Adatfeldolgozási megállapodás

Hatályos: 2026. április 27. | Az Általános Szerződési Feltételek elválaszthatatlan melléklete

Preambulum

A jelen Adatfeldolgozási megállapodás (a továbbiakban: Megállapodás) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 28. cikkének megfelelően jön létre a Cartello platform igénybevételére vonatkozó Általános Szerződési Feltételek (ÁSZF) elfogadásával egyidejűleg, és annak elválaszthatatlan mellékletét képezi.

A Megállapodás létrejön egyrészről a Cartello platformot igénybe vevő Felhasználó cég (a továbbiakban: Adatkezelő), másrészről a Webes Kosár Kft. (a továbbiakban: Adatfeldolgozó) között.

A Megállapodás az Adatfeldolgozó szinkronizációs moduljának igénybevétele során keletkező azon adatfeldolgozási tevékenységekre vonatkozik, amelyek során az Adatfeldolgozó az Adatkezelő vevőinek személyes adatait az Adatkezelő nevében és utasításai alapján kezeli.

1. Meghatározások

A jelen Megállapodásban használt fogalmak a GDPR 4. cikke szerint értelmezendők, különösen:

  • Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ (GDPR 4. cikk 1. pont).
  • Adatkezelés: a személyes adatokon végzett bármely művelet (GDPR 4. cikk 2. pont).
  • Adatkezelő: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit meghatározza (GDPR 4. cikk 7. pont).
  • Adatfeldolgozó: az a természetes vagy jogi személy, amely az Adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8. pont).
  • Al-adatfeldolgozó: az Adatfeldolgozó által igénybe vett, adatkezelést végző harmadik fél.
  • Utasítás: az Adatkezelő által a platform szinkronizációs konfigurációján keresztül meghatározott, az adatfeldolgozás kereteit kijelölő rendelkezések összessége.
  • Adatvédelmi incidens: a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12. pont).

2. Az adatfeldolgozás tárgya és jellege

Az Adatfeldolgozó az Adatkezelő nevében a Cartello szinkronizációs modulján keresztül az Adatkezelő forrás-e-kereskedelmi platformjain (pl. Unas, Shopify) keletkező rendelési adatokat dolgozza fel, és továbbítja azokat az Adatkezelő által meghatározott célplatformra (pl. IonERP).

Az adatfeldolgozás kizárólag a szinkronizáció végrehajtásához szükséges automatizált műveletekre terjed ki: adatok lekérése, ideiglenes tárolása, átalakítása és a célplatformra való továbbítása. Az Adatfeldolgozó az adatokat nem használja fel saját céljára, nem adja át harmadik félnek az Adatkezelő utasítása nélkül, és nem végez az Adatkezelő által nem engedélyezett adatkezelési műveletet (GDPR 28. cikk (3) bekezdés a) pont).

Az adatfeldolgozás részletes leírását a jelen Megállapodás 1. melléklete tartalmazza.

3. Az Adatkezelő utasításai

Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő dokumentált utasítása alapján kezeli (GDPR 28. cikk (3) bekezdés a) pont). Az utasítások a platform szinkronizációs beállításain (forrás- és célkapcsolatok, szinkronizációs szabályok konfigurációja) keresztül kerülnek rögzítésre.

Amennyiben az Adatfeldolgozó megítélése szerint valamely utasítás sérti a GDPR vagy más uniós, illetve tagállami adatvédelmi rendelkezéseket, erről haladéktalanul tájékoztatja az Adatkezelőt. Ebben az esetben az Adatfeldolgozó jogosult az érintett utasítás végrehajtását felfüggeszteni mindaddig, amíg az Adatkezelő azt megerősíti vagy módosítja (GDPR 28. cikk (3) bekezdés h) pont).

4. Titoktartás

Az Adatfeldolgozó gondoskodik arról, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló titoktartási kötelezettség alatt állnak (GDPR 28. cikk (3) bekezdés b) pont). Ez a kötelezettség a jogviszony megszűnése után is fennmarad.

A személyes adatokhoz kizárólag azok a munkavállalók és alvállalkozók férhetnek hozzá, akiknek az a feladatuk ellátásához elengedhetetlenül szükséges (legkisebb jogosultság elve).

