DVP SYSTEMS Jogi dokumentumok
Jogi dokumentum · GDPR 28. cikk

Adatfeldolgozói Megállapodás

DVP Systems Kft. mint Adatfeldolgozó · Az ÁSZF melléklete · 2026. január 1.

Preambulum

Jelen Adatfeldolgozói Megállapodás (a továbbiakban: Megállapodás) egyrészről a DVP Systems Korlátolt Felelősségű Társaság (rövidített név: DVP Systems Kft.; székhelye: 1141 Budapest, Szugló utca 125. G. ép. A. lház. 3. emelet 1. ajtó; adószáma: 32788156-2-42; cégjegyzékszáma: 01 09 442670; a továbbiakban: Adatfeldolgozó), másrészről a SimpliFleet és/vagy SimpliTime Platformra vonatkozó előfizetési szerződést kötő Ügyfél (a továbbiakban: Adatkezelő) között jön létre.

A Felek között megkötött előfizetési szerződés keretében az Adatfeldolgozó az Adatkezelő nevében személyes adatok kezelését végzi. Jelen Megállapodás az előfizetési szerződés elválaszthatatlan mellékletét képezi, és az előfizetési szerződés hatálybalépésének napján lép érvénybe.

A Felek rögzítik, hogy az (EU) 2016/679 rendelet (GDPR) 28. cikke szerinti kötelezettségeiket ismerik és magukra nézve kötelezőnek fogadják el. Az Adatfeldolgozó szavatolja, hogy a személyes adatokat kizárólag az Adatkezelő dokumentált utasítása alapján kezeli.

1. § Az adatfeldolgozás tárgya és terjedelme

Az adatfeldolgozás tárgya a DVP Systems SimpliFleet és SimpliTime szoftverszolgáltatásainak üzemeltetése, támogatása, karbantartása és biztonságos tárolása az Adatkezelő nevében.

Adatkategória Kezelt adatok köre Jogalap Megőrzési idő
Munkaidő-adatok Sofőr / munkavállaló neve, azonosítója, belépés/kilépés időpontja, projekt-beosztás, jelenléti adatok Szerződés teljesítése / Jogi kötelezettség Szerződés időtartama
TIG / Bérszámfejtési adatok Menetlevél-adatok, teljesítésigazolási rekordok, bérszámfejtési mezők Jogi kötelezettség (Szt. 169. §) 8 év
Felhasználói fiók adatok Adminisztrátor neve, munkahelyi e-mail, bejelentkezési naplók, szerepkör-beállítások Szerződés teljesítése Szerződés + 5 év
Compliance-riasztások Karbantartási figyelmeztetések, TIG-státusz riasztások, jóváhagyási workflow-rekordok Szerződés teljesítése Szerződés időtartama

Tiltott adatok: Az Adatkezelő nem tölthet fel különleges kategóriájú személyes adatokat (GDPR 9. cikk: egészségügyi, biometrikus, szakszervezeti tagságra vonatkozó, büntetőjogi adatok) a Platformra. Az Adatfeldolgozó erre irányuló funkciót nem biztosít.

2. § Az adatfeldolgozó kötelezettségei (GDPR 28. cikk)

Az Adatfeldolgozó az alábbi, GDPR 28. cikk (3) bek. szerinti kötelezettségeket vállalja:

  1. Utasítások követése: A személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli, beleértve a harmadik országba történő adattovábbításra vonatkozó utasításokat is. Ha az utasítás jogszabályba ütközne, erről haladéktalanul értesíti az Adatkezelőt.
  2. Titoktartás: Biztosítja, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettség alatt álljanak (munkaszerződéses vagy jogszabályi alapon).
  3. Adatbiztonság: A GDPR 32. cikke szerinti technikai és szervezési intézkedéseket alkalmaz (lásd 4. §).
  4. Alvállalkozói adatfeldolgozók: Az Adatkezelő általános előzetes engedélye alapján vehet igénybe további adatfeldolgozókat; új alvállalkozó bevonásáról legalább 15 nappal előre értesíti az Adatkezelőt, aki ésszerű adatvédelmi alapon tiltakozhat.
  5. Érintetti jogok: Technikai és szervezési segítséget nyújt az Adatkezelőnek az érintetti jogok (hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás) teljesítéséhez.
  6. Megfelelési segítség: Közreműködik a GDPR 32–36. cikk szerinti kötelezettségek (adatbiztonság, incidenskezelés, DPIA, előzetes konzultáció) teljesítésében.
  7. Adattörlés / visszaadás: A Megállapodás megszűnésekor — az Adatkezelő választása szerint — visszaadja vagy törli a személyes adatokat (lásd 6. §).
  8. Auditálhatóság: Az Adatkezelő rendelkezésére bocsátja a megfelelés igazolásához szükséges információkat, és lehetővé teszi az ésszerű mértékű auditot (helyszíni audit max. évi 1 alkalommal, 30 napos előzetes értesítéssel; távolról: biztonsági dokumentáció, tanúsítványok megosztásával).

3. § Alvállalkozó adatfeldolgozók

Az Adatkezelő általános előzetes hozzájárulást ad az alábbi kategóriájú alvállalkozó adatfeldolgozók igénybevételéhez. Az Adatfeldolgozó köteles minden alvállalkozóra a jelen Megállapodással egyenértékű adatvédelmi, titoktartási, biztonsági és incidenskezelési kötelezettségeket írásban továbbterheli (GDPR 28. cikk (4) bek.):

Kategória Cél Helyszín Adattovábbítás
Felhőinfrastruktúra (AWS/Azure) Tárhely, adatbázis, mentés, számítás EU (Frankfurt/Dublin) EU belső kezelés; SCC ha harmadik ország hozzáfér
E-mail szolgáltató Tranzakciós értesítők, riasztások EU EU belső kezelés
Monitoring / naplózás Rendszerfelügyelet, hibajelzés EU EU belső kezelés
Support / CRM Ügyfélszolgálati jegykezelés EU EU belső kezelés

Az Adatfeldolgozó naprakész alvállalkozói listát vezet és kérelemre rendelkezésre bocsátja. Új alvállalkozó bevonásáról az Adatkezelőt legalább 15 nappal előre értesíti. Az Adatkezelő ésszerű adatvédelmi alapon tiltakozhat; tiltakozás esetén a Felek jóhiszeműen egyeztetnek alternatíváról.

4. § Technikai és szervezési intézkedések (TOM)

Az Adatfeldolgozó a kockázatokkal arányos alábbi technikai és szervezési intézkedéseket alkalmazza (GDPR 32. cikk):

Hozzáférés-kezelés

Szerepköralapú hozzáférés (RBAC), legkisebb jogosultság elve, MFA adminisztratív hozzáférésekhez, negyedéves hozzáférés-felülvizsgálat, azonnali visszavonás kilépéskor.

Titkosítás

TLS 1.2+ az adatátvitelben; tárolási titkosítás az éles adatbázisokhoz, mentésekhez és objektumtárolókhoz; kulcskezelés korlátozott rendszergazdai hozzáféréssel.

Adatminimalizálás

Konfigurálható megőrzési idő; hozzáférés célhoz kötötten korlátozott; munkaidő- és TIG-adatok bérlői elkülönítése.

Naplózás és auditnyom

Adminisztratív műveletek, exportesemények, szerepkör-változások és support-hozzáférések naplózva; naplók manipuláció ellen védve, meghatározott megőrzési ütemtervvel.

Mentés és helyreállítás

Titkosított mentések, rendszeres helyreállítási tesztek, meghatározott RPO/RTO, mentési törlési/lejárati szabályzat.

Bérlői elkülönítés

Ügyfelek adatainak logikai elkülönítése; az éles környezet elválasztva a fejlesztési/tesztkörnyezettől.

Személyzet és fejlesztés

Titoktartási kötelezettségek; GDPR- és biztonsági képzés; változáskezelés és kódfelülvizsgálat biztonsági szempontból releváns módosításoknál; sebezhetőség-kezelési folyamat; secrets management.

5. § Adatvédelmi incidens kezelése

Adatvédelmi incidens: minden olyan biztonsági esemény, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy jogosulatlan hozzáférését eredményezi.

Értesítési határidők

t=0 Az Adatfeldolgozó észleli vagy alapos gyanúja merül fel az incidensre.
t+24h Az Adatfeldolgozó értesíti az Adatkezelőt (határidő az észleléstől, nem a teljes kivizsgálástól számítandó).
t+72h Az Adatkezelő köteles a NAIH-t értesíteni, ha az incidens kockázatot jelent az érintettekre (GDPR 33. cikk). Ez az Adatkezelő felelőssége.

