szolgáltató vagy annak infrastruktúrája harmadik országban található, az adattovábbításra kizárólag a GDPR szerinti megfelelő garanciák mellett kerülhet sor.

SmartCar által biztosított AI szolgáltatás esetén az ilyen garanciák biztosítása a Szolgáltató feladata az al-adatfeldolgozói jogviszony keretei között.

Saját API-kulcs használata esetén az Előfizető felelős annak ellenőrzéséért, hogy az általa választott AI szolgáltatóval fennálló jogviszonyban a megfelelő adattovábbítási garanciák rendelkezésre állnak-e.


IX. ADATTOVÁBBÍTÁS HARMADIK ORSZÁGBA

Személyes adat harmadik országba kizárólag:

  • megfelelőségi határozat, vagy

  • standard szerződéses klauzula alapján

továbbítható.


X. ADATVÉDELMI INCIDENS

10.1. Értesítési kötelezettség

Az Adatfeldolgozó az incidens tudomására jutásától számított indokolatlan késedelem nélkül, de legkésőbb 72 órán belül értesíti az Adatkezelőt.

10.2. Értesítés tartalma

  • incidens jellege

  • érintett adatok köre

  • kockázatelemzés

  • megtett intézkedések


XI. ÉRINTETTI JOGOK TÁMOGATÁSA

Az Adatfeldolgozó:

  • támogatja az adathozzáférési kérelmek teljesítését

  • technikailag biztosítja az adattörlést

  • lehetővé teszi az adatexportot


XII. HATÓSÁGI EGYÜTTMŰKÖDÉS

Az Adatfeldolgozó köteles együttműködni:

  • NAIH vizsgálat esetén

  • hatósági megkeresés esetén


XIII. ADATVISSZAADÁS ÉS TÖRLÉS

Az MSA megszűnését követően:

  1. 30 nap export

  2. ezt követően végleges törlés

  3. mentések felülírása a ciklus szerint


XIV. FELELŐSSÉG ÉS BÍRSÁGOK

  1. Az Adatfeldolgozó felelőssége az MSA szerinti felelősségi plafonhoz kötött.

  2. Az Adatkezelő köteles megtéríteni azokat a bírságokat, amelyek az ő jogellenes adatkezeléséből erednek.

  3. Közös jogsértés esetén a felelősség a GDPR 82. cikk szerint oszlik meg.


XV. AUDIT ÉS ELLENŐRZÉS

Az Adatkezelő jogosult évente egyszer auditot kezdeményezni a DPA szerinti megfelelőség vizsgálatára az MSA auditklauzulájának megfelelően.


XVI. ZÁRÓ RENDELKEZÉSEK

  1. Jelen DPA az MSA megszűnésével automatikusan megszűnik.

  2. A DPA-ra a magyar jog az irányadó.

  3. Eltérés esetén az MSA rendelkezései irányadók, kivéve adatvédelmi kérdésekben.