GDPR dokumentáció
Utolsó frissítés: 2026. március 24. (v2.0)
Ez az oldal tartalmazza a Resovu rendszer személyes adatok védelmével kapcsolatos kulcsfontosságú dokumentumait az EU 2016/679 rendeletnek (GDPR) megfelelően, amely az egész EU-ban és EGT-ben alkalmazandó, beleértve az érintett nemzeti adatvédelmi jogszabályokat.
A Resovu betartja a nemzeti adatvédelmi előírásokat minden országban, ahol működik: 110/2019 Sb. törvény (Csehország), 18/2018 Z.z. törvény (Szlovákia), Bundesdatenschutzgesetz — BDSG (Németország), személyes adatok védelméről szóló törvény (Lengyelország), az információs önrendelkezési jogról szóló törvény — GDPR adaptáció (Magyarország), Ley Orgánica de Protección de Datos — LOPDGDD (Spanyolország), Personopplysningsloven (Norvégia), Loi Informatique et Libertés (Franciaország).
1. Adatfeldolgozási szerződés (DPA)
1.1 A szerződés felei
Jelen adatfeldolgozási szerződés (a továbbiakban \"DPA\") a Resovu rendszert használó vállalkozás üzemeltetője (a továbbiakban \"Adatkezelő\") és a Resovu s.r.o. (a továbbiakban \"Adatfeldolgozó\") között jön létre. A DPA a Resovu szolgáltatás használati feltételeinek szerves része.
1.2 Az adatkezelés tárgya és időtartama
Az Adatfeldolgozó az Adatkezelő ügyfeleinek személyes adatait a foglalási rendszer nyújtása céljából kezeli. Az adatkezelés a szolgáltatási szerződés időtartama alatt történik. Érintettek kategóriái: az Adatkezelő foglalást végző ügyfelei. Adatkategóriák: név, vezetéknév, e-mail, telefon, foglalási adatok, opcionális egyéni mezők.
1.3 Az adatfeldolgozó kötelezettségei
Az Adatfeldolgozó kötelezettséget vállal: a személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezelni; biztosítani, hogy az adatkezelésre jogosult személyek titoktartási kötelezettséget vállaljanak; a GDPR 32. cikke szerinti összes intézkedést megtenni; az al-adatfeldolgozó bevonásának feltételeit betartani; az Adatkezelőnek a GDPR 32–36. cikke szerinti kötelezettségek teljesítésében segítséget nyújtani; a szerződés megszűnésekor minden személyes adatot törölni vagy visszaszolgáltatni; az Adatkezelőnek minden szükséges információt megadni a kötelezettségek teljesítésének igazolásához.
1.4 Az adatkezelő utasításai
Az Adatkezelő általános utasítást ad az Adatfeldolgozónak a személyes adatok kezelésére a Resovu szolgáltatás nyújtásához szükséges mértékben. Az Adatkezelő további utasításokat adhat a rendszer adminisztrációs felületén keresztül. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy az utasítás sérti a GDPR-t.
1.5 Al-adatfeldolgozók
Az Adatkezelő általános hozzájárulást ad az Adatfeldolgozónak az Al-adatfeldolgozók listája részben felsorolt további adatfeldolgozók (al-adatfeldolgozók) bevonásához. Az Adatfeldolgozó tájékoztatja az Adatkezelőt al-adatfeldolgozók hozzáadásával vagy cseréjével kapcsolatos tervezett változásokról. Az Adatkezelőnek 30 napon belül van lehetősége kifogást emelni a változásokkal szemben.
1.6 Biztonsági intézkedések
Az Adatfeldolgozó megfelelő technikai és szervezési intézkedéseket alkalmaz: AES-256-GCM adattitkosítás érzékeny mezőkhöz; HTTPS/TLS minden adatátvitelhez; bérlői adatok elkülönítése Row Level Security segítségével; szerepkör alapú hozzáférés-vezérlés (RBAC); IP-címek hashelése; személyes adatok automatikus törlése a megőrzési idő lejárta után; biztonsági fejlécek (CSP, HSTS, X-Frame-Options); rate limiting a visszaélés elleni védelemhez.
1.7 Biztonsági incidens bejelentése
Az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti az Adatkezelőt a személyes adatok biztonságát érintő bármilyen sérülésről annak tudomásra jutását követően. Az értesítés tartalmazza: a sérülés jellegének leírását, az érintettek kategóriáit és hozzávetőleges számát, a valószínű következményeket és a megtett intézkedéseket.
1.8 Együttműködés az érintetti jogok gyakorlásánál
Az Adatfeldolgozó segítséget nyújt az Adatkezelőnek a GDPR III. fejezete szerinti érintetti joggyakorlási kérelmek megválaszolásának kötelezettségében. A rendszer lehetővé teszi: az ügyféladatok exportálását (20. cikk), adatok anonimizálását/törlését (17. cikk), a kezelt adatok áttekintését (15. cikk).
1.9 Audit
Az Adatfeldolgozó lehetővé teszi az Adatkezelő vagy az általa megbízott auditor számára az auditok és ellenőrzések elvégzését, és hozzájárul ezekhez. Az Adatfeldolgozó megadja az Adatkezelőnek a GDPR 28. cikkében meghatározott kötelezettségek betartásának igazolásához szükséges összes információt. Az audit évente egyszer végezhető el 30 napos előzetes értesítéssel.
