Adatfeldolgozási Megállapodás

Name: Margyn
Availability: InStock
Rating: 4.9 (47 reviews)
Author: Margyn

Hatálybalépés: 2025. november 1.

Verzió: 1.0

ADATFELDOLGOZÁSI MEGÁLLAPODÁS (DPA)

Data Processing Agreement

Hatálybalépés: 2025. november 1.
Verzió: 1.0

FELEK

Adatkezelő (Data Controller):

Az Ügyfél, aki a Margyn Platform szolgáltatást igénybe veszi
Az Ügyfél adatai az Általános Szerződési Feltételekben (ÁSZF) rögzítettek szerint

Adatfeldolgozó (Data Processor):

Cégnév: Interactic Media Korlátolt Felelősségű Társaság
Székhely: 1143 Budapest, Eleonóra u. 8. 4/3, Magyarország
Cégjegyzékszám: 01-09-388500
Adószám: 10580242-2-42
EU adószám: HU10580242
Képviseli: Schubert Máté ügyvezető
E-mail: mate@interacticmedia.com
Web: https://margyn.io

PREAMBULUM

A jelen Adatfeldolgozási Megállapodás (a továbbiakban: „DPA") a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló (EU) 2016/679 rendelet (a továbbiakban: „GDPR") 28. cikke alapján jött létre.

A DPA a Margyn Platform Általános Szerződési Feltételeinek (ÁSZF) elválaszthatatlan részét képezi és azzal együtt értelmezendő.

1. FOGALMAK ÉS DEFINÍCIÓK

A jelen DPA-ban használt fogalmak a GDPR 4. cikke szerinti definíciókkal azonos jelentéssel bírnak:

Személyes adat: Azonosított vagy azonosítható természetes személyre vonatkozó bármely információ
Adatkezelés: A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége
Adatkezelő: Az a természetes vagy jogi személy, aki/amely az adatkezelés céljait és eszközeit meghatározza
Adatfeldolgozó: Az a természetes vagy jogi személy, aki/amely az adatkezelő nevében személyes adatokat kezel
Adatvédelmi incidens: A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi
Érintett: A személyes adatokkal azonosított vagy azonosítható természetes személy (az Ügyfél végfelhasználói, vásárlói)

2. AZ ADATFELDOLGOZÁS TÁRGYA ÉS IDŐTARTAMA

2.1. Adatfeldolgozás Tárgya

Az Adatfeldolgozó az Adatkezelő utasítására az alábbi célokból végez adatfeldolgozást:

E-commerce üzleti analitika és riportálás
Kampánymenedzsment és hirdetési optimalizálás
Termékköltség-menedzsment és profitabilitás számítás
Rendelés- és ügyfélanalitika
Készletkövetés és készletoptimalizálás
Felhasználói hozzáférés-kezelés (Role-Based Access Control)

2.2. Adatfeldolgozás Időtartama

Az adatfeldolgozás időtartama:

A szerződés (ÁSZF) hatálya alatt
Plusz 30 nap a szerződés megszűnését követően (adatok törlése vagy visszaadása)

2.3. Adatkezelés Jellege

Adatok gyűjtése (API integrációkon keresztül)
Adatok tárolása (titkosított adatbázisban)
Adatok rendszerezése és strukturálása
Adatok elemzése és aggregálása
Adatok lekérdezése és megjelenítése
Adatok törlése vagy anonimizálása

3. A FELDOLGOZÁS ALANYAINAK KATEGÓRIÁI

3.1. Érintettek Köre

Az Adatkezelő végfelhasználói, akiknek személyes adatai a Platform használata során feldolgozásra kerülnek:

E-commerce vásárlók (név, cím, email, telefonszám)
Webshop látogatók (munkamenet adatok, IP cím)
Az Ügyfél munkatársai (név, email, szerepkör)

3.2. Érintettek Becsült Száma

Függ az Ügyfél üzleti méretétől:

