Utolsó frissítés: 2026. május 10. Ez a változat tükrözi a jelenlegi alfeldolgozói felépítést, beleértve az OpenAI-t a szövegbeágyazásokhoz és a kontextuális AI-válaszokhoz. A szükséges alfeldolgozók jövőbeli változásaira a 7.3. szakaszban foglalt értesítési és kifogásolási szabályok vonatkoznak.

Ezen DPA német nyelvű változata a jogilag kötelező érvényű. A fordítások kényelmi célokat szolgálnak; ellentmondás esetén a német változat az irányadó.

1. Preambulum és hatály

Ez az adatfeldolgozási megállapodás (DPA) a személyes adatok feldolgozását szabályozza a GDPR 28. cikke szerint a következő felek között:

  • Adatkezelő: A PlotonIQ ügyfele (a továbbiakban: „Adatkezelő")
  • Adatfeldolgozó: K-Werbetechnik, tulajdonos: Ralph Kowalski, Banatstraße 31, 66424 Homburg, Németország, a PlotonIQ platformon keresztül képviselve (a továbbiakban: „Adatfeldolgozó")

Ez a DPA a Szolgáltatási Feltételek szerves részét képezi, és az Adatkezelő nevében történő személyes adatkezelést szabályozza a PlotonIQ szolgáltatások keretében.

2. Az adatfeldolgozás tárgya és időtartama

Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő nevében és dokumentált utasításai szerint dolgozza fel.

2.1 Az adatfeldolgozás tárgya

Az adatfeldolgozás a következő kategóriákra terjed ki:

  • Ügyféladatok: Az Adatkezelő ügyfeleinek nevei, címei, e-mail-címei, telefonszámai, cégnevei
  • Megrendelési adatok: Projektleírások, határidők, követelmények, módosítások
  • Teljesítményadatok: Kalkulációk, anyagspecifikációk, méretek, területek
  • Kommunikációs adatok: E-mailek, csevegőüzenetek, jegyzetek és hangfelvételek az üzleti működés során
  • Csapatadatok: Munkavállalói adatok, helyadatok (ha a geofencing aktiválva van), jogosultságok
  • Pénzügyi adatok: Számlázási információk, fizetési adatok (tokenizált), hitelkártyaadatok (kizárólag Stripe)
  • Vizuális adatok: Fényképek az AI méretfelismeréshez, képernyőképek, design-javaslatok

2.2 Az adatfeldolgozás időtartama

Az adatfeldolgozás a teljes szerződéses időszak alatt és azon túl is megtörténik a 8. szakasz (Adattörlés és megőrzés) szerint.

3. Az adatfeldolgozás jellege és célja

Az Adatfeldolgozó a következő célokból dolgozza fel az adatokat:

  • A PlotonIQ szolgáltatások biztosítása és kezelése (ajánlatkalkulációk, méretfelismerés, megrendeléskezelés, CRM, időnyilvántartás)
  • AI-alapú kalkulációk és elemzések az Anthropic Claude API használatával
  • Szövegbeágyazások az OpenAI text-embedding-3-large (1536 dimenzió) használatával szemantikus kereséshez és kontextuális AI-válaszokhoz (RAG)
  • Automatikus méretfelismerés fényképekről számítógépes látás (SAM/DINO) segítségével
  • Kommunikáció a felhasználókkal (tranzakciós e-mailek, értesítések)
  • Fizetés feldolgozása és számlázás
  • Biztonsági és hitelesítési intézkedések megvalósítása
  • Naplózás és rendszerfelügyelet biztonsági és hibadiagnosztikai célokra
  • Geofencing és csapatkezelés (opcionális, csak ha aktiválva van)

4. Az érintettek kategóriái

Az Adatfeldolgozó a következő személyek adatait dolgozza fel:

  • Az Adatkezelő ügyfelei (a táblafeliratozási szolgáltatások végfelhasználói)
  • Az Adatkezelő munkavállalói (platformfelhasználók)
  • Az Adatkezelő alvállalkozói és partnerei
  • Kapcsolattartók és képviselők

5. A személyes adatok kategóriái

Az Adatfeldolgozó a következő kategóriákat dolgozza fel:

  • Törzsadatok: Név, megszólítás, cím, telefonszám, e-mail-cím, cégnév
  • Azonosító adatok: Felhasználói azonosító, JWT tokenek, munkamenet-sütik, böngésző-ujjlenyomat (hashelt)
  • Helyadatok: IP-cím, GPS-koordináták (csak ha a geofencing aktiválva van)
  • Üzleti adatok: Projektleírások, kalkulációk, ajánlatok, megrendelések, számlák
  • Kommunikációs adatok: Üzenetek, hanganyag-átiratok, e-mailek
  • Műszaki adatok: Naplófájlok, szerverlogok, rendszer-hozzáférések, hibanaplók
  • Különleges kategóriák: Nincsenek (kivéve önként megadott azonosító információkat)

6. Az Adatfeldolgozó kötelezettségei — Műszaki és szervezési intézkedések

6.1 Műszaki biztonsági intézkedések

  • Adattitkosítás:
    • AES-256 titkosítás az érzékeny adatokhoz az adatbázisban
    • TLS 1.2+ az adatátvitelhez (HTTPS)
    • JWT-hitelesítés httpOnly sütikkel (JavaScripttel nem elérhető)
  • Adatbázis-védelem:
    • PostgreSQL adatbázis erős hitelesítéssel
    • Titkosított kapcsolatok az alkalmazás és az adatbázis között
    • Rendszeres automatizált biztonsági mentések titkosítással
    • Redundáns tárolás és katasztrófa-helyreállítás
  • Hozzáférés-szabályozás:
    • Szerepkör-alapú hozzáférés-szabályozás (RBAC)
    • Többbérlős architektúra szigorú bérlőelkülönítéssel
    • Auditnaplók minden adminisztratív hozzáférésről
    • A legkisebb jogosultság elve: nincsenek szükségtelen jogosultságok
  • Hálózati biztonság:
    • DDoS-védelem a Cloudflare-en keresztül
    • Tűzfalszabályok és behatolásérzékelés
    • Rendszeres biztonsági frissítések és javítások
  • API-biztonság:
    • JWT-alapú API-hitelesítés
    • Sebességkorlátozás a brute-force támadások megelőzésére
    • Nincsenek érzékeny adatok URL-ekben vagy lekérdezési paraméterekben

6.2 Szervezési biztonsági intézkedések

  • Személyzet és képzés:
    • Korlátozott számú munkavállaló rendelkezik hozzáféréssel az ügyféladatokhoz
    • Titoktartási megállapodások (NDA-k) minden munkavállalóval
    • Adatvédelmi képzés az érintett személyzet számára
  • Adatvédelmi irányítás:
    • Adatvédelmi szabályzat és ez a DPA
    • Adatvédelmi tisztviselő (ahol szükséges)
    • Szabályzatok a személyes adatok védelmére és felhasználására
  • Incidenskezelés:
    • Eljárások az adatvédelmi incidensek észlelésére és bejelentésére
    • Az Adatkezelő értesítése 24 órán belül a tudomásra jutott biztonsági incidensek esetén
    • Együttműködés a hatóságok és érintett személyek felé történő bejelentési kötelezettségekben
  • Dokumentáció és felügyelet:
    • Adatkezelési tevékenységek nyilvántartása a GDPR 30. cikke szerint
    • Rendszeres biztonsági auditok
    • Minden adathozzáférés naplózása (ahol műszakilag megvalósítható)
  • Fizikai biztonság:
    • Tárhelyszolgáltatás a Hetzner Online GmbH-nál (Falkenstein, Németország) ISO-27001 tanúsítvánnyal
    • Fizikai hozzáférés szabályozása az adatközponthoz
    • A tárhelyszolgáltató felügyeleti és biztonsági intézkedései

7. Alfeldolgozók és harmadik felek

Az Adatfeldolgozó a következő alfeldolgozókat és szolgáltatókat veszi igénybe a szolgáltatások nyújtásához:

7.1 Szükséges alfeldolgozók

Szolgáltatás Szolgáltató Helyszín Cél Adattovábbítás
Szervertárhely Hetzner Online GmbH Falkenstein, Németország Adatbázis, alkalmazásszerver EU-n belüli (DE)
CDN / DDoS-védelem Cloudflare, Inc. San Francisco, USA Webhely-teljesítmény, biztonság USA (EU-US DPF, SCC)
Tranzakciós e-mailek Brevo SAS Párizs, Franciaország Visszaigazoló és értesítő e-mailek EU-n belüli (FR)
Fizetés feldolgozása Stripe, Inc. San Francisco, USA Kártyás fizetések, előfizetéskezelés USA (SCC) — tokenizált
AI API (Kalkulációk) Anthropic, PBC San Francisco, USA AI-kalkulációk, szöveggenerálás USA (SCC) — Zero Data Retention
AI API (opcionális hangátírás, elsődleges) Groq, Inc. Mountain View, USA Elsődleges STT-átírás hangjegyzetekhez whisper-large-v3 modellel, ha az opcionális hangátírási funkciót az Adatkezelő használja USA (SCC) — feldolgozás a GroqCloud DPA alapján az STT funkció biztosítása érdekében
AI API (szövegbeágyazások és kontextuális segítségnyújtás) OpenAI, L.L.C. San Francisco, USA Szövegbeágyazások a text-embedding-3-large (1536 dimenzió) modellel szemantikus kereséshez és kontextuális AI-válaszokhoz (RAG); kiválasztott szöveg- és asszisztensfunkciók ahol aktívak USA (EU-US DPF, SCC) — az API-adatok alapértelmezés szerint nem kerülnek felhasználásra képzéshez; visszaélés-felügyeleti naplók legfeljebb 30 napig
AI API (opcionális hangátírás) OpenAI, L.L.C. San Francisco, USA OpenAI gpt-4o-transcribe csak tartalék STT-útvonalként, ha a Groq STT nem elérhető és a hangátírást az Adatkezelő használja és ennek megfelelően konfigurálta USA (EU-US DPF, SCC) — opcionális útvonal, elkülönítve a beágyazásoktól/RAG-tól

7.2 Harmadik országokba történő továbbítások

Az USA-ba történő adattovábbításokra a következő mechanizmusok vonatkoznak:

  • EU-US Data Privacy Framework (DPF): A Cloudflare és az OpenAI a szolgáltatók képviselete szerint az EU-US Data Privacy Framework keretében tanúsított
  • Általános szerződési feltételek (SCC-k): Az Anthropic, Groq, OpenAI és Stripe esetében, ahol harmadik országba történő továbbítás történik

Az Adatkezelő a Szolgáltatási Feltételek elfogadásával hozzájárul ezen továbbításokhoz.

7.3 Az alfeldolgozók változásai

Az Adatfeldolgozó tájékoztatja az Adatkezelőt új szükséges alfeldolgozók igénybevétele vagy a meglévő szükséges alfeldolgozók lényeges módosítása előtt. Az Adatkezelőnek joga van kifogást emelni az új vagy lényegesen módosított szükséges alfeldolgozók használata ellen az értesítéstől számított 30 napon belüli írásbeli értesítéssel. Ha nem nyújtanak be időben kifogást, a jövőbeli változások használata az értesítési határidő után elfogadottnak minősül. Ebben az esetben bármelyik fél felmondhatja a szerződéses kapcsolatot.