1.10 Az adatkezelés időtartama és törlés
A szolgáltatásnyújtás befejezése után az Adatfeldolgozó 30 napon belül töröl minden személyes adatot, kivéve, ha az EU vagy tagállami jog megőrzésüket írja elő. Az Adatkezelő a megszűnés előtt exportálhatja összes adatát a rendszer adminisztrációs felületén elérhető GDPR export funkcióval.
2. Az adatkezelési tevékenységek nyilvántartása (ROPA)
A GDPR 30. cikke szerinti nyilvántartás a Resovu rendszeren keresztül végzett adatkezelési tevékenységekről.
| Az adatkezelés célja | Jogalap | Adatkategóriák | Érintettek kategóriái | Megőrzési idő |
|---|---|---|---|---|
| Foglaláskezelés | 6. cikk (1)(b) — szerződés teljesítése | Név, e-mail, telefon, foglalás dátuma, megjegyzés | Foglalást végző ügyfelek | Konfigurálható (alapértelmezett 365 nap) |
| Kommunikáció (visszaigazolások, emlékeztetők) | 6. cikk (1)(b) — szerződés teljesítése | Név, e-mail, telefon, foglalás részletei | Aktív foglalással rendelkező ügyfelek | A foglalások megőrzési idejének megfelelően |
| Fizetésfeldolgozás | 6. cikk (1)(b) — szerződés teljesítése | Fizetési adatok (a Stripe dolgozza fel, soha nem tárolódnak a Resovuban) | Online fizetést végző ügyfelek | A Stripe feltételeinek megfelelően |
| Marketing (hozzájárulással) | 6. cikk (1)(f) — jogos érdek | Név, e-mail | Marketing hozzájárulást adó ügyfelek | A hozzájárulás visszavonásáig |
| Biztonság és visszaélés elleni védelem | 6. cikk (1)(a) — hozzájárulás | IP-cim, user-agent (atmenetileg rate limitinghez) | A rendszer összes felhasználója | Az auditnapló megőrzési idejének megfelelően |
| Könyvelés és számlázás | 6. cikk (1)(c) — jogi kötelezettség | Cégnév, adószám, adóazonosító, e-mail, cím | A rendszer üzemeltetői (bérlői) | 5 év (számviteli törvény) |
3. Személyes adatok biztonságának megsértésénél követendő eljárás
3.1 Felismerés és bejelentés
A Resovu monitorozó rendszereket alkalmaz a biztonsági incidensek felismerésére. Minden alkalmazott és együttműködő köteles azonnal jelenteni az adatbiztonsági sérülés bármely gyanúját a vezetőségnek.
3.2 Súlyosság értékelése
Az incidens megállapítása után a felelős személy haladéktalanul értékeli: az érintett adatok körét, az érintettek számát, a jogokra és szabadságokra gyakorolt valószínű hatást, az adatok titkosítottságát, a hatás enyhítésének lehetőségét.
3.3 Bejelentés a felügyeleti hatóságnak
Ha a biztonsági sérülés valószínűleg kockázatot jelent a természetes személyek jogaira és szabadságaira, a Resovu a tudomásszerzéstől számított 72 órán belül bejelenti az incidenst az illetékes felügyeleti hatóságnak. A bejelentés tartalmazza: a sérülés jellegének leírását, a DPO elérhetőségeit, a valószínű következmények leírását, a megtett intézkedések leírását. Felügyeleti hatóságok: ÚOOÚ — www.uoou.cz (Csehország), ÚOOU SR — www.dataprotection.gov.sk (Szlovákia), BfDI — www.bfdi.bund.de (Németország), UODO — www.uodo.gov.pl (Lengyelország), NAIH — www.naih.hu (Magyarország), AEPD — www.aepd.es (Spanyolország), Datatilsynet — www.datatilsynet.no (Norvégia).
3.4 Értesítés az érintettek számára
Ha a sérülés valószínűleg magas kockázatot jelent a természetes személyek jogaira és szabadságaira, a Resovu indokolatlan késedelem nélkül tájékoztatja az érintetteket. Az értesítés közérthető nyelven készül, és tartalmazza a hatás enyhítésére vonatkozó ajánlásokat.
3.5 Dokumentáció
Minden biztonsági incidens a belső nyilvántartásban kerül rögzítésre, beleértve: a felismerés dátumát, az incidens leírását, az érintett adatokat és személyeket, a megtett intézkedéseket, a felügyeleti hatóság és érintettek értesítésére vonatkozó döntést, a vizsgálat eredményeit.
3.6 Incidensbejelentési kapcsolat
Biztonsági incidenseket a security@resovu.cz címre jelentsen. A tárgyban tüntesse fel: \"Biztonsági incidens\". Adjon meg minél több információt az incidens jellegéről és kiterjedéséről.
4. Al-adatfeldolgozók listája
| Szolgáltató | Szolgáltatás | Adatok helye | Garanciák |
|---|---|---|---|
| Supabase (AWS) | Adatbázis, hitelesítés, tárolás | EU (Frankfurt, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Fizetésfeldolgozás | EU (Írország) + US | DPA, SCC, PCI DSS Level 1 |
| Vercel | Hosting, Edge Network, serverless | Globális CDN (edge az EU-ban) | DPA, SOC 2 Type II |
| Resend | Tranzakciós e-mailek | US | DPA, SCC |
| Infobip | SMS emlékeztetők | EU (Frankfurt) + globális | DPA, SCC, ISO 27001 |
| Naptár szinkronizálás (opcionális) | US | DPA, SCC | |
| Sentry (Functional Software Inc.) | Hibafigyelés | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | EU (Frankfurt) | DPA, SOC 2 |