Adatfeldolgozási kiegészítés
Legutóbb frissítve: 2026. május 16.
A jelen Adatfeldolgozási kiegészítés angol, német, egyszerűsített kínai, spanyol és magyar nyelven kerül közzétételre. A nyelvi változatok közötti ellentmondás esetén az angol változat irányadó. A hivatkozás útján beépített Általános Szerződési Feltételekre az Európai Unió Hivatalos Lapjában közzétett hiteles szövegek vonatkoznak.
A jelen Adatfeldolgozási kiegészítés („DPA") a Master Services Agreement, a Felhasználási feltételek vagy bármely más, a Haltless Kft. („Haltless") és az ezen szerződésben megjelölt ügyfél („Ügyfél") között a Haltless szolgáltatások nyújtására kötött írásbeli vagy elektronikus szerződés („Szerződés") részét képezi. A DPA szabályozza az Ügyfél személyes adatainak Haltless általi kezelését a Szolgáltatásokkal összefüggésben. A Szerződés és a jelen DPA közötti adatvédelmi tárgyú ellentmondás esetén a jelen DPA érvényesül az ellentmondás mértékéig. A Haltless időről időre frissítheti a jelen DPA-t a vonatkozó jogszabályok vagy a Szolgáltatások változásainak figyelembevétele érdekében, a Szerződés szerinti értesítéssel.
1. Fogalommeghatározások
Az „adatkezelő", „adatfeldolgozó", „érintett", „személyes adat", „adatkezelés" és „felügyeleti hatóság" kifejezések a GDPR-ban meghatározott jelentéssel bírnak. A jelen DPA-ban használt, de nem meghatározott egyéb nagy kezdőbetűs kifejezések a Szerződésben rögzített jelentéssel bírnak. Az alábbi fogalommeghatározások is alkalmazandók:
- "Alkalmazandó adatvédelmi jog"
- A jelen DPA alapján az Ügyfél személyes adatainak kezelésére alkalmazandó valamennyi jogszabály, beleértve: (i) az (EU) 2016/679 rendeletet (általános adatvédelmi rendelet, „GDPR"); (ii) az Egyesült Királyság 2018. évi adatvédelmi törvényét és az UK GDPR-t; (iii) Svájc szövetségi adatvédelmi törvényét; (iv) a 2018. évi kaliforniai fogyasztói adatvédelmi törvényt a kaliforniai adatvédelmi jogokról szóló törvénnyel módosított formában („CCPA"); (v) a Kínai Népköztársaság személyes információk védelméről szóló törvényét („PIPL"); és (vi) bármely egyéb alkalmazandó adatvédelmi vagy magánéletvédelmi jogszabályt, mindenkor hatályos vagy felváltó változatában.
- "Ügyfél személyes adatai"
- Minden olyan személyes adat, amelyet a Haltless az Ügyfél nevében a Szolgáltatásokkal összefüggésben kezel. Nem tartoznak ide az Ügyfél számlázási kapcsolattartóinak azon személyes adatai, amelyeket a Haltless vagy a Paddle önálló adatkezelőként számlázási, adóügyi, csalásmegelőzési vagy megfelelőségi célokból kezel.
- "Személyes adatok megsértése"
- Olyan biztonsági incidens, amely a jelen DPA alapján továbbított, tárolt vagy egyéb módon kezelt Ügyfél személyes adatainak véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az ezekhez való jogosulatlan hozzáférést eredményezi.
- "Engedélyezett cél"
- A Szolgáltatások nyújtásához az Ügyfél dokumentált utasításai alapján szükséges adatkezelés, beleértve azokat az utasításokat, amelyek észszerűen levezethetők az Ügyfél által a Szolgáltatások konfigurálásából és használatából, a Szerződésből és a jelen DPA-ból.
- "Általános szerződési feltételek (SCC-k)"
- A személyes adatok harmadik országokba történő továbbítására vonatkozó, a GDPR szerinti általános szerződési feltételek, amelyeket a Bizottság 2021. június 4-i (EU) 2021/914 végrehajtási határozata állapít meg, mindenkor hatályos vagy felváltó változatában. A jelen DPA alkalmazásában az SCC-k a Második modulra (adatkezelőtől adatfeldolgozóig) utalnak, amennyiben az Ügyfél adatkezelő, illetve a Harmadik modulra (adatfeldolgozótól adatfeldolgozóig), amennyiben az Ügyfél maga is adatfeldolgozó saját adatkezelője javára.
- "Aladat-feldolgozó"
- Bármely harmadik fél, akit a Haltless megbíz az Ügyfél személyes adatainak kezelésével az Ügyfél nevében a Szolgáltatásokkal összefüggésben. Az Ügyfél személyes adatait kezelő Haltless-kapcsolt vállalkozások szintén Aladat-feldolgozónak minősülnek.
- "Egyesült Királyság-i kiegészítés"
- Az Egyesült Királyság Információs Biztosa által kiadott, 2022. március 21-től hatályos, az EU Bizottság általános szerződési feltételeihez tartozó nemzetközi adattovábbítási kiegészítés B1.0 változata, mindenkor hatályos vagy felváltó változatában.
- "Kínai szabványszerződés"
- A Kínai Kibertér-igazgatás által kiadott, 2023. június 1-jétől hatályos, a személyes információk határon átnyúló továbbítására vonatkozó szabványszerződés, mindenkor hatályos változatában.
