Adatfeldolgozói Szerződés (DPA)
(Verzió: 1.0 - Érvényes: 2026.01.01)
Jelen Adatfeldolgozói Szerződés (a továbbiakban: „Szerződés”) a Kralkinevű online szolgáltatás igénybevétele kapcsán jön létre a következő felek között:
1. Felek
1.1. Adatkezelő („Ügyfél”)
A Kralki szolgáltatás bármely regisztrált felhasználója, aki a szolgáltatásba személyes adatokat tölt fel vagy kezel.
1.2. Adatfeldolgozó („Szolgáltató”)
Szolgáltató:
Név: Szathmári Róbert ev. - Kralki
Székhely: Budapest, 1131, Béke utca 118.
EV adószám: 91861546-1-41
Nyilvántartási szám: 62021142
E-mail: support@kralki.com
A Szolgáltató a Kralki platformot üzemelteti, és az Ügyfél utasításai alapján kezeli az adatokat.
2. A Szerződés tárgya
A Szolgáltató a Kralki nevű online foglalási és vállalkozásmenedzsment rendszer működtetésével összefüggésben adatfeldolgozói tevékenységet végez az Ügyfél számára.
3. A feldolgozott adatok köre
A Szolgáltató az Ügyfél nevében az alábbi személyes adatokat kezeli:
3.1. Ügyfél (Ügyfél vállalkozása) által kezelt személyes adatok
Ügyfelek neve
Ügyfelek e-mail címe
Telefonszám
Foglalási adatok (időpont, szolgáltatás, megjegyzés)
Alkalmazottak neve, email címe
Alkalmazotti munkaidő-beosztások
Üzleti statisztikák és analitika adatok
3.2. A rendszer működéséhez szükséges technikai adatok
IP cím
böngésző adatai
naplófájlok
session információk
A Szolgáltató nem kezeli és nem fér hozzá bankkártyaadatokhoz; azokat a Stripe kezeli.
4. Az adatkezelés célja
A feldolgozás célja kizárólag:
a Kralki szolgáltatás működtetése
az Ügyfél vállalkozásának foglalási és menedzsment folyamatait biztosítani
technikai üzemeltetés
hibajavítás és support
A Szolgáltató az adatokat nem használhatja fel saját célra, nem továbbíthatja jogosulatlanul, és nem hozhatja nyilvánosságra.
5. Az adatkezelés időtartama
A Szolgáltató az adatokat az Ügyfél fiókjának fennállásáig kezeli.
A fiók törlésével az adatok visszaállíthatatlanul törlődnek, kivéve:
a jogszabály által kötelező ideig tárolandó számlázási adatok (8 év)
6. Az adatfeldolgozó kötelezettségei
A Szolgáltató vállalja:
kizárólag az Ügyfél utasításai alapján jár el
megfelelő technikai és szervezési intézkedéseket alkalmaz (TLS, jelszóhash, backup stb.)
gondoskodik az adattárolás biztonságáról
biztosítja, hogy munkatársai titoktartási kötelezettség hatálya alatt állnak
bejelenti az adatvédelmi incidenseket 72 órán belül (GDPR 33. cikk)
együttműködik a hatóságokkal
hozzáférést biztosít a GDPR szerinti jogérvényesítéshez
7. Alvállalkozók (Sub-processors)
A Szolgáltató a feldolgozáshoz a következő alvállalkozókat veszi igénybe:
7.1 Stripe Payments Europe Ltd.
Cél: fizetéskezelés
Adatok: tranzakciós metaadatok
Hely: EU + USA (megfelelő garanciákkal)
7.2 Hosting szolgáltató
Cég megnevezése később kerül beírásra (pl. Hetzner / AWS / Contabo)
Adatok: minden adat tárolása
Hely: EU vagy EU-n kívül (SCC-k mellett)
7.3. Email szolgáltató (ha lesz)
Resend
Cél: email kézbesítés
A Szolgáltató új alvállalkozó bevonása esetén köteles erről az Ügyfelet értesíteni.
8. Biztonsági intézkedések
A Szolgáltató:
titkosított kommunikációt alkalmaz (HTTPS/TLS)
jelszavakat modern, sózott hash algoritmussal tárol
rendszeres biztonsági mentéseket készít
naplózza a hozzáférési eseményeket
hozzáférést csak autorizált személyeknek enged
védi a szervereket tűzfalakkal
DDOS elleni védelemmel rendelkezik
9. Az Ügyfél kötelezettségei
Az Ügyfél felelős:
a saját ügyfelei adatainak törvényes kezeléséért
az adatok helyességéért
a saját bejelentési kötelezettségeiért
az accountja biztonságáért
Az Ügyfél köteles biztosítani, hogy jogosult a Szolgáltató számára adatot átadni.
10. Adatvédelmi incidensek kezelése
A Szolgáltató köteles:
az Ügyfelet indokolatlan késedelem nélkül értesíteni
legkésőbb 72 órán belül bejelentést tenni a hatóságnak (ha szükséges)
tájékoztatást adni az incidens természetéről, érintett adatokról, következményekről és megtett intézkedésekről
11. Ellenőrzés
Az Ügyfél jogosult:
a Szolgáltató GDPR-megfelelőségét ellenőrizni
auditot lefolytatni ésszerű keretek között
12. A szerződés megszűnése
A szerződés megszűnik:
az Ügyfél fiókjának törlésével
a szolgáltatás megszűnésével
a szerződés felmondásával
Megszűnés esetén:
minden adat törlésre kerül (kivéve adózási kötelezettség alá eső adatok)
backupokból az adatok a ciklusok lezártával automatikusan törlődnek
13. Irányadó jog
A DPA-ra a magyar jog és a GDPR az irányadó.