8. Adattörlés és megőrzés

8.1 Törlési határidők a szerződés megszűnése után

  • Ügyfél- és projektadatok: Az Adatkezelő kérésére törlésre kerülnek, legkésőbb a szerződés megszűnését követő 30 napon belül
  • Biztonsági mentések: A Hetzner megőrzési szabályai szerint körülbelül 30-90 nap után automatikusan törlődnek
  • Naplófájlok és rendszeradatok: 90 nap után automatikusan anonimizálódnak vagy törlődnek
  • Pénzügyi nyilvántartások és számlák: A német adójog (§14 StGB, §239 HGB) szerint 6-10 évig megőrzésre kerülnek

8.2 A használat során fennálló törlési jog

Az Adatkezelő bármikor kérheti az egyes nyilvántartások törlését, kivéve, ha azt jogszabály akadályozza. A törölt adatok nem állíthatók helyre.

8.3 Adatexport

Az Adatkezelő strukturált, általános formátumú (pl. CSV, JSON) adatexportot kérhet a hordozhatóság biztosítása érdekében.

9. Az Adatkezelő jogai és kötelezettségei

9.1 Az Adatkezelő utasításai

Az Adatkezelő a személyes adatok feldolgozására vonatkozó utasításokat a következőkön keresztül adhatja:

  • A platformbeállítások konfigurálása
  • Kifejezett írásbeli utasítás e-mailben a [email protected] címre
  • API-végpontok használata megfelelő paraméterekkel

9.2 Az Adatkezelő együttműködése

Az Adatkezelő felelős a következőkért:

  • Bejelentkezési hitelesítő adatok és hozzáférési kódok biztosítása
  • A vonatkozó jogszabályok betartása az ügyféladatok gyűjtése során
  • A feldolgozott adatok pontossága és jogszerűsége
  • Az adatfeldolgozás jogalapjának dokumentálása
  • Az érintett személyek értesítése a GDPR szerint (ahol szükséges)

9.3 Az Adatkezelő adatvédelmi szabályzata

Az Adatkezelő felelős saját adatvédelmi szabályzatának biztosításáért a végfelhasználók számára, közzétéve, hogy az adatok továbbításra kerülnek a PlotonIQ / az Adatfeldolgozó részére.

10. Az érintettek jogai és kötelezettségei

Az Adatfeldolgozó támogatja az Adatkezelőt az érintettek jogainak teljesítésében:

  • Hozzáférési jog (GDPR 15. cikk): Az Adatkezelő hozzáférést kérhet; az Adatfeldolgozó 14 napon belül válaszol
  • Helyesbítéshez való jog (GDPR 16. cikk): Az érintettek helyesbíthetik vagy kérhetik a hibás adatok helyesbítését
  • Törléshez való jog (GDPR 17. cikk): A törlési kérelmek 14 napon belül feldolgozásra kerülnek (kivéve a jogi megőrzési kötelezettségeket)
  • Az adatkezelés korlátozásához való jog (GDPR 18. cikk): Elérhető a platformbeállításokon keresztül
  • Adathordozhatósághoz való jog (GDPR 20. cikk): Az Adatkezelő szabványos formátumban exportálhatja az adatokat
  • Tiltakozáshoz való jog (GDPR 21. cikk): A jogos érdeken alapuló adatkezelésre vonatkozik

11. Adatvédelmi incidensek és értesítési kötelezettségek

11.1 Adatvédelmi incidens bejelentése

Adatvédelmi incidens esetén az Adatfeldolgozó haladéktalanul, de legkésőbb 24 órán belül írásban értesíti az Adatkezelőt. Az értesítés tartalmazza:

  • Az incidens jellege és terjedelme
  • Az érintett személyek kategóriái és hozzávetőleges száma
  • Az incidens valószínű következményei
  • A kár orvoslása és enyhítése érdekében megtett és tervezett intézkedések
  • Az adatvédelmi tisztviselő vagy kapcsolattartó neve és elérhetősége

11.2 Együttműködés a hatóságokkal

Az Adatfeldolgozó együttműködik az Adatkezelővel és az illetékes adatvédelmi hatóságokkal, és segíti az Adatkezelőt a következőkben:

  • Az érintett személyek értesítése
  • Bejelentés az illetékes felügyeleti hatóságnál
  • Vizsgálatok és auditok

12. Az Adatkezelő ellenőrzési jogai

12.1 Vizsgálati jogok

Az Adatkezelő jogosult kérésre auditálni, hogy az Adatfeldolgozó hogyan kezeli a személyes adatokat:

  • Hozzáférés az adatkezelési tevékenységek nyilvántartásához
  • A biztonsági intézkedések áttekintése
  • Auditok előzetes értesítéssel

Az auditokat a szokásos munkaidőben kell elvégezni, és nem zavarhatják lényegesen a működést.

12.2 Tanúsítványok és auditok

Az Adatfeldolgozó a következő bizonyítékokat bocsátja rendelkezésre:

  • Hetzner ISO-27001 tanúsítvány (tárhelyszolgáltató)
  • SOC-2 jelentés (ha rendelkezésre áll)
  • Biztonsági szabályzatok és intézkedési katalógus

13. Privacy by Design és Privacy by Default

Az Adatfeldolgozó a GDPR 25. cikke szerinti privacy by design elvet alkalmazza:

  • Minimális adatgyűjtés: csak a szükséges adatokat gyűjtjük
  • Álnevesítés: a böngésző-ujjlenyomatok hashelve vannak
  • Titkosítás: AES-256 az érzékeny adatokhoz
  • Hozzáférés-szabályozás: szerepkör-alapú jogosultságok
  • Rendszeres felülvizsgálat: auditok és penetrációs tesztelés

14. AI-feldolgozás és automatizált döntéshozatal

14.1 Az AI-feldolgozás jellege

A PlotonIQ AI-t használ a következőkre:

  • Ajánlatkalkulációk (Anthropic Claude API)
  • Szövegbeágyazások az OpenAI text-embedding-3-large (1536 dimenzió) modellel szemantikus kereséshez és kontextuális AI-válaszokhoz (RAG)
  • Területek és méretek felismerése fényképekről (SAM/DINO — helyileg a Hetzneren)
  • Hangjegyzetek átírása (opcionális STT-funkció; elsősorban Groq whisper-large-v3, OpenAI gpt-4o-transcribe csak tartalékként, ha használatban van és konfigurálva)
  • Üzleti betekintések és ajánlások generálása

Az OpenAI beágyazásokhoz és RAG-hoz csak célhoz kötött szövegrészletek kerülnek továbbításra, különösen a megrendelési, jegyzet- és lehetőségszövegek részletei. A felhasználói tartalomtól függően ügyfélnevek, kapcsolattartói adatok, címek, valamint mérési, projekt- vagy jegyzetadatok is szerepelhetnek.

Az OpenAI beágyazásokhoz/RAG-hoz nem kerülnek továbbításra Stripe fizetési adatok, bejelentkezési hitelesítő adatok vagy jelszóhashek, nyers backend-adatbázis-mentések vagy adatexportok, SAM/DINO képadatok látásszegmentációhoz, vagy szándékosan a GDPR 9. cikke szerinti különleges személyesadat-kategóriák.

14.2 Nincs tisztán automatizált döntéshozatal

A GDPR 22. cikke szerint NINCS jogi hatással járó tisztán automatizált döntéshozatal. Ez azt jelenti:

  • Az AI-kalkulációk JAVASLATOK, nem kötelező érvényűek
  • A felhasználók mindig manuálisan döntenek
  • Nincs automatizált megrendelés- vagy ügyfél-elutasítás

14.3 Átláthatóság az AI használatában

A felhasználókat egyértelműen tájékoztatjuk, ha AI vesz részt egy folyamatban a következőkön keresztül:

  • Címkézett területek a felhasználói felületen (pl. „AI-javaslat")
  • Az AI-megközelítés magyarázata súgószövegekben
  • Ez az adatvédelmi szabályzat és ez a DPA