2. Szerepkörök, hatály és időtartam
Az Ügyfél az Ügyfél személyes adatai tekintetében adatkezelőként jár el (vagy egy harmadik fél adatkezelő nevében eljáró adatfeldolgozóként), és a Haltless-t adatfeldolgozóként jelöli ki. A Haltless csak az Engedélyezett célból kezeli az Ügyfél személyes adatait. Az érintettek kategóriáit, az Ügyfél személyes adatainak kategóriáit, az adatkezelési műveleteket és az adatkezelés egyéb részleteit az I. melléklet írja le.
A jelen DPA mindaddig hatályos, amíg a Haltless az Ügyfél személyes adatait kezeli, ami megfelel a Szerződés időtartamának, valamint a 12. szakaszban (Visszaadás vagy törlés) foglalt kötelezettségek és az alkalmazandó jog szerinti megőrzési kötelezettségek teljesítéséhez szükséges további időszaknak.
Amennyiben az Ügyfél maga is harmadik fél adatkezelő nevében eljáró adatfeldolgozó, az Ügyfél szavatolja, hogy beszerezte az adott adatkezelőtől a jelen DPA megkötéséhez szükséges valamennyi engedélyt, és hogy az adatkezelő jóváhagyta a Haltless és aladat-feldolgozóinak igénybevételét.
3. Az alkalmazandó jog betartása
Mindkét fél megfelel a rá alkalmazandó adatvédelmi jognak. Az Ügyfél felelős annak biztosításáért, hogy a Szolgáltatások keretében végzett adatkezelésnek érvényes jogalapja legyen, hogy az érintettek megkapják a GDPR 13. és 14. cikke (és más alkalmazandó adatvédelmi jog megfelelő rendelkezései) által előírt valamennyi tájékoztatást, és hogy a szükséges hozzájárulások beszerzésre kerüljenek. A Haltless felelős a rá adatfeldolgozóként vonatkozó kötelezettségekért. A Haltless tájékoztatja az Ügyfelet, ha véleménye szerint egy utasítás sérti az alkalmazandó adatvédelmi jogot, de a Haltless nem köteles aktívan ellenőrizni az Ügyfél megfelelőségét.
4. Ügyfél utasításai és tiltott kategóriák
A Haltless csak az Ügyfél dokumentált utasításai alapján kezeli az Ügyfél személyes adatait, ideértve az Ügyfél személyes adatainak harmadik országba vagy nemzetközi szervezethez történő továbbítását is, kivéve, ha az Uniós vagy tagállami jog, amelynek a Haltless alá tartozik, ezt másként írja elő; ebben az esetben a Haltless az adatkezelést megelőzően tájékoztatja az Ügyfelet az adott jogi követelményről, kivéve, ha az adott jog ezt a tájékoztatást fontos közérdek alapján tiltja. A Szerződés, a jelen DPA és a Szolgáltatások Ügyfél általi használata és konfigurálása képezik az Ügyfél dokumentált utasításait.
Az Ügyfél nem továbbíthat, és nem engedheti meg, hogy érintettek továbbítsanak a Szolgáltatásokba olyan személyes adatokat, amelyek az alábbi kategóriákba tartoznak: a GDPR 9. cikke szerinti különleges kategóriájú személyes adatok (ideértve a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló adatokat, valamint genetikai adatokat, természetes személy egyedi azonosítását szolgáló biometrikus adatokat, egészségügyi adatokat vagy természetes személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat), büntetőjogi felelősség megállapítására vonatkozó határozatokkal és bűncselekményekkel kapcsolatos adatok (GDPR 10. cikk), PCI DSS hatálya alá tartozó fizetőkártya-adatok, kormányzati azonosító számok vagy 16 év alatti gyermekek személyes adatai. A Szolgáltatások nem alkalmasak ezen kategóriák kezelésére, és a Haltless nem vállal felelősséget azok jelen szakasz megsértésével történő benyújtásáért.
5. Felhatalmazott személyek titoktartása
A Haltless biztosítja, hogy minden olyan természetes személy, aki az ő felhatalmazása alapján jár el és az Ügyfél személyes adatait kezeli, beleértve az alkalmazottakat, vállalkozókat és megbízottakat, írásbeli titoktartási kötelezettség vagy megfelelő jogszabályi titoktartási kötelezettség alá tartozzon, és az Ügyfél személyes adatait csak a Haltless jelen DPA-val összhangban álló utasításai alapján kezelje. A titoktartási kötelezettségek az érintett személlyel fennálló jogviszony megszűnését követően is fennmaradnak.
6. Adatkezelés biztonsága
A tudomány és technológia állására, a megvalósítás költségeire, az adatkezelés jellegére, hatókörére, körülményeire és céljaira, valamint a természetes személyek jogaira és szabadságaira nézve fennálló, változó valószínűségű és súlyosságú kockázatra tekintettel a Haltless megfelelő technikai és szervezési intézkedéseket alkalmaz a kockázat mértékének megfelelő biztonsági szint biztosítására, ahogyan azt a II. melléklet leírja. A Haltless ezeket az intézkedéseket rendszeresen felülvizsgálja és frissíti. A Haltless időről időre frissítheti a II. mellékletet, feltéve, hogy a frissített intézkedések lényegében egyenértékű vagy magasabb biztonsági szintet biztosítanak, mint a jelen DPA megkötésének napján hatályos intézkedések.
