Adatfeldolgozási Megállapodás

1. Fogalommeghatározások

A következő kifejezések az alábbiakban meghatározott jelentéssel bírnak:

• Személyes Adatok: Bármely információ egy azonosított vagy azonosítható természetes személyre vonatkozóan (szalon ügyfelek)
• Adatkezelés: Bármely személyes adatokon végzett művelet (gyűjtés, tárolás, továbbítás, törlés)
• Adatkezelő: A szalon - meghatározza az ügyfél-adatok kezelésének céljait és eszközeit
• Adatfeldolgozó: Primer (WISE PEOPLE SRL) - adatokat dolgoz fel a szalon nevében
• Érintett: A szalon ügyfelei, akiknek adatait kezelik
• Alvállalkozó: Harmadik felek, akiket a Primer bevon adatkezelésbe (Twilio, Meta stb.)
• GDPR: Általános Adatvédelmi Rendelet (EU) 2016/679
• SCC-k: Az Európai Bizottság által jóváhagyott Standard Szerződéses Kikötések
• Személyes Adatok Megsértése: Biztonsági incidens, amely személyes adatok jogosulatlan hozzáféréséhez, megsemmisítéséhez, elvesztéséhez vagy nyilvánosságra hozatalához vezet

2. Tárgy és Időtartam

Tárgy

Ez az Adatfeldolgozási Megállapodás szabályozza a személyes adatok Primer általi kezelését a Szalon nevében, WhatsApp Business üzenetküldési szolgáltatások nyújtása céljából a Primer platformon keresztül.

Időtartam

Ez az Adatfeldolgozási Megállapodás érvényben marad a szalon Primer WhatsApp üzenetküldési szolgáltatásaira való előfizetésének időtartama alatt. Adatmegőrzési kötelezettségek túlélik a megszűnést.

Adatkezelés Jellege

• Ügyfél telefonszámok és hozzájárulási nyilvántartások gyűjtése
• Üzenetek továbbítása WhatsApp Business API-n keresztül
• Üzenet-naplók és kézbesítési állapot tárolása
• Beleegyezési/leiratkozási kérelmek feldolgozása

3. Kezelt Személyes Adatok Típusai

4. Érintettek Kategóriái

• A Szalon ügyfelei, akik megadták telefonszámukat
• Ügyfelek, akik hozzájárultak WhatsApp üzenetek fogadásához
• Személyek, akik kapcsolatba lépnek a Szalon WhatsApp Business számával

5. Adatfeldolgozói Kötelezettségek (Primer Vállalásai)

A Primer:

5.1 Jogszerű Adatkezelés

• Személyes adatokat csak a Szalon dokumentált utasításai alapján kezel
• Adatokat csak az ebben az Adatfeldolgozási Megállapodásban meghatározott célokra kezeli
• Értesíti a Szalont, ha bármely utasítás sérti a GDPR-t

5.2 Titoktartás

• Biztosítja, hogy minden adatokat kezelő személyzet titoktartási kötelezettségekkel rendelkezik
• Személyes adatokhoz való hozzáférést azokra korlátozza, akiknek szükségük van rá a szolgáltatás nyújtásához

5.3 Biztonsági Intézkedések

• Adatok titkosítása átvitel közben (TLS 1.2+) és nyugalmi állapotban (AES-256)
• Hozzáférés-szabályozás és hitelesítés
• Rendszeres biztonsági tesztelés és auditok
• Biztonságos adatközpontok (Microsoft Azure, EU régió)
• Adathozzáférés naplózása és monitorozása
• Munkatársak biztonsági képzése

5.4 Alvállalkozó Menedzsment

• Szalon hozzájárulását szerezni új alvállalkozók bevonása előtt
• Biztosítani, hogy alvállalkozók egyenértékű adatvédelmi kötelezettségekkel rendelkezzenek
• Felelős maradni alvállalkozók megfeleléséért
• Fenntartani és biztosítani a jelenlegi alvállalkozók listáját

5.5 Érintetti Jogok Támogatása

• Segíteni a Szalont érintetti kérelmekre való válaszadásban (hozzáférés, helyesbítés, törlés, hordozhatóság)
• Adatexportálási funkciókat biztosítani
• Törlési kérelmeket 30 napon belül teljesíteni
• Értesíteni a Szalont érintettektől érkező közvetlen kérelmekről

5.6 Adatvédelmi Incidens Értesítés

• Értesíteni a Szalont 48 órán belül személyes adatok megsértésének tudomására jutása után
• Megadni az incidens részleteit, beleértve jellegét, érintett kategóriákat, valószínű következményeket és megtett intézkedéseket
• Segíteni a Szalont felügyeleti hatóságoknak való incidensértesítési kötelezettségeik teljesítésében

5.7 Adatvédelmi Hatásvizsgálatok

• Segíteni a Szalont adatvédelmi hatásvizsgálatokban, ahol szükséges
• Szükséges információkat biztosítani adatkezelési tevékenységekről