Az Adatfeldolgozó 24 órás értesítésének minimálisan tartalmaznia kell: az incidens ismert jellegét; az érintett adatkategóriákat és érintett adatfeldolgozási folyamatokat; az érintett adatfeldolgozói rendszereket; a várható következményeket; a megtett vagy javasolt intézkedéseket; az incidenskezelési kapcsolattartó elérhetőségét. Az Adatfeldolgozó gördülő frissítéseket nyújt a teljes kivizsgálás lezártáig.

Az Adatfeldolgozó együttműködik az Adatkezelővel az incidens kivizsgálásában, korlátozásában, dokumentálásában, a NAIH-bejelentés előkészítésében és az érintetti tájékoztatás támogatásában (GDPR 34. cikk esetén).

6. § Megbízás megszűnése és adattörlés

A főszolgáltatási szerződés vagy jelen Megállapodás megszűnésekor:

  1. Az Adatfeldolgozó 30 napos exportálási időablakot biztosít az Adatkezelő részére. Ezen időszak alatt az Adatkezelő jogosult a rendszerben tárolt adatokat (TIG-dokumentumok, munkaidő-rekordok, riportok) standard, géppel olvasható formátumban (CSV, XLSX, JSON) letölteni.
  2. A 30 napos időablak lejártát követően az Adatfeldolgozó az aktív rendszerekből törli vagy anonimizálja az Adatkezelő személyes adatait.
  3. A biztonsági mentésekben fennmaradó adatok a rendes mentési életciklus szerint, fokozatosan törlődnek; visszaállítás kizárólag helyreállítás vagy jogszabályi kötelezettség teljesítése érdekében lehetséges.
  4. A TIG/bérszámfejtési adatok az Adatkezelő utasítása és a Számviteli tv. 169. § szerinti kötelező 8 éves megőrzési kötelezettség alapján tovább megőrizhetők.
  5. Az Adatfeldolgozó kérésre törlési igazolást bocsát ki az aktív rendszerekből elvégzett törlésről.

7. § Az adatkezelő kötelezettségei és kártalanítás

Az Adatkezelő kijelenti és szavatolja, hogy a munkaidő-nyilvántartási és TIG-funkciók igénybevétele előtt:

  • Érvényes jogalappal és dokumentált Érdekmérlegelési Teszttel (LIA) rendelkezik a munkavállalói adatok kezeléséhez (GDPR 6. cikk (1) bek. c) és f) pontok).
  • Munkahelyi Adatvédelmi Szabályzatot fogadott el (Mt. 11/A. §), amely kielégíti a szükségességi és arányossági követelményeket.
  • Munkavállalóit igazolható módon, előzetesen, írásban tájékoztatta a munkaidő-nyilvántartás tényéről, céljáról, az adatokhoz hozzáférő személyekről és az érintetti jogokról.
  • Szükség esetén Adatvédelmi Hatásvizsgálatot (DPIA) végzett (GDPR 35. cikk).

Kártalanítás: Az Adatkezelő vállalja, hogy teljeskörűen kártalanítja és helytáll az Adatfeldolgozóval szemben minden olyan bírság (ideértve a NAIH által kiszabott adatvédelmi bírságokat), szankció vagy harmadik fél általi igény tekintetében, amely az Adatkezelő fenti szavatossági nyilatkozatának valótlanságából vagy az Adatkezelő jogellenes adatkezelési utasításából ered. Jogvita esetén a Felek szorosan együttműködnek a védekezés során.

Az Adatkezelő vállalja, hogy a munkaidő-adatokat nem használja aránytalan munkavállalói megfigyelésre, és a hozzáférést kizárólag arra jogosult személyeknek biztosítja.

8. § Záró rendelkezések

Jelen Megállapodásra a GDPR és a magyar jog irányadó. Jogvita esetén a Felek a Fővárosi Törvényszék, illetve hatáskör hiányában a Budai Kerületi Bíróság kizárólagos illetékességét kötik ki.

Jelen Megállapodás módosítása kizárólag írásban, mindkét fél aláírásával érvényes. Az ÁSZF-módosítása automatikusan kiterjed e Megállapodás adatbiztonságra vonatkozó rendelkezéseire is.

Aláírási blokk

Mező Adatkezelő Adatfeldolgozó
Cégnév _________________________ Kft./Zrt. DVP Systems Korlátolt Felelősségű Társaság
Adószám: 32788156-2-42 · Cjsz.: 01 09 442670
Képviseli _________________________ Bálint-Kurunczi Andrea Veronika
Beosztás _________________________ ügyvezető
Dátum ____. ____. ____. ____. ____. ____.
Aláírás _________________________ _________________________