Kis vállalkozás: 100-10,000 érintett/hó
Közepes vállalkozás: 10,000-100,000 érintett/hó
Nagyvállalat: 100,000+ érintett/hó

4. A FELDOLGOZOTT ADATOK KATEGÓRIÁI

4.1. Rendelési Adatok

Vásárló neve
Számlázási és szállítási cím
E-mail cím
Telefonszám
Rendelés összege, devizanem
Rendelés dátuma és státusza
Termék megnevezése, mennyisége

4.2. Termék és Készlet Adatok

Termék SKU, név, kategória
Termékköltségek
Készletszintek
Beszállító információk (amennyiben megadott)

4.3. Kampánykezelési Adatok

Hirdetési kampány azonosítók
Költségadatok (Meta Ads, Google Ads)
Konverziós adatok
UTM paraméterek

4.4. Felhasználói Analitika

Munkamenet azonosítók (session ID)
IP címek (hash-elve, anonimizálva)
Böngésző és eszköz információk
Használati statisztikák (PostHog, opcionális)

4.5. Fiókkezelési Adatok

Ügyfél munkatársak neve, email címe
Szerepkörök (admin, editor, viewer)
Bejelentkezési időpontok (audit log)

GDPR 9. cikk szerinti különleges kategóriájú személyes adatok (egészségügyi, biometrikus, genetikai, faji/etnikai származás stb.) NINCSENEK feldolgozásra.

5. AZ ADATFELDOLGOZÓ KÖTELEZETTSÉGEI

5.1. Utasítások Követése (GDPR 28. cikk (3) bekezdés a) pont)

Az Adatfeldolgozó kizárólag az Adatkezelő írásbeli utasítására dolgozza fel a személyes adatokat, kivéve, ha az adatfeldolgozást uniós vagy tagállami jog írja elő.

Utasítások forrásai:

Jelen DPA
Az ÁSZF rendelkezései
Az Adatkezelő által a Platform felhasználói felületén megadott beállítások
Az Adatkezelő írásbeli (e-mail) utasításai

Ha az Adatfeldolgozó úgy véli, hogy egy utasítás sérti a GDPR-t vagy más adatvédelmi jogszabályt, haladéktalanul értesíti az Adatkezelőt.

5.2. Titoktartás (GDPR 28. cikk (3) bekezdés b) pont)

Az Adatfeldolgozó biztosítja, hogy az adatkezelésben részt vevő személyek:

Titoktartási kötelezettséget vállaltak
Megfelelő képzést kaptak az adatvédelemről
Csak a feladataik ellátásához szükséges mértékben férnek hozzá a személyes adatokhoz

5.3. Adatbiztonság (GDPR 28. cikk (3) bekezdés c) pont és GDPR 32. cikk)

Az Adatfeldolgozó az alábbi technikai és szervezési intézkedéseket alkalmazza:

Technikai Intézkedések:

TLS 1.3 titkosítás minden adatátvitelre (HTTPS)
AES-256 titkosítás adatbázis szintjén (at-rest encryption)
Bcrypt jelszó hash (cost factor 12)
Multi-Factor Authentication (MFA) támogatás
Automatikus napi mentések georedundanciával
Firewall és DDoS védelem
Sebezhetőség-vizsgálat (vulnerability scanning)

Szervezési Intézkedések:

Szerepalapú hozzáférés-szabályozás (RBAC)
Audit logok minden adathozzáférésről
Incidenskezelési protokoll
Adatvédelmi képzések alkalmazottaknak
Hozzáférési jogosultságok rendszeres felülvizsgálata

Infrastruktúra Biztonság:

Supabase (AWS Frankfurt): SOC 2 Type II, ISO 27001
Vercel (AWS Frankfurt): SOC 2, GDPR compliant
Stripe (Dublin, IE): PCI-DSS Level 1

5.4. Alvállalkozók Igénybevétele (GDPR 28. cikk (3) bekezdés d) pont és GDPR 28. cikk (2) bekezdés)

Az Adatfeldolgozó az Adatkezelő általános, előzetes írásbeli felhatalmazása alapján további adatfeldolgozókat (alvállalkozókat) vehet igénybe.