7. Aladat-feldolgozók
Az Ügyfél általános felhatalmazást ad a Haltless-nek aladat-feldolgozók igénybevételére az Ügyfél személyes adatainak kezelése céljából, az e szakaszban foglalt feltételek szerint. A jelen DPA megkötésének napján hatályos aladat-feldolgozói lista a III. mellékletben szerepel, és a III. mellékletben megjelölt URL-en is közzétételre kerül.
A Haltless legalább harminc (30) nappal a változás hatálybalépése előtt értesíti az Ügyfelet bármely tervezett aladat-feldolgozó hozzáadásáról vagy cseréjéről a közzétett lista frissítésével és az Ügyfél által feliratkozható értesítési mechanizmus biztosításával. Az Ügyfél a tervezett aladat-feldolgozói változás ellen az értesítéstől számított tizenöt (15) napon belül észszerű adatvédelmi indokok alapján írásban tiltakozhat. Amennyiben a felek a tiltakozást követő harminc (30) napon belül nem tudnak megállapodásra jutni, az Ügyfél felmondhatja a Szolgáltatások azon részét, amelyet az aladat-feldolgozó nélkül nem lehet nyújtani, az időszak fel nem használt részéért fizetett előlegek arányos visszatérítésével.
Amennyiben a Haltless aladat-feldolgozót vesz igénybe, írásbeli szerződés útján olyan adatvédelmi kötelezettségeket ró az aladat-feldolgozóra, amelyek nem nyújtanak alacsonyabb szintű védelmet a jelen DPA-ban foglaltaknál, beleértve a Haltless-re a GDPR 28. és 32. cikke alapján vonatkozó kötelezettségeket. A Haltless az Ügyféllel szemben teljes körűen felel minden egyes aladat-feldolgozó adatvédelmi kötelezettségeinek teljesítéséért.
8. Az érintetti jogok gyakorlásához nyújtott segítség
Az adatkezelés jellegére tekintettel a Haltless megfelelő technikai és szervezési intézkedésekkel, amennyire ez lehetséges, segíti az Ügyfelet az érintettek alkalmazandó adatvédelmi jog szerinti jogainak (ideértve a hozzáférés, helyesbítés, törlés, adatkezelés korlátozása, adathordozhatóság és tiltakozás jogát) gyakorlására irányuló kérelmeinek megválaszolásával kapcsolatos kötelezettségének teljesítésében. A Szolgáltatások önkiszolgáló eszközöket biztosítanak, amelyek lehetővé teszik az Ügyfél számára az Ügyfél személyes adatainak hozzáférését, exportálását, helyesbítését vagy törlését. Ha egy érintett közvetlenül a Haltless-hez fordul az Ügyfél személyes adataival kapcsolatos jogi kérelemmel, a Haltless érdemben nem válaszol, és indokolatlan késedelem nélkül továbbítja a kérelmet az Ügyfélnek.
9. Személyes adatok megsértésének bejelentése
A Haltless indokolatlan késedelem nélkül, de legkésőbb az Ügyfél személyes adatait érintő megerősített személyes adatok megsértéséről való tudomásszerzéstől számított hetvenkét (72) órán belül értesíti az Ügyfelet. A kezdeti értesítést az Ügyfél fiókjában megjelölt biztonsági kapcsolattartónak küldik meg; ha ilyet nem jelöltek meg, akkor az Ügyfél elsődleges adminisztrátorának.
Az értesítés tartalmazza az akkor ismert mértékig: (i) a jogsértés jellegének leírását, beleértve az érintettek és nyilvántartások kategóriáit és hozzávetőleges számát; (ii) a jogsértés valószínű következményeit; (iii) a jogsértés kezelésére és lehetséges káros hatásainak enyhítésére tett vagy javasolt intézkedéseket; és (iv) a Haltless kapcsolattartási pontját, ahol további információ szerezhető. Ha az információ egyidejűleg nem nyújtható, azt fokozatosan, indokolatlan további késedelem nélkül kell rendelkezésre bocsátani. A Haltless együttműködik az Ügyféllel és észszerű támogatást nyújt ahhoz, hogy az Ügyfél eleget tudjon tenni a GDPR 33. és 34. cikke (és más alkalmazandó adatvédelmi jog megfelelő rendelkezései) szerinti, felügyeleti hatóságok és érintettek felé fennálló saját bejelentési kötelezettségeinek.
10. Adatvédelmi hatásvizsgálatok és előzetes konzultáció
Az adatkezelés jellegére és a Haltless rendelkezésére álló információkra tekintettel a Haltless észszerű segítséget nyújt az Ügyfélnek (az Ügyfél költségére) a GDPR 35. és 36. cikke (vagy más alkalmazandó adatvédelmi jog megfelelő rendelkezései) alapján a Haltless által végzett Ügyfél személyes adatok kezelésével kapcsolatban az Ügyfél által elvégzendő adatvédelmi hatásvizsgálatokkal és felügyeleti hatósággal folytatott előzetes konzultációkkal kapcsolatban. Ez a segítségnyújtás magában foglalhatja a jelen DPA-ban, az I. mellékletben, a II. mellékletben és a haltless.io/security oldalon található Bizalmi és biztonsági központban szereplő információk rendelkezésre bocsátását.
11. Nemzetközi adattovábbítások
Amennyiben az Ügyfél személyes adatainak kezelése az Európai Gazdasági Térségből, az Egyesült Királyságból vagy Svájcból olyan országba történő továbbítást foglal magában, amely az alkalmazandó adatvédelmi jog szerinti megfelelőségi határozat hatálya alá nem tartozik, a felek hivatkozás útján beépítik az SCC-k Második modulját (adatkezelőtől adatfeldolgozóig) vagy a Harmadik modult (adatfeldolgozótól adatfeldolgozóig), amennyiben az Ügyfél adatfeldolgozóként jár el, a következő választásokkal: a 7. záradék (dokkoló záradék) beépül; a 9. záradék 2. opciója (általános írásbeli engedélyezés) a 7. szakaszban meghatározott harminc (30) napos előzetes értesítési határidővel alkalmazandó; a 11(a) záradék opcionális szövege kizárt; a 17. záradék (alkalmazandó jog) a magyar jog; a 18. záradék (joghatóság) a magyar bíróságokat jelöli meg; az SCC-k mellékletei a jelen DPA I., II. és III. mellékletére hivatkozva kerülnek kitöltésre.
Az UK GDPR hatálya alá tartozó személyes adatok továbbítása esetén az Egyesült Királyság-i kiegészítés hivatkozás útján beépül, és a jelen DPA I., II. és III. mellékletében foglalt információk felhasználásával kerül kitöltésre. Az Egyesült Királyság-i kiegészítés 1., 2. és 3. táblázatát a jelen DPA-ban kitöltött SCC-k töltik ki, a 4. táblázat pedig jelzi, hogy az adatimportőr megszüntetheti az Egyesült Királyság-i kiegészítést, ahol ez megengedett.
A svájci szövetségi adatvédelmi törvény hatálya alá tartozó továbbítások esetén az SCC-k a következő kiigazításokkal alkalmazandók: a GDPR-re való hivatkozások releváns esetben a svájci szövetségi adatvédelmi törvényre való hivatkozásként értelmezendők; a „tagállam" kifejezést úgy kell értelmezni, hogy a svájci érintettek ne legyenek kizárva jogaik érvényesítéséből; az illetékes felügyeleti hatóság pedig a Svájci Szövetségi Adatvédelmi és Információs Biztos.
A PIPL és a Kínai Kibertér-igazgatás által kiadott, határon átnyúló adattovábbításra vonatkozó szabályok hatálya alá tartozó, kínai szárazföldi területen tartózkodó személyek személyes információinak továbbítása esetén a felek a kínai szabványszerződést vagy más jogszerű mechanizmust (például biztonsági értékelést vagy tanúsítást) alkalmaznak, amennyire ez a továbbított személyes információk mennyisége és érzékenysége alapján szükséges. Az Ügyfél a személyes információkat kezelő szervezetként felelős a rá vonatkozó bejelentésekért vagy értékelésekért; a Haltless észszerű együttműködést nyújt, beleértve a szabványszerződés kitöltéséhez szükséges információkat.
A felek elismerik, hogy a Haltless az Ügyfél személyes adatait olyan egyesült államokbeli címzettekhez továbbíthatja, amelyek önként tanúsíttatták magukat az EU-USA Adatvédelmi Keret, az EU-USA Adatvédelmi Keret Egyesült Királyság-i kiterjesztése vagy a Svájc-USA Adatvédelmi Keret szerint. Amennyiben ilyen továbbítások történnek, a tanúsított címzett a vonatkozó keretre támaszkodik. Amennyiben a címzett nem tanúsított vagy a vonatkozó keret már nem hatályos, az SCC-k alkalmazandók az e szakaszban meghatározottak szerint.
12. Személyes adatok visszaadása vagy törlése
Az Ügyfél választása szerint a Haltless a Szolgáltatások nyújtásának befejezését követően az Ügyfél személyes adatait törli vagy visszaadja, és a meglévő példányokat törli, kivéve, ha az uniós vagy tagállami jog megőrzést ír elő. A Szerződés időtartama alatt az Ügyfél a Szolgáltatások által biztosított exportálási eszközökkel bármikor exportálhatja az Ügyfél személyes adatait. A Szerződés megszűnését vagy lejártát követően az Ügyfélnek harminc (30) nap áll rendelkezésére, hogy az Ügyfél személyes adatainak lekérését kérje; ezt követően a Haltless hatvan (60) napon belül törli az Ügyfél személyes adatait az éles rendszerekből, és a titkosított biztonsági mentésekből a II. mellékletben leírt mentési rotációs ütemezésnek megfelelően.
Amennyiben a Haltless köteles uniós vagy tagállami jog alapján az Ügyfél személyes adatait a fenti törlési határidőkön túl megőrizni, a Haltless elkülöníti az adatokat, a további adatkezelést a megőrzési célra korlátozza, és a megőrzési kötelezettség lejártával törli az adatokat. A Haltless megőrizhet olyan anonimizált vagy aggregált adatokat, amelyek már nem azonosítanak egyetlen érintettet sem, saját céljaira, a Szerződéssel összhangban.
13. Auditok és ellenőrzések
A Haltless független harmadik fél által végzett értékeléseket és tanúsításokat tart fenn információbiztonsági programjáról, beleértve az ISO 27001 megfelelőségi értékeléseket és az azokkal egyenértékű tanúsítványokat, ahogyan azt a haltless.io/security oldal felsorolja. Az Ügyfél a legfrissebb auditjelentés és a kapcsolódó dokumentáció összefoglalóját a privacy@haltless.io e-mail címen kérheti. Az ilyen információ Haltless bizalmas információ, és a Szerződés titoktartási kötelezettségei mellett kerül átadásra.
Ezen túlmenően az Ügyfél észszerű előzetes írásbeli értesítést követően, naptári évenként legfeljebb egyszer (kivéve, ha az Ügyfél személyes adatait érintő személyes adat megsértése történt) ellenőrzést végezhet a Haltless jelen DPA-nak való megfelelőségéről. Az ellenőrzés a szokásos munkaidőben, az Ügyfél költségére, az Ügyfél által vagy megfelelő titoktartási kötelezettségek alá tartozó független harmadik fél auditor által történik. Az ellenőrzés terjedelme nem követelheti meg olyan információk közlését, amelyek veszélyeztetnék a Haltless vagy más ügyfeleinek biztonságát, titoktartását vagy üzleti érdekeit. A felek jóhiszeműen megállapodnak az ellenőrzés terjedelméről, módszertanáról és ütemezéséről.
14. Kaliforniai fogyasztói adatvédelmi törvény feltételei
A CCPA alkalmazásában az Ügyfél a „business", a Haltless pedig „service provider" vagy „contractor" az Ügyfél személyes adatai tekintetében, ahogyan ezeket a kifejezéseket a CCPA meghatározza. A Haltless: (i) az Ügyfél személyes adatait kizárólag a Szerződésben és a jelen DPA-ban meghatározott korlátozott és konkrét üzleti célokra kezeli; (ii) nem értékesíti vagy osztja meg (a CCPA meghatározásai szerint) az Ügyfél személyes adatait; (iii) nem tartja meg, nem használja és nem teszi közzé az Ügyfél személyes adatait a meghatározott üzleti céloktól eltérő célokra vagy az Ügyféllel fennálló közvetlen üzleti kapcsolaton kívül; (iv) nem kombinálja az Ügyfél személyes adatait más személyektől kapott személyes információkkal, kivéve a CCPA által engedélyezett mértékben; és (v) értesíti az Ügyfelet, ha megállapítja, hogy már nem tudja teljesíteni CCPA szerinti kötelezettségeit.
A Haltless segíti az Ügyfelet a CCPA szerinti hitelesített fogyasztói kérelmekre adott válaszokban, beleértve a tudni való, törlési, helyesbítési és értékesítés vagy megosztás elleni opt-out kérelmeket. Az Ügyfél felelős a kérelmező fogyasztó személyazonosságának ellenőrzéséért és a válasz megadásáért. Az Ügyfél jogot biztosít a Haltless-nek arra, hogy bármikor észszerű és megfelelő lépéseket tegyen az Ügyfél személyes adatainak jogosulatlan használatának megállítására és orvoslására.
15. Edge Agent és ipari vezérlési adatok
A Haltless Edge Agent az Ügyfél által ellenőrzött infrastruktúrán fut, és olyan ipari végpontokról (mint például OPC UA szerverek, Modbus eszközök és historian adatbázisok) olvas, amelyeket az Ügyfél kifejezetten konfigurál. Az Edge Agent nem olvas olyan végpontokról, amelyeket az Ügyfél nem konfigurált. Az ipari telemetria (érzékelőértékek, gépállapot, eseményszámlálók) általában nem személyes adat; az Ügyfél vagy kezelői által megadott kiegészítő mezők azonban, mint például a felügyelő- és kezelőnevek, valamint a műszakhoz fűzött megjegyzések, személyes adatnak minősülhetnek, és a jelen DPA szerint az Ügyfél személyes adataiként kezelendők.
Az Ügyfél felelős az Edge Agent gazdakörnyezetéért, beleértve az operációs rendszer javítását, a hálózati szegmentálást, az áramellátást és az ipari végpontokhoz való hozzáféréshez használt hitelesítő adatokat. A Haltless nem felelős az ügyfél konfigurációs hibái vagy harmadik fél cselekménye által okozott programozható logikai vezérlők, ember-gép interfészek vagy egyéb ipari berendezések károsodásáért. A Szolgáltatások felügyeleti és elemzési platformot képeznek; nem minősülnek az IEC 61511 értelmében vett biztonsági műszerezett rendszernek, és az Ügyfél nem támaszkodhat kizárólag a Szolgáltatásokra biztonságkritikus vezérlési döntésekhez. Az Ügyfél továbbra is felelős a működésére alkalmazandó ágazati kiberbiztonsági kötelezettségek betartásáért, beleértve adott esetben a (EU) 2022/2555 (NIS2) irányelvet és a (EU) 2024/2847 (Kiberellenállóképességi rendelet) szerinti kötelezettségeket.
16. Felelősség
Mindkét fél jelen DPA-ból eredő vagy azzal kapcsolatos felelőssége a Szerződésben meghatározott felelősségkorlátozások hatálya alá tartozik, amelyek a felek Szerződés és jelen DPA együttes alapján fennálló összesített felelősségére alkalmazandók. A jelen DPA-ban semmi sem korlátozza egyik fél felelősségét sem a GDPR 82. cikke szerinti érintettnek okozott károkért, az SCC-k szerinti harmadik fél kedvezményezetti jog megsértéséért, a kártalanítási kötelezettségekért, a csalásért vagy szándékos kötelezettségszegésért, a titoktartás megsértéséért, illetve az alkalmazandó adatvédelmi jog alapján ki nem zárható vagy nem korlátozható felelősségért.
17. Időtartam, rangsor és továbbélés
A jelen DPA a Szerződés megkötésének napjától hatályos, és mindaddig fennáll, amíg a Haltless az Ügyfél személyes adatait kezeli. A Szerződés megszűnése egyik felet sem mentesíti azon kötelezettségek alól, amelyek természetüknél fogva fennmaradnak, beleértve az Ügyfél személyes adatainak visszaadására vagy törlésére, titoktartásra, az időtartam alatt megvalósult adatkezelésre vonatkozó ellenőrzési jogokra, felelősségre és alkalmazandó jogra vonatkozó kötelezettségeket.
Ellentmondás esetén a rangsor a következő: (i) az SCC-k (valamint adott esetben az Egyesült Királyság-i kiegészítés és a kínai szabványszerződés) az alkalmazás mértékéig; (ii) a jelen DPA; és (iii) a Szerződés. Amennyiben a Haltless frissíti aladat-feldolgozói listáját, technikai és szervezési intézkedéseit vagy biztonsági dokumentációját, e frissítések a közzétételükkel lépnek hatályba, a jelen DPA-ban meghatározott értesítési és kifogásolási jogok mellett.
18. Alkalmazandó jog és joghatóság
A jelen DPA-ra a magyar jog vonatkozik, kollíziós szabályainak kizárásával, kivéve, ha az SCC-k, az Egyesült Királyság-i kiegészítés vagy a kínai szabványszerződés az általuk szabályozott kérdésekre eltérő irányadó jogot ír elő. A Budapest, Magyarország bíróságai kizárólagos joghatósággal rendelkeznek a jelen DPA-ból eredő vagy azzal kapcsolatos minden jogvitában, az érintettek azon jogának sérelme nélkül, hogy az SCC-k és az alkalmazandó adatvédelmi jog által biztosított módon szokásos tartózkodási helyük bíróságai előtt indítsanak eljárást.
Amennyiben az Ügyfél az Európai Unióban, az Egyesült Királyságban vagy Svájcban telepedett le, és e joghatóság kötelező rendelkezése az Ügyfél személyes adatainak kezelése meghatározott szempontjaira eltérő irányadó jog alkalmazását követeli meg, az adott kötelező rendelkezést a szükséges mértékben alkalmazni kell.
I. melléklet. Az adatkezelés leírása
Az érintettek kategóriái
A Haltless az Ügyfél nevében az érintettek alábbi kategóriáit kezeli: az Ügyfél alkalmazottai, vállalkozói és a Szolgáltatások egyéb felhatalmazott felhasználói; az Ügyfél kezelői, felügyelői, karbantartó szakemberei és egyéb műszakban dolgozó személyzete, akik neve a műszaknaplókban, munkalapokban vagy auditnaplókban szerepel; valamint olyan személyek, akiknek elérhetőségei az Ügyfél Szolgáltatás-konfigurációjában szerepelnek (például eszkalációs kapcsolattartók és ügyeleti listák).
A személyes adatok kategóriái
Az Ügyfél a Szolgáltatásokon keresztül a személyes adatok alábbi kategóriáit nyújthatja be, amelyek mértékét és tartalmát az Ügyfél határozza meg:
| Azonosítók és kapcsolattartási adatok | Teljes név, munkahelyi e-mail cím, munkahelyi telefonszám, beosztás, munkáltató neve, megadás esetén postai cím. |
|---|---|
| Hitelesítési és biztonsági tárgyak | Hashelt jelszavak, többtényezős hitelesítési titkok, egyszeri bejelentkezési alany-azonosítók, munkamenet-azonosítók, eszközujjlenyomatok, IP-címek, böngésző és operációs rendszer metaadatai. |
| Audit-napló adatok | Cselekvő felhasználói azonosítók, IP-címek, időbélyegek, művelettípusok, célerőforrás-azonosítók és kérelmi metaadatok, biztonsági, megfelelőségi és törvényszéki célokból rögzítve. |
| Műszak- és üzemeltetési nyilvántartások | Kezelőnevek, felügyelőnevek, műszakhoz fűzött megjegyzések, munkalap-kommentek és egyéb mezők, amelyeket az Ügyfél személyzete a Szolgáltatások üzemeltetése során megad. |
| Támogatási és kommunikációs adatok | Az Ügyfél személyzete és a Haltless ügyfélszolgálata közötti kommunikáció nevei, elérhetőségei és tartalma, beleértve a jegyek törzsét, mellékleteket és adott esetben hívásrögzítéseket. |
| Push és értesítési végpontok | VAPID push előfizetési végpontok (Apple Push Notification, Firebase Cloud Messaging, Mozilla autopush), értesítési beállítások és kézbesítési visszaigazolások. |
| Számlázással kapcsolatos személyes adatok | A számlázási kapcsolattartók nevei, e-mail címei, számlázási címei és adóazonosítói, amelyeket a Paddle mint nyilvántartott kereskedő dolgoz fel. A Haltless e adatok korlátozott részhalmazát kapja meg fiókkezelési célból. |
| Marketing-attribúciós adatok | UTM-paraméterek, hivatkozó URL-ek, marketing hozzájárulási időbélyegek és interakciós nyilvántartások, amennyiben az Ügyfél személyzete marketing kommunikációhoz hozzájárult. |
Érzékeny adatok
A jelen DPA keretében nem tervezett a GDPR 9. cikke szerinti különleges kategóriájú személyes adatok és a GDPR 10. cikke szerinti büntetőjogi felelősség megállapítására vonatkozó határozatokkal és bűncselekményekkel kapcsolatos adatok kezelése. Az Ügyfél ilyen adatokat nem nyújthat be a Szolgáltatásokba. A Szolgáltatások nincsenek úgy konfigurálva, hogy az ilyen adatokhoz szükséges további biztosítékokat alkalmazzák.
Az adatkezelés gyakorisága
Folyamatosan, a Szerződés időtartama alatt, az Ügyfél Szolgáltatás-használatának megfelelően.
Az adatkezelés jellege és célja
Gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, lekérdezés, betekintés, felhasználás, felhatalmazott felhasználóknak történő közlés, összehangolás, kombinálás, korlátozás, törlés vagy megsemmisítés, amennyiben ez a Szolgáltatások nyújtásához, a platform biztonságos üzemeltetéséhez, a jogszabályi kötelezettségek teljesítéséhez és az Ügyfél támogatásának nyújtásához szükséges. Konkrét célok közé tartozik a fiók biztosítása és hitelesítése, az ipari telemetria fogadása és megjelenítése, riasztások és anomália-értesítések létrehozása, auditnaplózás, biztonsági felügyelet, ügyféltámogatás és számlázási adminisztráció.
Megőrzés
A személyes adatokat a Haltless adatvédelmi szabályzatában (haltless.io/privacy) és a Szerződésben meghatározott időtartamra őrizzük meg. Az audit-napló adatait hét (7) évig őrizzük meg a SOC 2 tanúsítás és a biztonsági törvényszéki vizsgálatok jogos érdekének támogatása érdekében. Az üzemeltetési telemetria megőrzése az Ügyfél csomagja szerint kerül beállításra (Pilot, Site, Enterprise). A Szolgáltatások befejezését követően a megőrzésre a jelen DPA 12. szakasza vonatkozik.
Illetékes felügyeleti hatóság
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) jár el illetékes felügyeleti hatóságként. Amennyiben az Ügyfél más uniós tagállamban telepedett le, és a Haltless adatkezelése elsősorban ehhez a letelepedéshez kapcsolódik, az illetékes felügyeleti hatóság az adott tagállam adatvédelmi hatósága.
II. melléklet. Technikai és szervezési intézkedések
A Haltless az alábbi technikai és szervezési intézkedéseket alkalmazza és tartja fenn, figyelembe véve az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a természetes személyek jogaira és szabadságaira nézve fennálló kockázatokat. A Haltless ezeket az intézkedéseket idővel frissítheti, feltéve, hogy a frissített intézkedések továbbra is az alábbiakkal lényegében egyenértékű vagy magasabb biztonsági szintet biztosítanak.
| Titkosítás átvitel közben | TLS 1.2 vagy magasabb verzió korszerű cipher suite-okkal minden ügyfélfeli kapcsolat esetén. Strict Transport Security, tanúsítvány-rögzítés az Edge Agent vezérlőcsatornán és HSTS a webes végpontokon. |
|---|---|
| Nyugalmi állapotban történő titkosítás | AES-256 titkosítás az éles adatbázisokhoz, objektumtárolókhoz és biztonsági mentésekhez. Adott esetben bérlőnkénti kulcslevezetés, a kulcsokat megerősített kulcskezelő szolgáltatás kezeli. |
| Hozzáférés-ellenőrzés | Szerepkör alapú hozzáférés-vezérlés a legkisebb jogosultság alapértelmezésével, a feladatok elválasztása a fejlesztési, üzemeltetési és biztonsági szerepkörök között, időkorlátos emelt szintű éles hozzáférés, valamint kötelező egyszeri bejelentkezés többtényezős hitelesítéssel az éles rendszerekhez hozzáférő minden személyzet számára. |
| Hitelesítés és jelszóhigiénia | Az ügyfélhitelesítés erős jelszószabályokat, bcrypt vagy Argon2 hashelést, valamint TOTP és WebAuthn többtényezős hitelesítést érvényesít. A munkamenet-tokenek HMAC-SHA256 aláírást használnak rövid élettartammal, és kijelentkezéskor vagy kompromittálódás esetén visszavonásra kerülnek. |
| Hálózati és infrastruktúra-biztonság | Mélységi védelmű hálózati szegmentálás, hoston alapuló tűzfalak, konténerkép-szkennelés, prioritáskezeléssel végzett sérülékenységkezelés és az éles infrastruktúra folyamatos felügyelete. |
| Alkalmazásbiztonság | Biztonságos szoftverfejlesztési életciklus, beleértve a kódellenőrzést, függőség-szkennelést, statikus és dinamikus elemzést, titokkezelési észlelést, valamint az ügyfélfeli és Edge Agent komponensek rendszeres, harmadik fél által végzett penetrációs tesztelését. |
| Naplózás és auditnyomvonalak | Hamisításálló auditnaplók HMAC-SHA256 hash-lánccal, hét (7) évig megőrzve. A naplók lefedik a hitelesítési eseményeket, privilegizált műveleteket, konfigurációs változásokat és az Ügyfél személyes adataihoz való hozzáférést. |
| Biztonsági mentés és katasztrófaelhárítás | Napi titkosított biztonsági mentések régión kívüli replikációval, rendszeres helyreállítási tesztek, dokumentált helyreállítási pont- és időcélok, valamint negyedéves üzletmenet-folytonossági gyakorlatok. |
| Eseménykezelés | Dokumentált eseménykezelési kézikönyv a magas súlyosságú eseményekre vonatkozó 24 órás készenléti lefedettséggel, előre meghatározott értesítési határidőkkel, beleértve a hetvenkét (72) órás adatsértés-bejelentési kötelezettségvállalást, valamint az érdemi események utólagos felülvizsgálatát. |
| Személyzeti biztonság | Háttérvizsgálatok, ahol jogszerű, az éles rendszerekhez hozzáférő személyzet esetén, kötelező írásbeli titoktartási vállalások, éves biztonsági és adatvédelmi tudatossági képzések, valamint az adminisztratív és személyes fiókok elválasztása. |
| Fizikai biztonság | Az éles környezetek ISO 27001 vagy SOC 2 tanúsítvánnyal rendelkező adatközpontokban kerülnek elhelyezésre fizikai hozzáférés-ellenőrzéssel, környezeti felügyelettel és a felhőszolgáltató által üzemeltetett 24/7 megfigyeléssel. |
| Aladat-feldolgozói irányítás | Dokumentált aladat-feldolgozói bevezetési átvilágítás, a Haltless-re vonatkozóakkal egyenértékű szerződéses adatvédelmi feltételek, az aladat-feldolgozók biztonsági helyzetének rendszeres felülvizsgálata, valamint a jelen DPA 7. szakaszában leírt értesítési mechanizmus. |
III. melléklet. Aladat-feldolgozók
A Haltless az alábbi aladat-feldolgozókat veszi igénybe a Szolgáltatások nyújtásához. Az aktuális lista, minden hozzáadás vagy csere dátumával, a haltless.io/security oldalon kerül közzétételre. Az Ügyfél a jelen DPA 7. szakaszában leírtak szerint feliratkozhat a frissítésekre.
| Aladat-feldolgozó | Cél | Adatkezelés helye |
|---|---|---|
| Felhő-infrastruktúra szolgáltató | Éles alkalmazás-szerverek, adatbázisok, objektumtároló és biztonsági mentések üzemeltetése. | Európai Unió (elsődleges), az EGT-n belüli biztonsági mentési régióval. |
| Paddle.com Market Limited | Nyilvántartott kereskedő az értékesítéshez, számlázáshoz, adóügyi meghatározáshoz és befizetéshez, csalásmegelőzéshez és visszaterheléshez. | Egyesült Királyság és Európai Unió. |
| Tranzakciós e-mail szolgáltató | Tranzakciós e-mailek (fiókellenőrzés, jelszó-visszaállítás, riasztások, számlázási értesítések) kézbesítése. | Európai Unió vagy Egyesült Államok (az EU-USA Adatvédelmi Keret alapján). |
| Push értesítési átjárók | Webes és mobil push értesítések kézbesítése az Apple Push Notification, Firebase Cloud Messaging és Mozilla autopush szolgáltatásokon keresztül. | Egyesült Államok és Európai Unió, a szolgáltatói útválasztás szerint. |
| Egyszeri bejelentkezés azonosítási szolgáltatók | OpenID Connect föderáció a Google-lel és a Microsofttal a fiók bejelentkezéséhez, amennyiben az Ügyfél azt engedélyezi. | Európai Unió és Egyesült Államok, szolgáltatótól függően. |
| Hibafelügyeleti szolgáltatás | Alkalmazás-hibaesemények rögzítése és aggregálása a megbízhatósági mérnökség támogatására. Az Ügyfél személyes adatait átvitel előtt eltávolítják. | Európai Unió. |
| Ügyféltámogatási platform | Támogatási jegyek, tudásbáziscikkek és a termékbeli támogatási widgetből indított ügyfélkommunikáció üzemeltetése. | Európai Unió. |
| Állapot- és eseménykommunikációs platform | A status.haltless.io üzemeltetése, beleértve az eseményértesítéseket és karbantartási bejelentéseket. | Európai Unió. |
| Megfigyelhetőségi és naplózási platform | Alkalmazás-naplók és metrikák aggregálása az üzemeltetési felügyelet céljából. Az Ügyfél személyes adatait átvitel előtt minimalizálják. | Európai Unió. |
| Haltless kapcsolt vállalkozások | A Haltless-csoport vállalkozásai által ugyanazon adatvédelmi feltételek mellett végzett mérnöki, támogatási és biztonsági üzemeltetési munkák. | Európai Unió (Magyarország). |
További aladat-feldolgozók kizárólag az Ügyfél utasítására és kizárólag a vonatkozó integráció hatókörében vehetők igénybe ERP, MES vagy CMMS integrációkhoz. Az ilyen igénybevételekről az Ügyfelet a 7. szakasszal összhangban értesítik, mielőtt bármilyen Ügyfél személyes adat továbbításra kerülne.
A jelen DPA-val kapcsolatos kérdésekért, az aladat-feldolgozói értesítésekre való feliratkozáshoz vagy az audit egyeztetéséhez vegye fel a kapcsolatot a következő címen: privacy@haltless.io.