EchoAI
ÁrazásAsszisztensekIntegrációk
Kezdjük el

Adatfeldolgozói Szerződés

Utoljára frissítve: 2026. április 26.

EchoAI Data Processing Addendum

Adatfeldolgozó (Szolgáltató): Intersync Korlátolt Felelősségű Társaság (Intersync Kft.) 1021 Budapest, Hűvösvölgyi út 32. Cégjegyzékszám: 01-09-424781 · Adószám: 32451096-2-41 Képviselő: Sajtos István · Kapcsolat: privacy@echoai.hu

1. A DPA tárgya és hatálya

1.1 Tárgy

Ez a DPA a Felhasználó (a továbbiakban: Adatkezelő) és a Szolgáltató (a továbbiakban: Adatfeldolgozó) között létrejött Adatfeldolgozói Szerződés a GDPR (EU 2016/679) 28. cikke szerint.

A DPA a Felek között aláírt, vagy a Platform használatbavételével elfogadott Általános Szerződési Feltételek (ÁSZF) elválaszthatatlan részét képezi.

1.2 Mikor alkalmazandó

Akkor és csak akkor, amikor a Szolgáltató az adatfeldolgozó szerepében személyes adatokat kezel az Adatkezelő (Felhasználó) utasítására. Ez tipikusan:

  • a Felhasználó által feltöltött Tartalom (PDF, CSV, URL, szöveg, YouTube) kezelésére;

  • a Nyilvános Asszisztenssel beszélgető Végfelhasználók chat üzeneteinek és Lead adatainak kezelésére;

  • a Szerződés Asszisztensben tárolt mezők kezelésére.

A DPA nem vonatkozik arra, amikor a Szolgáltató saját adatkezelőként jár el (a Felhasználó fiók-adatai, számlázás, platform analitika).

2. Fogalmak

  • GDPR: az EU Általános Adatvédelmi Rendelet (EU 2016/679).

  • Érintett: az a természetes személy, akinek adatait az Adatfeldolgozó az Adatkezelő utasítására kezeli.

  • Subprocessor: olyan harmadik fél, akit az Adatfeldolgozó bevon az adatkezelésbe.

  • Személyes adat: minden adat, amely az Érintettre vonatkozik vagy az Érintettet azonosíthatóvá teszi.

  • Adatvédelmi incidens: a GDPR 4. cikk 12. pontja szerinti definíció.

3. Az adatkezelés részletei (GDPR 28. cikk (3) szerint)

3.1 Az adatkezelés tárgya

A Szolgáltató a Platform működtetésével kapcsolatos feldolgozási műveleteket végez az Adatkezelő utasítására.

3.2 Időtartama

A szolgáltatási szerződés (ÁSZF) időtartama, kiegészítve a törlési-megőrzési idővel (ld. 10. pont).

3.3 Jellege és célja

A Felhasználó weboldalán a Végfelhasználókkal folytatott AI-alapú beszélgetés lehetővé tétele, tudásbázis feldolgozás, lead gyűjtés, szerződés-dokumentum generálás.

3.4 A személyes adatok típusai

  • Azonosító adatok (név)

  • Elérhetőség (email cím, telefonszám)

  • Beszélgetési tartalom (szöveg, fájl)

  • Technikai adatok (IP cím, user-agent, időbélyeg)

  • Az Adatkezelő által a tudásbázisba feltöltött tartalomban esetlegesen szereplő egyéb személyes adatok

3.5 Érintettek kategóriái

  • Az Adatkezelő weboldalát meglátogató Végfelhasználók

  • Az Adatkezelő ügyfelei, érdeklődői, partnerei, amennyiben a tudásbázisban vagy szerződés-mezőkben szerepelnek

  • Az Adatkezelő munkatársai, amennyiben belső Tudásbázis Asszisztenst használnak

3.6 Adatkezelő kötelezettségei és jogai

Az Adatkezelő:

  • köteles rendelkezni az érintetti adatkezeléshez szükséges jogalappal (szerződés, jogos érdek, hozzájárulás stb.);

  • köteles a Végfelhasználókat megfelelő tájékoztatással ellátni saját Adatkezelési Tájékoztatójában;

  • felelős a tudásbázisba feltöltött tartalomban szereplő harmadik személyek adatainak jogszerű kezeléséért.

4. Az Adatfeldolgozó kötelezettségei

4.1 Utasítás szerinti feldolgozás

Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli. Az ÁSZF és a jelen DPA elfogadása, valamint a Platform felületén elérhető beállítások az írásbeli utasításoknak minősülnek.

Ha az Adatfeldolgozó úgy ítéli meg, hogy egy utasítás a GDPR-t vagy más uniós/tagállami adatvédelmi jogot sért, erről haladéktalanul tájékoztatja az Adatkezelőt.

4.2 Titoktartás

Az Adatfeldolgozó biztosítja, hogy a személyes adatokhoz hozzáférő személyek titoktartási kötelezettséget vállaltak vagy jogszabály alapján kötelesek.

4.3 Biztonsági intézkedések (GDPR 32. cikk)

Az Adatfeldolgozó az alábbi technikai és szervezési intézkedéseket (TOMs) teszi:

Technikai:

  • Titkosítás átvitel közben (TLS 1.2+)

  • Titkosítás nyugalomban (AES-256)

  • Hozzáférés-vezérlés (RBAC), 2FA adminisztrátori hozzáférésekhez

  • Napi automatikus biztonsági mentés

  • Biztonsági logok 6 hónapig

  • Sérülékenység-kezelés, rendszeres dependency audit

Szervezési:

  • Munkatársak titoktartási nyilatkozata

  • Jogosultság-kezelési eljárás (least privilege elv)

  • Belső incidens-válasz protokoll

  • Subprocessor-audit eljárás

4.4 Subprocessorok (GDPR 28. cikk (2)-(4))

4.4.1 Általános felhatalmazás

Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak subprocessorok igénybevételére. A jelenlegi subprocessor lista a Privacy Policy 9. szekciójában található (echoai.hu/privacy).

4.4.2 Értesítés változásról

Új subprocessor bevonása vagy régi leváltása előtt az Adatfeldolgozó legalább 30 naptári nappal előre értesíti az Adatkezelőt emailben és a Platformon.

4.4.3 Kifogás joga

Az Adatkezelő észszerű indokkal kifogást emelhet a változás ellen. Ha az Adatfeldolgozó a kifogás ellenére a változást végrehajtja, az Adatkezelő jogosult a szolgáltatási szerződés felmondására az aktuális számlázási periódus végén.

4.4.4 Subprocessorok szerződéses kötelezettsége

Az Adatfeldolgozó biztosítja, hogy minden subprocessorral a jelen DPA-val egyenértékű adatvédelmi kötelezettségeket tartalmazó írásbeli szerződést köt, különösen az alábbiakra:

  • biztonsági intézkedések;

  • titoktartás;

  • a Personal Data saját modell tanításához való felhasználásának tilalma (különösen: OpenAI, z.AI).

4.5 Az Adatkezelő jogainak érvényesítése

Az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt az érintetti jogok érvényesítésében (GDPR 12-22. cikk):

  • Hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás.

Az érintett közvetlen kapcsolatfelvétele esetén az Adatfeldolgozó indokolatlan késedelem nélkül továbbítja a megkeresést az Adatkezelőnek, és az Adatkezelő utasítása alapján jár el.

4.6 Támogatás az Adatkezelőnek (GDPR 28. cikk (3) f) és h))

Az Adatfeldolgozó segítséget nyújt az Adatkezelőnek:

  • Adatvédelmi hatásvizsgálat (DPIA) készítésében (GDPR 35. cikk), ha az Adatkezelő kéri és az reális mértékű segítségért az Adatfeldolgozó észszerű díjat számíthat fel.

  • Felügyeleti hatósággal való konzultáció (36. cikk).

  • Incidenskezelés (33-34. cikk).

4.7 Adatvédelmi incidens (GDPR 33. cikk)

Az Adatfeldolgozó az incidens észlelését követő 72 órán belül értesíti az Adatkezelőt az alábbi tartalommal:

  • az incidens jellege, a valószínűleg érintettek köre és az érintett személyes adatok fajtája és mennyisége;

  • a várható következmények;

  • a megtett és tervezett intézkedések.

4.8 Auditálási jog

Az Adatkezelő jogosult az Adatfeldolgozó adatvédelmi gyakorlatát auditálni:

  • az Adatfeldolgozó által rendelkezésre bocsátott dokumentáció (ld. Security Overview, ISO tanúsítványok, SOC reports, ha elérhetők) áttekintésével;

  • évente legfeljebb egyszer, előzetes 30 napos egyeztetés után, helyszíni audittal, amennyiben dokumentációs szinten nem kielégítő a válasz.

Az auditot az Adatkezelő saját költségére végzi, kivéve, ha az audit lényeges megfelelőségi hiányt tár fel — ekkor a költségek az Adatfeldolgozót terhelik.

5. Nemzetközi adattovábbítás

5.1 Adattárolási helyek

A személyes adatok elsődlegesen az EU-ban kerülnek tárolásra (Railway EU régió, PostHog EU, Cloudflare R2 EU).