15. EU AI Act — Megfelelőség

A PlotonIQ-ban használt AI-rendszerek az EU AI Act szerint a következőképpen vannak besorolva:

  • Szöveggenerálás (Claude API): Korlátozott kockázat — átláthatósági követelmények teljesítve
  • Szemantikus keresés és RAG (OpenAI text-embedding-3-large, 1536 dimenzió): Korlátozott kockázat — asszisztens- és kontextusfunkció, nincs automatizált döntés
  • Méretfelismerés (SAM/DINO): Korlátozott kockázat — helyileg végrehajtva, nincs harmadik országba történő továbbítás
  • Hangátírás (Groq whisper-large-v3, OpenAI gpt-4o-transcribe tartalék): Korlátozott kockázat — felhasználói opt-in szükséges

NINCSENEK magas kockázatú AI-alkalmazások az AI Act szerint.

16. Díjak és költségek

Ez az adatfeldolgozási megállapodás az előfizetési szerződés részét képezi. NINCSENEK további díjak ezen DPA-nak való megfelelésért.

17. Jogalap és hatály

  • Elsődleges jogalap: EU GDPR (2016/679), GDPR, ePrivacy irányelv (Németország)
  • Hatály: Minden Németországban vagy az EU-ban bejegyzett székhelyű felhasználó
  • Hatályos: 2026. április 1.
  • Nyelv: Német; eltérések esetén a német változat alkalmazandó

18. Időtartam és felmondás

18.1 Szerződéshez kötött időtartam

Ez a DPA az előfizetési szerződéssel párhuzamosan fut. Az előfizetés megszűnésével ez a DPA is megszűnik.

18.2 Felmondás

Ezen DPA felmondása csak az előfizetési szerződés felmondásával együtt lehetséges.

18.3 A felmondás következményei

A felmondást követően az ügyféladatok a 8. szakasz szerint törlésre kerülnek, vagy megőrzésre kerülnek, ha azt jogszabály előírja.

19. Ezen DPA módosításai

Az Adatfeldolgozó 30 napos felmondási idővel módosíthatja ezt a DPA-t, ha:

  • Jogi vagy szabályozási követelmények ezt megkövetelik
  • A változtatás javítja a személyes adatok védelmét
  • Az Adatkezelő nem emel írásban kifogást 30 napon belül

Az Adatkezelőt a változásokról előre, írásban tájékoztatjuk.

20. Kapcsolat és panaszok

20.1 Az Adatfeldolgozó kapcsolattartási címe

K-Werbetechnik / PlotonIQ
Banatstraße 31
66424 Homburg
Németország
E-mail: [email protected]
Telefon: +49 (0)6821-6797414

20.2 Adatvédelmi hatóság

Az adatfeldolgozással kapcsolatos panaszokat az illetékes adatvédelmi hatóságnál lehet benyújtani. A németországi (Saar-vidék) elérhetőségek a következők:

Független Adatvédelmi Központ Saar-vidék
Fritz-Dobisch-Straße 12
66111 Saarbrücken, Németország
E-mail: [email protected]
Webhely: www.datenschutz.saarland.de

21. Érvényesség és elválaszthatósági záradék

Amennyiben ezen DPA bármely rendelkezése érvénytelen, ez nem érinti a teljes megállapodás érvényességét. A felek megegyeznek egy érvényes helyettesítő rendelkezésben, amely megfelel az eredeti megállapodás gazdasági céljának.

22. Záró rendelkezések

Ez az adatfeldolgozási megállapodás 2026. április 1-jén lép hatályba, és kötelező érvényű minden olyan PlotonIQ-ügyfélre, aki ezen időponttól kezdve szerződést köt vagy meglévő szerződéseket megújít.

Verzió: 1.1

Hatályos: 2026. április 1.

Utolsó frissítés: 2026. május 10.