Jelenlegi alvállalkozók (ÁSZF 9.8. szerint):

Alvállalkozó	Szolgáltatás	Székhely	Adattárolás Helye	Compliance
Supabase Inc.	Adatbázis, Auth, Storage	USA	🇩🇪 Frankfurt, DE	SOC 2 Type II, DPA
Vercel Inc.	Webes hosting	USA	🇩🇪 Frankfurt, DE	SOC 2, GDPR, DPA
Stripe Payments Europe Ltd.	Fizetési feldolgozás	🇮🇪 Dublin, IE	🇮🇪 Dublin, IE	PCI-DSS, ISO 27001
Google LLC	AI/OCR (opcionális)	🇺🇸 USA	🇺🇸 USA	SCC, EU-US DPF
PostHog Inc.	Analitika (opcionális)	USA	🇪🇺 EU Instance	SOC 2, GDPR, DPA

Új alvállalkozó bevonása:

Az Adatfeldolgozó legalább 30 nappal előtte értesíti az Adatkezelőt
Az Adatkezelő tiltakozhat az új alvállalkozó ellen
Tiltakozás esetén az Adatkezelő felmondhatja a szerződést

Az Adatfeldolgozó biztosítja, hogy minden alvállalkozó legalább olyan mértékű adatvédelmi garanciákat vállalja, mint a jelen DPA.

5.5. Az Érintettek Jogainak Érvényesítése (GDPR 28. cikk (3) bekezdés e) pont)

Az Adatfeldolgozó segíti az Adatkezelőt az érintettek jogainak teljesítésében:

Hozzáférési jog (GDPR 15. cikk): Adatok exportálása CSV/JSON formátumban
Helyesbítési jog (GDPR 16. cikk): Adatok módosítása a Platformon keresztül
Törlési jog (GDPR 17. cikk): Fiók és adatok törlése 30 napon belül
Adathordozhatóság joga (GDPR 20. cikk): Strukturált, géppel olvasható formátumban
Tiltakozási jog (GDPR 21. cikk): Opcionális funkciók kikapcsolása

Válaszidő: Az Adatfeldolgozó 5 munkanapon belül válaszol az Adatkezelő kéréseire.

5.6. Megfelelőség Támogatása (GDPR 28. cikk (3) bekezdés f) pont)

Az Adatfeldolgozó segíti az Adatkezelőt az alábbiak teljesítésében:

GDPR 32. cikk - Adatbiztonság
GDPR 33. cikk - Adatvédelmi incidensek bejelentése
GDPR 34. cikk - Érintettek értesítése incidens esetén
GDPR 35. cikk - Adatvédelmi hatásvizsgálat (DPIA)
GDPR 36. cikk - Előzetes konzultáció a felügyeleti hatósággal

5.7. Adatok Törlése vagy Visszaadása (GDPR 28. cikk (3) bekezdés g) pont)

A szerződés megszűnését követően az Adatfeldolgozó az Adatkezelő választása szerint:

Opció A - Adatok Törlése (alapértelmezett):

30 napon belül véglegesen törli az összes személyes adatot
Törlést követően írásbeli tanúsítványt állít ki

Opció B - Adatok Visszaadása:

30 napon belül strukturált formátumban (CSV, JSON) átadja az adatokat
Átadást követően törli a saját rendszeréből

Kivételek (nem törlendő):

Számlázási adatok (8 évig megőrzendő - magyar számviteli törvény)
Audit logok (jogi kötelezettség alapján)
Anonimizált, statisztikai adatok (nem minősül személyes adatnak)

5.8. Ellenőrzés és Audit (GDPR 28. cikk (3) bekezdés h) pont)

Az Adatfeldolgozó rendelkezésre bocsátja az Adatkezelő részére:

Jelen DPA-t és az ÁSZF adatvédelmi fejezetét
SOC 2 Type II tanúsítványokat (alvállalkozóktól)
Adatbiztonsági dokumentációt

Az Adatkezelő vagy megbízott auditor jogosult helyszíni vagy távoli auditra:

Előzetes egyeztetés: 30 nappal az audit előtt
Gyakoriság: Maximum évente egyszer (kivéve incidens esetén)
Munkaidőben: Hétköznap 9:00-17:00
Költség: Az auditot kezdeményező fél viseli

Az Adatfeldolgozó együttműködik az auditban és válaszol minden kérdésre.

6. ADATVÉDELMI INCIDENSEK KEZELÉSE

6.1. Értesítési Kötelezettség (GDPR 33. cikk (2) bekezdés)

Ha az Adatfeldolgozó adatvédelmi incidenst észlel, indokolatlan késedelem nélkül, de legkésőbb 72 órán belül értesíti az Adatkezelőt az alábbi elérhetőségeken:

E-mail: Az Adatkezelő regisztrált email címe
Tárgy: URGENT - Data Breach Notification
Tartalék: mate@interacticmedia.com, hello@margyn.io

6.2. Értesítés Tartalma

Az értesítés tartalmazza:

Az adatvédelmi incidens leírását (mi történt, mikor, hogyan)
Az érintett adatok körét és mennyiségét
Az érintettek becsült számát
Az incidens várható következményeit
A már megtett és tervezett helyreállítási intézkedéseket
Az ügyfélszolgálat elérhetőségét további információkért

6.3. Adatkezelő Felelőssége

Az Adatkezelő felelős azért, hogy:

A GDPR 33. cikke szerint 72 órán belül értesítse a NAIH-ot (Nemzeti Adatvédelmi és Információszabadság Hatóság), amennyiben az incidens kockázatot jelent
A GDPR 34. cikke szerint értesítse az érintetteket, amennyiben az incidens magas kockázatot jelent
Dokumentálja az incidenst és a megtett intézkedéseket

6.4. Együttműködés

Az Adatfeldolgozó teljes mértékben együttműködik az Adatkezelővel és szükség esetén a felügyeleti hatósággal az incidens kivizsgálásában, beleértve minden szükséges információ rendelkezésre bocsátását.

7. HARMADIK ORSZÁGBA TÖRTÉNŐ ADATTOVÁBBÍTÁS

7.1. Általános Szabály

Az adatok alapvetően az Európai Unióban, Frankfurt, Németországban (AWS eu-central-1) kerülnek tárolásra.

7.2. Kivételek (Opcionális Funkciók)

Harmadik országba (EU-n kívülre) történő adattovábbítás csak az Adatkezelő kifejezett döntése alapján, az alábbi esetekben:

A) Google Gemini AI (USA) - ÁSZF 9.7.2.

Funkció: Számlafeldolgozás (OCR), AI Kreatív Stúdió
Jogi alap: GDPR 46. cikk - Standard Contractual Clauses (SCC), EU-US Data Privacy Framework
Adatkezelés: Session-based, nem kerül hosszú távú tárolásra

B) Opcionális Integrációk - ÁSZF 9.7.3.

Platformok: Meta Ads, Google Ads, TikTok Ads (USA székhelyű cégek)
Jogi alap: GDPR 46. cikk - Standard Contractual Clauses (SCC)
Felelősség: Az Adatkezelő saját felelősségére kapcsolja be

7.3. Adatkezelő Jogai

Az Adatkezelő bármikor kikapcsolhatja ezeket az opcionális funkciókat, ezáltal megszüntetve a harmadik országba történő adattovábbítást.

