GDPR 28. cikk • EU-megfelelő • Román jog

Adatfeldolgozási Megállapodás

Adatfeldolgozási Megállapodás (DPA) az általános adatvédelmi rendelettel (GDPR) és a hatályos román joggal összhangban

Adatfeldolgozó
Regio Development SRL
Adószám: 44161343
Cégjegyzékszám: J26/706/2021

Cím
Str. Dealul Rotund nr. 5
Szováta, Románia
contact@regio-development.net

Dátum: 2025. szeptember 15.

1.0 verzió

Fontos

Ez az Adatfeldolgozási Megállapodás (DPA) kiegészíti és szerves részét képezi a fő RegioDisplay szolgáltatási szerződésnek. A megállapodás megfelel a GDPR 28. cikkének és a román személyes adatvédelmi jogszabályoknak.

GDPR és román jogi megfelelés

A személyes adatok feldolgozásakor teljesített jogi követelmények

Betartott szabályozások

GDPR (EU) 2016/679190/2018. sz. törvény (Románia)506/2004. sz. törvényISO 27001 keretrendszer

Garantált jogok

Hozzáférési jog

Helyesbítési jog

Törlési jog

Adathordozhatóság

1. Fogalommeghatározások

„Adatkezelő" (Controller) = Regio Development SRL, mint SaaS digital signage szolgáltató.

„Adatfeldolgozó" (Processor) = Regio Development SRL, mint az ügyfelei nevében eljáró személyes adatok feldolgozója.

„Személyes adat" = bármely információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik.

„Adatkezelés" = a személyes adatokon végzett bármely művelet, ideértve a gyűjtést, rögzítést, rendszerezést, tagolást, tárolást, alkalmazást, módosítást, lekérdezést, betekintést, felhasználást, közlést, terjesztést vagy egyéb módon hozzáférhetővé tételt, összehangolást vagy összekapcsolást, korlátozást, törlést vagy megsemmisítést.

„GDPR" = az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete.

2. A megállapodás tárgya

Jelen megállapodás meghatározza a felek kötelezettségeit és felelősségeit a SaaS digital signage szolgáltatás keretében végzett személyes adatok feldolgozásával kapcsolatban.

A megállapodás szabályozza az Adatfeldolgozó által az Adatkezelő nevében és számára, annak dokumentált utasításai szerint végzett adatkezelést.

Az adatkezelés célja: digital signage szolgáltatások nyújtása, beleértve a tartalomkezelést, a képernyő-teljesítmény figyelését és a platformhasználat elemzését.

3. Az adatkezelés jellege és célja

Feldolgozott adatkategóriák

Azonosítási adatok: vezetéknév, keresztnév, beosztás a szervezetben

Kapcsolattartási adatok: e-mail cím, telefonszám

Hitelesítési adatok: felhasználónév, hash-elt jelszavak

Műszaki adatok: IP-címek, hozzáférési naplók, böngészőinformációk

Használati adatok: platform-interakciók, felhasználói preferenciák

Számlázási adatok: cégadatok, adószám (jogi személyek esetén)

Az adatkezelés céljai

Digital signage szolgáltatások nyújtása

Felhasználók hitelesítése és kezelése

A platform teljesítményének és biztonságának figyelése

Műszaki támogatás és szolgáltatáshoz kapcsolódó kommunikáció

Számlázás és szerződéskezelés

Jogi kötelezettségek teljesítése

Érintett személyek kategóriái

A platform admin felhasználói (az Adatkezelő alkalmazottai)A digital signage rendszer végfelhasználóiSzámlázási és kereskedelmi kommunikációhoz használt kapcsolattartók

4. Az adatfeldolgozó kötelezettségei

Titoktartás és biztonság

Az adatokat kizárólag az Adatkezelő dokumentált utasításai szerint dolgozza fel

Biztosítja, hogy az adatok feldolgozására jogosult személyzet titoktartást vállaljon

Megfelelő technikai és szervezési intézkedéseket vezet be az adatbiztonság érdekében

Titkosítást alkalmaz az adatok továbbítására és tárolására

Al-adatfeldolgozás

Nem von be másik adatfeldolgozót az Adatkezelő előzetes írásbeli engedélye nélkül

Engedélyezett al-adatfeldolgozás esetén olyan szerződést köt, amely azonos adatvédelmi kötelezettségeket ír elő

Az Adatkezelővel szemben teljes körűen felelős marad az al-adatfeldolgozó kötelezettségeinek teljesítéséért

Az érintettek jogai

Segíti az Adatkezelőt az érintettek kéréseire való válaszadási kötelezettsége teljesítésében

Megkönnyíti a jogok gyakorlását: hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás, hordozhatóság

24 órán belül értesíti az Adatkezelőt minden olyan kérésről, amelyet közvetlenül egy érintettől kapott

5. Biztonsági intézkedések

Technikai intézkedések

Adatok titkosítása továbbítás közben (TLS 1.2+) és tárolva (AES-256)

Erős algoritmusokkal hash-elt jelszavak (bcrypt/argon2)

Kétfaktoros hitelesítés az adminisztratív fiókokhoz

Folyamatos figyelés és behatolásészlelés (SIEM)

Titkosított biztonsági mentések, rendszeres helyreállítási teszteléssel

Hálózati szegregáció és szerepkör-alapú hozzáférés-vezérlés

Automatikus biztonsági frissítések a kritikus rendszerekhez

Szervezési intézkedések

Dokumentált biztonsági irányelvek, évente felülvizsgálva

Rendszeres képzés a személyes adatokhoz hozzáférő személyzet számára

Incidenskezelési és értesítési eljárások

Negyedéves belső biztonsági auditok

Hozzáférés-vezérlés a szükséges mértékben elv alapján

Biztonságos adatmegsemmisítési eljárások

Adatkezelési tevékenységek nyilvántartása

6. Adatvédelmi incidensek

Az Adatfeldolgozó a tudomásszerzéstől számított 24 órán belül értesíti az Adatkezelőt minden személyes adatvédelmi incidensről.

Az értesítés tartalmazza: az incidens jellegét, az érintettek és érintett adatok kategóriáit és hozzávetőleges számát, az érintett rekordok számát, valamint az incidens orvoslására tett intézkedéseket.

Az Adatfeldolgozó együttműködik az Adatkezelővel az incidens kivizsgálásában és az orvosló intézkedések végrehajtásában.

72 órán belül részletes incidensjelentés készül, amely tartalmazza az okokat, a hatást és a végrehajtott megelőző intézkedéseket.

7. Nemzetközi adattovábbítás

A személyes adatok kizárólag az Európai Gazdasági Térségen (EGT) belül tárolódnak és kerülnek feldolgozásra.

A szerverek minősített adatközpontokban találhatók Romániában és más EU-tagállamokban.

Amennyiben szükségessé válik az adatok EGT-n kívüli továbbítása, az Adatfeldolgozó:

• Beszerzi az Adatkezelő előzetes írásbeli engedélyét

• Megfelelő garanciákat biztosít az Európai Bizottság által jóváhagyott szabványos szerződéses kikötésekkel

• Kiegészítő védelmi intézkedéseket vezet be az EDPB ajánlásai szerint

8. Auditálás és megfelelés

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsátja a megállapodásban foglalt kötelezettségek teljesítésének igazolásához szükséges valamennyi információt.

Az Adatkezelő vagy az általa megbízott auditor minimum 30 napos előzetes értesítéssel jogosult auditokat lefolytatni, ideértve az Adatfeldolgozó telephelyén végzett vizsgálatokat is.

Az auditok normál munkaidőben történnek, és nem érintik indokolatlanul az Adatfeldolgozó tevékenységét.

Az audit költségeit az Adatkezelő viseli, kivéve, ha jelentős nem-megfelelőségek kerülnek megállapításra.

Az Adatfeldolgozó a feltárt nem-megfelelőségeket az egyeztetett határidőn belül, de legkésőbb 90 napon belül orvosolja.

9. Adatmegőrzés és törlés

Megőrzési idők

Adattípus	Megőrzési idő	Intézkedés
Hitelesítési és felhasználói fiók adatok	A szerződés tartama + 30 nap a tevékenységek lezárására	Automatikus törlés a lejárat után
Hozzáférési és biztonsági naplók	12 hónap a generálástól	Anonimizálás vagy törlés
Számlázási adatok	10 év a román számviteli jog szerint	Biztonságos archiválás, majd törlés
Biztonsági mentések	30 nap a napiakra, 90 nap a haviakra	Automatikus törlés felülírással

Törlési folyamat

A megállapodás megszűnésekor az Adatfeldolgozó törli vagy visszaadja az összes személyes adatot

A törlés a megállapodás megszűnésétől számított 30 napon belül történik

Írásbeli megerősítést ad a teljes törlésről, beleértve a biztonsági mentésekről történő törlést is

Az adatokat csak addig őrzik meg, amíg az a jogi kötelezettségek teljesítéséhez szükséges

10. Felelősség és kártérítés

Az Adatfeldolgozó az adatkezelés miatt okozott károkért csak akkor felel, ha nem teljesítette a megállapodás szerinti kötelezettségeit, vagy az Adatkezelő törvényes utasításain kívül vagy azokkal ellentétesen járt el.

Az Adatfeldolgozó felelőssége a közvetlen károkra korlátozódik, az éves szerződéses érték összegéig, kivéve:

• Szándékos vagy súlyosan gondatlan szerződésszegés

• Titoktartási és adatbiztonsági szabályok megsértése

• A felügyeleti hatóságok által kiszabott szankciók

Az Adatkezelő és Adatfeldolgozó elleni közös eljárás esetén a felek a felelősségük arányában felelnek.

Záró rendelkezések

Módosítások és frissítések

Jelen megállapodás csak mindkét fél írásbeli beleegyezésével módosítható.

A jogszabályi frissítések automatikusan beépítésre kerülnek, legalább 30 napos előzetes értesítéssel.

A jelenlegi verzió folyamatosan elérhető:regiodisplay.net/legal/dpa

DPO Kapcsolat

contact@regio-development.net

+40 759 205 629

Str. Dealul Rotund nr. 5
Szováta, Románia

Kapcsolódó dokumentumok

→ Adatvédelmi Tájékoztató → Általános Szerződési Feltételek → Kapcsolat GDPR kérdésekhez

GDPR 28. cikknek megfelelő

Román jog

Adatok az EU-ban

ISO 27001 keretrendszer