5.8 Audit Jogok

• Engedélyezni a Szalonnak az Adatfeldolgozási Megállapodásnak való megfelelés auditálását
• Releváns dokumentációt biztosítani kérésre
• Együttműködni felügyeleti hatóság ellenőrzéseivel

5.9 Adattörlés

• Megszűnéskor minden személyes adatot törölni vagy visszaadni 30 napon belül
• Írásos megerősítést adni a törlésről
• Kivétel: Törvény által előírt adatok megtartása (hozzájárulási nyilvántartások, pénzügyi nyilvántartások)

6. Adatkezelői Kötelezettségek (Szalon Felelősségek)

A Szalon:

6.1 Jogalap

• Biztosítani érvényes jogalapot az adatkezeléshez (hozzájárulás marketinghez, jogos érdek/szerződés tranzakcióshoz)
• Megfelelő hozzájárulást szerezni WhatsApp üzenetek küldése előtt
• Hozzájárulási nyilvántartásokat fenntartani

6.2 Adatok Pontossága

• Biztosítani, hogy a Primernek átadott ügyfél-adatok pontosak és naprakészek
• Haladéktalanul frissíteni vagy javítani pontatlan adatokat

6.3 Érintettek Tájékoztatása

• Tájékoztatni az ügyfeleket az adatkezelésről adatvédelmi értesítéseken keresztül
• Információt nyújtani jogaikról

6.4 Utasítások

• Jogszerű adatkezelési utasításokat adni
• Nem utasítani a Primert adatok jogellenes kezelésére

6.5 Megfelelés

• Megfelelni a GDPR-nek és vonatkozó helyi adatvédelmi jogszabályoknak
• Érintetti kérelmekre válaszolni jogi határidőkön belül
• Incidenseket jelenteni felügyeleti hatóságoknak, amikor szükséges

7. Alvállalkozók

Ennek az Adatfeldolgozási Megállapodásnak az aláírásával a Szalon felhatalmazza a Primert a következő alvállalkozók használatára:

7.1 Felhatalmazott Alvállalkozók

7.2 Új Alvállalkozók

• A Primer értesíti a Szalont legalább 30 nappal új alvállalkozók bevonása előtt
• A Szalon 14 napon belül megalapozott indokok alapján kifogásolhat
• Ha a kifogás nem oldható meg, a Szalon megszüntetheti a WhatsApp szolgáltatásokat

7.3 Alvállalkozó Megfelelés

• Minden alvállalkozó írásos megállapodásokkal rendelkezik egyenértékű védelemmel
• A Primer teljes mértékben felelős marad alvállalkozók megfeleléséért

8. Nemzetközi Adattovábbítások

8.1 Elsődleges Adat Helyszín

Személyes adatok elsősorban Európai Unió adatközpontokban tárolódnak (Microsoft Azure EU régiók).

8.2 EU/EGT-n kívüli Továbbítások

• Az Európai Bizottság által jóváhagyott Standard Szerződéses Kikötések (SCC-k)
• EU-US Adatvédelmi Keretrendszer tanúsítás (ahol alkalmazható)
• Kiegészítő technikai intézkedések (titkosítás, álnevesítés)

8.3 Továbbítási Hatásvizsgálatok

A Primer továbbítási hatásvizsgálatokat végzett minden nemzetközi továbbításra, és megállapította, hogy megfelelő védelem van érvényben.

9. Biztonsági Intézkedések

9.1 Technikai Intézkedések

• Titkosítás: TLS 1.2+ átvitelben, AES-256 nyugalmi állapotban
• Hozzáférés-szabályozás: Szerepalapú hozzáférés, többfaktoros hitelesítés
• Hálózati Biztonság: Tűzfalak, behatolásdetektálás, DDoS védelem
• Adat Elkülönítés: Szalon adatok logikai szeparálása
• Biztonsági mentés: Rendszeres titkosított biztonsági mentések tesztelt helyreállítási eljárásokkal

9.2 Szervezeti Intézkedések

• Biztonsági szabályzatok és eljárások
• Munkatársak háttér-ellenőrzése és titoktartási megállapodások
• Rendszeres biztonsági képzés
• Incidensreagálási eljárások
• Beszállító biztonsági értékelések

9.3 WhatsApp-specifikus Biztonság

• Végponttól-végpontig titkosítás, amit a WhatsApp biztosít
• Biztonságos API hitelesítés Twilio-val
• Üzenet tartalom nem tárolva a megőrzési időszakon túl
• Minden üzenet tevékenység audit naplózása