5. Biztonsági intézkedések

Az Adatfeldolgozó a GDPR 32. cikkének megfelelően, a kockázat mértékével arányos technikai és szervezési intézkedéseket alkalmaz a személyes adatok védelme érdekében (GDPR 28. cikk (3) bekezdés c) pont):

  • Titkosítás: az adatok átvitele HTTPS-en keresztül titkosítva történik; a platformhoz tartozó API-hozzáférési adatok (credentials) Supabase Vault-ban, titkosítva tárolódnak (GDPR 32. cikk (1) bekezdés a) pont).
  • Hozzáférés-kontroll: a személyes adatokhoz kizárólag azonosított és feljogosított személyek férhetnek hozzá; a többbérlős architektúrában az adatok szintenkénti szétválasztása (row-level security) biztosítja az elkülönítést.
  • Auditnapló: a szinkronizációs műveletek naplózásra kerülnek az elszámoltathatóság biztosítása érdekében (GDPR 5. cikk (2) bekezdés).
  • Adatminimalizálás: a rendelési adatok payload-ja a lezárástól számított 90 napon belül anonimizálásra (nullázásra) kerül; a pillanatfelvételek 180 nap elteltével törlődnek.
  • Rendelkezésre állás: az Adatfeldolgozó törekszik a szolgáltatás folyamatos rendelkezésre állására; az erre vonatkozó garanciákat az ÁSZF tartalmazza.

6. Al-adatfeldolgozók

Az Adatkezelő a jelen Megállapodás elfogadásával általános jellegű hozzájárulást ad az alábbi al-adatfeldolgozók igénybevételéhez (GDPR 28. cikk (2) bekezdés). Az Adatfeldolgozó az al-adatfeldolgozókra a GDPR 28. cikke szerinti kötelezettségeket ró, és felelősséget vállal azok megfelelő teljesítéséért (GDPR 28. cikk (4) bekezdés).

Al-adatfeldolgozóTevékenységSzékhely / régió
Supabase Ireland LimitedAdatbázis-üzemeltetés, hitelesítésÍrország (EU)
Vercel Inc.Webalkalmazás üzemeltetése, CDNUSA; EU–USA SCC alapján
Trigger.devHáttérfeladatok (szinkronizáció)EU-régió; SCC alapján
Resend Inc.Tranzakciós e-mail értesítésekUSA; SCC alapján
Stripe Payments Europe LimitedFizetésfeldolgozásÍrország (EU)

Az Adatfeldolgozó az al-adatfeldolgozók listájának módosítása esetén legalább 15 nappal előre értesíti az Adatkezelőt (az ÁSZF 12. §-ában meghatározott módon). Az Adatkezelő az értesítés kézhezvételétől számított 15 napon belül írásban tiltakozhat az al-adatfeldolgozó megváltoztatása ellen; tiltakozás esetén a felek egyeztetnek, és az Adatkezelő jogosult az ÁSZF-et felmondani.

7. Az érintetti jogok érvényesítése

Az Adatfeldolgozó — figyelembe véve az adatkezelés jellegét — megfelelő technikai és szervezési intézkedések alkalmazásával segíti az Adatkezelőt abban, hogy teljesíteni tudja a kötelezettségét az érintetti jogokra irányuló kérelmek megválaszolása tekintetében (GDPR 28. cikk (3) bekezdés e) pont; GDPR 15–22. cikk).

Amennyiben az Adatkezelő vevője (érintett) közvetlenül az Adatfeldolgozóhoz fordul valamely jogának érvényesítése céljából, az Adatfeldolgozó a kérelmet haladéktalanul — legkésőbb 3 munkanapon belül — továbbítja az Adatkezelőhöz, és tájékoztatja az érintettet, hogy kérelmét az Adatkezelő felé kell benyújtani.

8. Segítségnyújtás az Adatkezelőnek

Az Adatfeldolgozó — az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat figyelembe véve — segítséget nyújt az Adatkezelőnek az alábbiak teljesítésében (GDPR 28. cikk (3) bekezdés f) pont):

  • Adatbiztonság (GDPR 32. cikk): az alkalmazott technikai intézkedésekről (titkosítás, hozzáférés-kontroll, naplózás) dokumentációt bocsát az Adatkezelő rendelkezésére.
  • Incidenskezelés (GDPR 33–34. cikk): adatvédelmi incidens esetén haladéktalanul, de legkésőbb 72 órán belül értesíti az Adatkezelőt, és megadja az incidens kezeléséhez szükséges információkat (ld. 9. §).
  • Adatvédelmi hatásvizsgálat (GDPR 35. cikk): DPIA elkészítéséhez szükséges, a feldolgozási tevékenységekre vonatkozó információkat az Adatkezelő kérésére rendelkezésre bocsátja.

9. Adatvédelmi incidensek kezelése

Adatvédelmi incidens észlelése esetén az Adatfeldolgozó haladéktalanul — de legkésőbb az incidens tudomására jutásától számított 72 órán belül — értesíti az Adatkezelőt (GDPR 33. cikk (2) bekezdés). Az értesítés tartalmazza legalább:

  • az incidens jellegét, beleértve az érintett személyes adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy más kapcsolattartó személy nevét és elérhetőségét;
  • az incidens várható következményeit;
  • az Adatfeldolgozó által az incidens orvoslására tett vagy tervezett intézkedéseket.

Az értesítés az Adatkezelő ÁSZF-ben megadott e-mail-címére, illetve a platformon regisztrált kapcsolattartói e-mail-címre küldendő. Az Adatfeldolgozó az incidensre vonatkozó dokumentációt az incidens lezárásától számított legalább 3 évig megőrzi.

10. Adatok törlése és visszaszolgáltatása

A szolgáltatási jogviszony megszűnésekor (előfizetés lemondása, fiók törlése) az Adatfeldolgozó az Adatkezelő utasítása szerint (GDPR 28. cikk (3) bekezdés g) pont):

  • törli az Adatkezelő nevében kezelt összes személyes adatot és azok másolatait; vagy
  • az Adatkezelő kérésére — amennyiben ez technikailag megvalósítható — strukturált, géppel olvasható formátumban visszaszolgáltatja azokat.

A törlési kötelezettség alól kivételt képeznek azok az adatok, amelyek megőrzését uniós vagy tagállami jog előírja (pl. számviteli törvény szerinti bizonylatmegőrzés). Az automatikus megőrzési és törlési folyamatok részletes időkereteit az Adatkezelési tájékoztató 7. fejezete tartalmazza.

11. Ellenőrzési jog és megfelelőség igazolása

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a jelen Megállapodásban foglalt kötelezettségek teljesítésének igazolásához szükséges, továbbá lehetővé teszi és elősegíti az Adatkezelő vagy az általa megbízott auditor által végzett auditokat és helyszíni ellenőrzéseket (GDPR 28. cikk (3) bekezdés h) pont).

Az ellenőrzési igényt az Adatkezelőnek legalább 30 nappal előre, írásban kell bejelentenie. Az ellenőrzés az Adatfeldolgozó működési rendjét nem zavarhatja meg indokolatlanul; a felmerülő ésszerű költségeket az Adatkezelő viseli. Az Adatfeldolgozó az ellenőrzés helyett elfogadott, érvényes megfelelőségi tanúsítványt (pl. ISO 27001) is bemutathat az adott al-adatfeldolgozó vonatkozásában.

1. melléklet — Az adatfeldolgozás részletei

GDPR 28. cikk (3) bekezdés — kötelező tartalmi elemek

Az adatfeldolgozás tárgya és időtartama:

Rendelési adatok szinkronizálása az Adatkezelő e-kereskedelmi forrásplatformjáról a célplatformra a Cartello platform szinkronizációs modulján keresztül. Az adatfeldolgozás időtartama: a szinkronizációs szabály aktiválásától a szolgáltatási jogviszony megszűnéséig, illetve az adatmegőrzési szabályok szerint (ld. 10. §).

Az adatfeldolgozás jellege és célja:

Automatizált adatátvitel: rendelések lekérése a forrásplatformról, ideiglenes tárolás és szinkronizálás a célplatformra. Az adatfeldolgozás célja kizárólag az Adatkezelő által meghatározott rendeléskezelési folyamat automatizálása.

A személyes adatok típusai:

  • Vevői azonosítók (rendelésszám, ügyfélkód)
  • Kapcsolattartási adatok (teljes név, e-mail-cím, telefonszám)
  • Szállítási és számlázási cím
  • Rendelési adatok (rendelt termékek, mennyiség, ár, megjegyzések)
  • Rendelési státusz és időbélyegek

Az érintett személyek kategóriái:

Az Adatkezelő e-kereskedelmi platformján rendelést leadó természetes személyek (végfelhasználók / vevők).

Az Adatkezelő neve és elérhetőségei:

A Cartello platform adott bérlői fiókjához tartozó Felhasználó cég — az ÁSZF elfogadásakor megadott adatok szerint.

Az Adatfeldolgozó neve és elérhetőségei:

  • Cégnév: Webes Kosár Kft.
  • Székhely: 1141 Budapest, Komócsy utca 39. IV. ép. földszint 1. ajtó
  • E-mail: cartello@newmillennium.hu

12. Záró rendelkezések

A jelen Megállapodás az ÁSZF elfogadásával egyidejűleg lép hatályba, és a felek közötti szerződéses jogviszony fennállásáig érvényes. A Megállapodás módosítására az ÁSZF 12. §-ában foglalt szabályok az irányadók — a módosításról az Adatfeldolgozó legalább 15 nappal előre értesíti az Adatkezelőt.

A jelen Megállapodásra a magyar jog az irányadó. A Megállapodás az ÁSZF-ben foglalt szinkronizációs tevékenységet kiegészíti, azzal együtt értelmezendő. Ütközés esetén a jelen Megállapodás rendelkezései az irányadók az adatfeldolgozási kérdésekben.

Amennyiben a jelen Megállapodás valamely rendelkezése érvénytelennek bizonyulna, ez nem érinti a többi rendelkezés érvényességét; az érvénytelen rendelkezés helyébe a GDPR céljával összhangban álló, érvényes rendelkezés lép.