5.2 USA-transzfer

Az AI inference (OpenAI) és bizonyos kommunikációs szolgáltatások (Postmark, Google) USA-ban működnek. Az USA-transzfer alapja:

  • EU Standard Contractual Clauses 2021 (a Bizottság 2021/914 Végrehajtási Határozata);

  • EU-US Data Privacy Framework (DPF) certifikált providerek esetén;

  • Kiegészítő technikai intézkedések: titkosítás, hozzáférés-korlátozás.

5.3 UK és Svájc

UK-érintettekre az UK GDPR + UK IDTA, svájci érintettekre a FADP alkalmazandó, az EU SCCs kiegészítéseként.

6. AI modell tanítás — kizárás

6.1 Az Adatfeldolgozó kötelezettsége

Az Adatfeldolgozó kijelenti és garantálja:

  • Nem használja a Személyes Adatokat saját AI modellek tanításához, finomhangolásához vagy fejlesztéséhez;

  • Szerződéses kötelezettséget rótt az alkalmazott LLM-subprocessorokra (OpenAI, z.AI) is arra, hogy ne használják a Személyes Adatokat saját modell-tanításra;

  • Az OpenAI esetében "zero data retention" vagy ennek megfelelő konfigurációt használ a Platform minden felhasználói adat-feldolgozására.

6.2 Anonimizált, összesített adatok

Az Adatfeldolgozó a Platform fejlesztéséhez csak anonimizált, összesített használati metrikákat használ, amelyek nem tartalmaznak Személyes Adatot.

7. Adatok visszaszolgáltatása és törlése

7.1 Szerződés-megszűnéskor

A szolgáltatási szerződés bármely okból történő megszűnésekor az Adatfeldolgozó:

  1. A szerződés megszűnését követő 30 napig lehetővé teszi az Adatkezelő számára a Személyes Adatok exportálását (Platform export funkciók, ill. kérésre egyedi export).

  2. A 30 napos időszak leteltével az Adatfeldolgozó törli vagy visszaszolgáltatja a Személyes Adatokat az Adatkezelő választása szerint.

  3. A biztonsági mentésekből a törlés legfeljebb 90 napon belül automatikusan megtörténik a rotációval.

7.2 Kivételek

Az Adatfeldolgozó visszatarthatja azokat a Személyes Adatokat, amelyek megőrzését uniós vagy tagállami jog írja elő (pl. számviteli törvény 8 éves megőrzés).

8. Felelősség

A jelen DPA-ban foglalt kötelezettségek megszegéséért a Felek közötti felelősséget az ÁSZF 15. pontja (Felelősség) szabályozza. A GDPR 82. cikke szerinti felelősséget a GDPR rendelkezéseinek megfelelően viseljük.

9. A DPA hatálya és módosítása

9.1 Hatálybalépés

Ez a DPA az ÁSZF elfogadásával egyidejűleg lép hatályba, és a szolgáltatási szerződés megszűnéséig érvényes.

9.2 B2B kiegészítő aláírás

Vállalati ügyfél kérésére az Adatfeldolgozó külön, aláírható PDF-formátumú DPA-t bocsát rendelkezésre, amely egyezik a jelen online verzióval. Kérhető: privacy@echoai.hu.

9.3 Módosítás

Az Adatfeldolgozó a jelen DPA-t a hatályos jog változásainak megfelelően módosíthatja. Lényeges módosításról az Adatkezelőt legalább 30 naptári nappal előre értesíti. Ha az Adatkezelő nem fogadja el a módosítást, az ÁSZF 6.6 pontja szerint felmondhatja a szolgáltatási szerződést.

10. Vegyes rendelkezések

10.1 Irányadó jog

Magyarország joga, a GDPR közvetlen alkalmazása mellett.

10.2 Joghatóság

Az ÁSZF 19.2 pontja szerinti bíróság.

10.3 Konfliktus esetén

Ha a jelen DPA és az ÁSZF rendelkezései a Személyes Adatok kezelését illetően konfliktusban állnak, a jelen DPA az irányadó.

Mellékletek

1. melléklet: Subprocessor lista

A teljes lista a Privacy Policy 9. szekciójában található (echoai.hu/privacy). Változás esetén a Szolgáltató 30 naptári nappal előre értesíti az Adatkezelőt emailben és a Platformon.

2. melléklet: Biztonsági intézkedések (TOMs)

Ld. a jelen DPA 4.3 pontja. Részletes Security Overview B2B ügyfelek kérésére rendelkezésre áll: security@echoai.hu.