8. FELELŐSSÉG ÉS KÁRTÉRÍTÉS

8.1. Felelősségi Viszony (GDPR 82. cikk)

Az Adatkezelő felelős az adatkezelés céljainak és eszközeinek meghatározásáért
Az Adatfeldolgozó felelős az utasítások szerinti, biztonságos adatfeldolgozásért
Megosztott felelősség: Amennyiben mindkét fél felelős, egyetemlegesen felelnek

8.2. Kárté rítés Mértéke

A kártérítés mértékét a GDPR 82. cikke és az ÁSZF 10.4.12. pontja határozza meg:

Közvetett károk, elmaradt haszon: Maximum az elmúlt 12 hónap előfizetési díjának összege
Közvetlen károk: Maximum az elmúlt 24 hónap előfizetési díjának összege
Kivétel: Szándékos vagy súlyosan gondatlan károkozás esetén nincs korlát

8.3. Harmadik Felek (Érintettek) Irányába

A GDPR 82. cikk (4) bekezdése alapján az érintettek mind az Adatkezelővel, mind az Adatfeldolgozóval szemben érvényesíthetik kártérítési igényüket.

9. A DPA IDŐTARTAMA ÉS MEGSZŰNÉSE

9.1. Hatálybalépés

A jelen DPA az ÁSZF elfogadásával automatikusan hatályba lép.

9.2. Időtartam

A DPA mindaddig hatályban marad, amíg az ÁSZF is hatályban van, plusz 30 nap (adatok törlésének/visszaadásának időtartama).

9.3. Megszűnés

A DPA megszűnik:

Az ÁSZF szerződés megszűnésével
Az adatok törlésének vagy visszaadásának befejezésével
A Felek közös megegyezésével

10. VEGYES RENDELKEZÉSEK

10.1. Módosítások

A jelen DPA módosítása csak írásbeli megállapodással lehetséges, kivéve:

Alvállalkozói lista frissítése (30 napos értesítéssel)
Jogszabályváltozáshoz szükséges módosítások

10.2. Alkalmazandó Jog és Joghatóság

Alkalmazandó jog: Magyar jog, GDPR
Joghatóság: Pesti Központi Kerületi Bíróság (1051 Budapest, Markó utca 27.)

10.3. Nyelvek

A jelen DPA magyar nyelven készült. Angol nyelvű verzió csak tájékoztató jellegű, jogvita esetén a magyar verzió az irányadó.

10.4. Kapcsolattartás

Adatfeldolgozó (Margyn) elérhetőségei:

Adatvédelmi kérdések: mate@interacticmedia.com
Incidens bejelentés: mate@interacticmedia.com (Subject: URGENT - Data Breach)
Általános kérdések: hello@margyn.io

10.5. Elválaszthatóság

Amennyiben a jelen DPA bármely rendelkezése érvénytelennek bizonyul, az nem érinti a többi rendelkezés érvényességét.

11. NYILATKOZATOK

11.1. Adatkezelő Nyilatkozata

Az Adatkezelő jelen DPA elfogadásával kijelenti és szavatol, hogy:

Megismerte és elfogadta a jelen DPA rendelkezéseit
Utasítást ad az Adatfeldolgozónak az adatkezelésre a DPA szerint
Tisztában van a GDPR szerinti kötelezettségeivel és felelősségi köreivel
A végfelhasználók felé megfelelő adatvédelmi tájékoztatást nyújt
Tudomásul veszi az alvállalkozók igénybevételét

11.2. Adatfeldolgozó Nyilatkozata

Az Adatfeldolgozó jelen DPA elfogadásával kijelenti és szavatol, hogy:

Kizárólag az Adatkezelő utasítása szerint dolgozza fel az adatokat
Megfelelő technikai és szervezési intézkedéseket alkalmaz
Értesíti az Adatkezelőt minden adatvédelmi incidensről 72 órán belül
Együttműködik az auditokban és vizsgálatokban
A szerződés megszűnése után törli vagy visszaadja az adatokat

A jelen DPA a Margyn Platform Általános Szerződési Feltételeinek (ÁSZF) elválaszthatatlan részét képezi és azzal együtt értelmezendő.

Hatálybalépés: 2025. november 1.