10. Érintetti Jogok

10.1 Támogatott Jogok

• Hozzáférési Jog: Ügyfél-adatok exportálása dashboardon keresztül
• Helyesbítési Jog: Ügyfél-információk frissítése
• Törlési Jog: Ügyfél-adatok és üzenet-előzmények törlése
• Korlátozási Jog: Üzenetküldés szüneteltetése adott ügyfelekhez
• Hordozhatósági Jog: Adatok exportálása géppel olvasható formátumban
• Tiltakozási Jog: Leiratkozási kérelmek feldolgozása

10.2 Válasz Határidő

• A Primer 5 munkanapon belül válaszol Szalon kérelmekre
• Ez lehetővé teszi a Szalonnak a 30 napos GDPR határidő betartását

10.3 Közvetlen Kérelmek

• Érintetteket átirányítani a releváns Szalonhoz
• Értesíteni a Szalont a kérelemről
• Nem válaszolni közvetlenül Szalon engedélye nélkül

11. Adatvédelmi Incidens Eljárások

11.1 Észlelés

• Jogosulatlan hozzáférési kísérletek
• Szokatlan adathozzáférési minták
• Rendszer behatolások
• Adat kiszivárgási kísérletek

11.2 Értesítés

• Kezdeti értesítés a Szalonnak 48 órán belül
• Részletes jelentés 72 órán belül, beleértve leírást, érintett adatkategóriákat, hozzávetőleges rekordszámot, valószínű következményeket és helyreállítási intézkedéseket

11.3 Együttműködés

• Együttműködni a Szalon incidens kivizsgálásával
• Segíteni felügyeleti hatóságoknak és érintetteknek szóló értesítésekben
• További biztosítékokat bevezetni, ahogy szükséges
• Incidens utáni jelentést biztosítani

12. Audit és Megfelelés

12.1 Dokumentáció

• Adatkezelési kategóriák
• Adattovábbítások
• Biztonsági intézkedések
• Alvállalkozói megállapodások

12.2 Audit Jogok

• Megfelelési dokumentációt kérni évente
• Távoli auditokat végezni 30 napos előzetes értesítéssel
• Helyszíni auditokat végezni 60 napos előzetes értesítéssel (Szalon költségére)
• Minősített harmadik fél auditorokat használni (titoktartással megkötve)

12.3 Tanúsítványok

A Primer kérésre biztosítja a releváns tanúsítványok és audit jelentések másolatait.

13. Felelősség és Kártalanítás

13.1 Primer Felelősség

• Megsérti a GDPR adatfeldolgozói kötelezettségeket
• Megsérti ezt az Adatfeldolgozási Megállapodást
• A Szalon jogszerű utasításain kívül vagy azokkal ellentétesen cselekszik

13.2 Szalon Felelősség

• Jogellenes adatkezelési utasítások
• Megfelelő hozzájárulás megszerzésének elmulasztása
• GDPR adatkezelői kötelezettségek megsértése
• Pontatlan adatok biztosítása

13.3 Korlátozás

Ennek az Adatfeldolgozási Megállapodásnak a teljes felelőssége a Szalon által WhatsApp szolgáltatásokért fizetett díjakra korlátozódik az igényt megelőző 12 hónapban, kivéve szándékos kötelességszegés, súlyos gondatlanság vagy érintettek vagy felügyeleti hatóságok által benyújtott igények esetén.

14. Időtartam és Megszűnés

14.1 Időtartam

Ez az Adatfeldolgozási Megállapodás akkor lép hatályba, amikor a Szalon engedélyezi a WhatsApp szolgáltatásokat, és addig tart, amíg a szolgáltatások meg nem szűnnek.

14.2 Megszűnési Hatások

• A Primer 24 órán belül leállítja az adatkezelést
• Adattörlés 30 napon belül
• Hozzájárulási nyilvántartások 5 évig megőrizve (jogi követelmény)
• Írásos megerősítés a törlésről

14.3 Túlélés

• Titoktartási kötelezettségek
• Adatmegőrzési követelmények
• Felelősségi rendelkezések
• Audit jogok (megszűnést követő 2 évig)

15. Általános Rendelkezések

15.1 Irányadó Jog

Ez az Adatfeldolgozási Megállapodás román jog és GDPR szabályozza. Viták Kolozsvár, Románia bíróságain kerülnek eldöntésre.

15.2 Módosítások

• Törvény vagy szabályozási útmutatás által megkövetelt frissítések
• Alvállalkozók hozzáadása (7.2. szakasz szerint)
• Biztonsági intézkedések frissítése (csak fejlesztések)

15.3 Ellentét

Ezen Adatfeldolgozási Megállapodás és a fő Szolgáltatási Feltételek közötti ellentét esetén ez az Adatfeldolgozási Megállapodás élvez elsőbbséget adatvédelmi kérdésekben.

15.4 Elválaszthatóság

Ha bármely rendelkezés érvénytelennek bizonyul, a fennmaradó rendelkezések továbbra is érvényben maradnak.

16. Kapcsolattartási Információk

Kérdések esetén erről a megállapodásról: