Adatfeldolgozói Szerződés

Hatályos: 2026. július 8.  ·  Utolsó módosítás: 2026. július 8.

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 28. cikke szerinti adatfeldolgozói szerződés. Jelen szerződés a Doxy Általános Szerződési Feltételeinek elválaszthatatlan részét képezi; az ÁSZF elfogadásával Ön jelen szerződést is elfogadja.

1. A szerződő felek

Jelen szerződés egyrészről a Doxy szolgáltatást igénybe vevő vezető felhasználó (előfizető vállalkozás) mint Adatkezelő, másrészről a Doxy szolgáltatást üzemeltető alábbi társaság mint Adatfeldolgozó között jön létre:

Adatfeldolgozó

Cégnév: DG-Star Szolgáltató Korlátolt Felelősségű Társaság
Székhely: 2045 Törökbálint, Kastély utca 3/A
Cégjegyzékszám: 13-09-205295
Adószám: 27920901-2-13
Képviselő: Dános Gábor
Adatvédelmi kapcsolattartó e-mail: adatvedelem@doxy.hu

Adatkezelő az a vezető felhasználó (és az általa képviselt vállalkozás), aki a Doxy szolgáltatásban a követeléskezelési emlékeztető funkciót aktiválja, illetve kimenő (kiállított) számláihoz partneradatokat rögzít. Az Adatkezelő azonosító adatait a Doxy fiókjában megadott cégadatok tartalmazzák.

2. A szerződés tárgya

Az Adatkezelő a Doxy szolgáltatás használata során olyan személyes adatokat ad át, illetve tesz elérhetővé az Adatfeldolgozó számára, amelyek az Adatkezelő saját ügyfeleire, vevőire és partnereire (a továbbiakban: érintettek) vonatkoznak. Ezen adatok tekintetében az adatkezelés célját és eszközeit az Adatkezelő határozza meg; az Adatfeldolgozó ezeket kizárólag az Adatkezelő dokumentált utasítása alapján, a jelen szerződésben foglaltak szerint kezeli.

Az Adatfeldolgozó által a jelen szerződés keretében végzett adatfeldolgozás két konkrét művelethez kapcsolódik:

  • Bizonylat-felismerés (OCR): a feltöltött kimenő számlákon és bizonylatokon szereplő partneradatok mesterséges intelligencia alapú automatikus kinyerése.
  • Követeléskezelési emlékeztetők: az Adatkezelő kimenő, lejárt vagy közelgő fizetési határidejű számláiról fizetési emlékeztető e-mailek küldése az Adatkezelő adósainak (vevőinek) — kizárólag akkor, ha az Adatkezelő ezt a funkciót kifejezetten aktiválta.

3. Az adatkezelés jellege, célja és időtartama

3.1 Jellege és célja: az adatfeldolgozás célja az Adatkezelő számára a bizonylatok automatikus feldolgozásának, valamint a kimenő számlákhoz kapcsolódó fizetési emlékeztetők kiküldésének biztosítása. Az adatfeldolgozás elektronikus úton, automatizált módon történik.

3.2 Időtartama: az adatfeldolgozás a Doxy szolgáltatásra vonatkozó előfizetői jogviszony fennállásáig, illetve a vonatkozó adat Adatkezelő általi törléséig tart. A jogviszony megszűnését követően az Adatfeldolgozó a 9. pont szerint jár el.

3.3 Utasításhoz kötöttség: az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő írásbeli (a szolgáltatás felületén tett beállításokban, illetve jelen szerződésben rögzített) utasításai alapján kezeli, ideértve a harmadik országba történő adattovábbítást is, kivéve, ha az adatkezelést uniós vagy tagállami jog írja elő.

4. Az érintettek és a személyes adatok kategóriái

4.1 Az érintettek kategóriái

  • Az Adatkezelő ügyfelei, vevői és üzleti partnerei (adósai), akik felé az Adatkezelő számlát állít ki.

4.2 A kezelt személyes adatok kategóriái

  • Partner (adós) neve
  • Partner (adós) e-mail címe
  • A számlához kapcsolódó adatok, amennyiben természetes személyre vonatkoznak: számlaszám, összeg, deviza, fizetési határidő

Az Adatfeldolgozó nem kezel különleges (GDPR 9. cikk szerinti) személyes adatot a jelen szerződés keretében. Az érintettek köre az Adatkezelő által rögzített, illetve feltöltött adatoktól függ.

5. Az Adatkezelő jogai és kötelezettségei

5.1 Az Adatkezelő szavatolja, hogy az általa átadott, illetve a Doxy szolgáltatásban rögzített érintetti adatok kezeléséhez megfelelő jogalappal rendelkezik (jellemzően a GDPR 6. cikk (1) f) pontja szerinti jogos érdek — a kiállított számla követelésének érvényesítése), és hogy az adatkezelés a vonatkozó jogszabályoknak megfelel.

5.2 Az Adatkezelő szavatolja, hogy az érintettek felé saját adatkezelőként eleget tett a GDPR szerinti tájékoztatási (átláthatósági) kötelezettségének, ideértve azt is, hogy az érintettek adatai fizetési emlékeztető küldése céljából feldolgozásra kerülhetnek.

5.3 Az Adatkezelő felel az általa adott utasítások jogszerűségéért, valamint az általa rögzített adatok pontosságáért és naprakészségéért.

5.4 Az érintettek adatkezeléssel kapcsolatos megkereséseiért és jogaik érvényesítéséért elsődlegesen az Adatkezelő felel; az Adatfeldolgozó a 6.5 pont szerint nyújt ehhez segítséget.

6. Az Adatfeldolgozó kötelezettségei

Az Adatfeldolgozó a GDPR 28. cikke alapján az alábbi kötelezettségeket vállalja:

6.1 Utasítás szerinti adatkezelés: a személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli. Ha az Adatfeldolgozó megítélése szerint valamely utasítás sérti a GDPR-t vagy más adatvédelmi jogszabályt, erről az Adatkezelőt haladéktalanul tájékoztatja.

6.2 Titoktartás: biztosítja, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.

6.3 Adatbiztonság: a GDPR 32. cikke szerint végrehajtja a kockázat mértékének megfelelő technikai és szervezési intézkedéseket (többek között: titkosított adattárolás és -továbbítás, szerepkör-alapú hozzáférés-vezérlés, láncolatosan hitelesített audit napló, SHA-256 integritásellenőrzés).

6.4 Alfeldolgozók: további adatfeldolgozót (alfeldolgozót) az Adatkezelő általános felhatalmazása alapján vesz igénybe, a 7. pontban felsoroltak szerint. Az alfeldolgozókra ugyanazokat az adatvédelmi kötelezettségeket telepíti, mint amelyek az Adatfeldolgozót jelen szerződés alapján terhelik. Az alfeldolgozók személyében bekövetkező tervezett változásról az Adatkezelőt előzetesen tájékoztatja, lehetőséget biztosítva a kifogásolásra.

6.5 Segítségnyújtás az érintetti jogok gyakorlásához: a technológia állása szerint megfelelő intézkedésekkel segíti az Adatkezelőt abban, hogy teljesíteni tudja az érintettek (hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás, adathordozhatóság) jogainak gyakorlásából eredő kötelezettségeit.

6.6 Segítségnyújtás a további kötelezettségekhez: segíti az Adatkezelőt a GDPR 32–36. cikke szerinti kötelezettségek (adatbiztonság, adatvédelmi incidens kezelése és bejelentése, adatvédelmi hatásvizsgálat, előzetes konzultáció) teljesítésében, figyelembe véve az adatkezelés jellegét és a rendelkezésére álló információkat.

6.7 Adatvédelmi incidens: az adatvédelmi incidenst a tudomásszerzést követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek, és a rendelkezésére álló információkat átadja (lásd 8. pont).

6.8 Törlés vagy visszaszolgáltatás: az adatkezelési szolgáltatás megszűnését követően az Adatkezelő döntése szerint minden személyes adatot töröl vagy visszajuttat, és törli a meglévő másolatokat, kivéve, ha uniós vagy tagállami jog az adatok tárolását írja elő (lásd 9. pont).

6.9 Ellenőrzés (audit): az Adatkezelő rendelkezésére bocsátja a jelen szerződésben és a GDPR 28. cikkében meghatározott kötelezettségek teljesítésének igazolásához szükséges információkat, továbbá lehetővé teszi és elősegíti az Adatkezelő által vagy megbízásából végzett ellenőrzéseket (auditokat), az üzletmenet ésszerű megzavarása nélkül.

7. Igénybe vett alfeldolgozók

Az Adatfeldolgozó a szolgáltatás nyújtásához az alábbi alfeldolgozókat veszi igénybe. Az Európai Gazdasági Térségen (EGT) kívülre irányuló adattovábbítás jogalapja a Bizottság által elfogadott Általános Szerződéses Klauzulák (SCC).

Supabase, Inc. (San Francisco, CA, USA)

Szerepe: adatbázis, fájltárolás, felhasználói hitelesítés

Adatvédelmi oldal: https://supabase.com/privacy

Adattovábbítás alapja: Standard Szerződéses Klauzulák (SCC)

Vercel, Inc. (San Francisco, CA, USA)

Szerepe: alkalmazás üzemeltetése és tárhely

Adatvédelmi oldal: https://vercel.com/legal/privacy-policy

Adattovábbítás alapja: Standard Szerződéses Klauzulák (SCC)

OpenAI, LLC (San Francisco, CA, USA)

Szerepe: AI-alapú bizonylat-felismerés (OCR) — partneradatok kinyerése

Megjegyzés: A feltöltött dokumentumok képei átmenetileg kerülnek feldolgozásra, tartós tárolás nem történik

Adatvédelmi oldal: https://openai.com/privacy

Adattovábbítás alapja: Standard Szerződéses Klauzulák (SCC)

Resend, Inc. (San Francisco, CA, USA)

Szerepe: a fizetési emlékeztető e-mailek kézbesítése az érintettek részére

Adatvédelmi oldal: https://resend.com/legal/privacy-policy

Adattovábbítás alapja: Standard Szerződéses Klauzulák (SCC)

Stripe, Inc. (San Francisco, CA, USA)

Szerepe: előfizetési díjak kezelése (az érintettek adataihoz nem fér hozzá)

Adatvédelmi oldal: https://stripe.com/privacy

Adattovábbítás alapja: Standard Szerződéses Klauzulák (SCC)

Functional Software, Inc. (Sentry, San Francisco, CA, USA)

Szerepe: hibakövetés és üzemeltetési telemetria

Adatvédelmi oldal: https://sentry.io/privacy/

Adattovábbítás alapja: Standard Szerződéses Klauzulák (SCC)

Billingo Technologies Zrt. (Magyarország)

Szerepe: számlakiállítás (az Adatkezelő saját számlázási adataihoz kapcsolódóan)

Adatvédelmi oldal: https://www.billingo.hu/adatvedelmi-tajekoztato

Adattovábbítás alapja: EGT-n belüli adatkezelés (harmadik országba történő továbbítás nem történik)

8. Adatvédelmi incidens kezelése

Az Adatfeldolgozó az általa észlelt adatvédelmi incidenst a tudomásszerzést követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek az adatvedelem@doxy.hu címről küldött értesítéssel, és rendelkezésre bocsátja az incidens jellegére, az érintettek és adatok körére, a várható következményekre és a megtett intézkedésekre vonatkozó, rendelkezésére álló információkat. A felügyeleti hatóság és az érintettek felé történő bejelentés — mint adatkezelőt — az Adatkezelőt terheli.

9. Az adatok törlése és visszaszolgáltatása

A jogviszony megszűnésekor, illetve az Adatkezelő erre irányuló kérésére az Adatfeldolgozó — az Adatkezelő választása szerint — a kezelt személyes adatokat törli vagy visszajuttatja, és a meglévő másolatokat törli, kivéve, ha az adatok további tárolását uniós vagy magyar jogszabály (így különösen a számvitelről szóló 2000. évi C. törvény szerinti megőrzési kötelezettség) írja elő. A Doxy szolgáltatásban alkalmazott „soft delete” logika értelmében a törlésre jelölt adatok a megőrzési idő elteltével véglegesen törlésre kerülnek.

10. Felelősség

10.1 Az Adatfeldolgozó a GDPR 82. cikke szerint felel az adatfeldolgozásból eredő károkért, ha nem tartotta be a rá háruló, illetve az Adatkezelő jogszerű utasításait figyelmen kívül hagyva járt el.

10.2 Az Adatkezelő felel az általa meghatározott adatkezelési célok jogszerűségéért, az érintettek felé fennálló tájékoztatási kötelezettség teljesítéséért, valamint az általa adott utasítások jogszerűségéért.

10.3 Az Adatfeldolgozó felelősségének korlátaira egyebekben a Doxy Általános Szerződési Feltételeiben foglaltak irányadók.

11. Időbeli hatály és megszűnés

Jelen szerződés az Adatkezelő és az Adatfeldolgozó közötti előfizetői jogviszony fennállásáig, illetve az annak keretében végzett adatfeldolgozás időtartamáig hatályos. A szerződés az előfizetői jogviszony megszűnésével — a 9. pont szerinti kötelezettségek teljesítése mellett — megszűnik.

12. Vegyes és záró rendelkezések

12.1 Jelen szerződés a Doxy Általános Szerződési Feltételeinek és Adatvédelmi Tájékoztatójának elválaszthatatlan részét képezi; az ÁSZF elfogadásával az Adatkezelő jelen adatfeldolgozói szerződést is elfogadja.

12.2 A jelen szerződésben nem szabályozott kérdésekben a GDPR, valamint a magyar jog irányadó.

12.3 Az Adatfeldolgozó fenntartja a jogot jelen szerződés módosítására; lényeges módosításról az Adatkezelőt előzetesen tájékoztatja. A módosítás hatályba lépésének napja az oldalon feltüntetett „Hatályos” dátum.

12.4 Adatfeldolgozással kapcsolatos kérdéseivel forduljon hozzánk: adatvedelem@doxy.hu.