Jogi információk
Adatfeldolgozási megállapodás
Hatálybalépés napja
2026. július 9.
1. Felek és előzmények
A jelen Adatfeldolgozási megállapodás („AFM”) a Notakey Latvia, SIA (egységes nyilvántartási szám: 40103993632, székhely: Ganu iela 3 – 12, Riga, LV-1010, Lettország) („Notakey” vagy az „Adatfeldolgozó”) és a vonatkozó Megrendelőlapon vagy előfizetésben megjelölt ügyfél („Ügyfél” vagy az „Adatkezelő”) között jön létre. Az AFM a Notakey Szolgáltatási feltételeinek (a „Megállapodás”) részét képezi, és abba beépül.
A jelen AFM akkor alkalmazandó, ha a Notakey a Szolgáltatások nyújtása során az Ügyfél megbízásából személyes adatokat dolgoz fel az (EU) 2016/679 rendelet (a „GDPR”, általános adatvédelmi rendelet) értelmében. Az olyan fogalmak, mint a „személyes adat”, az „adatkezelés”, az „adatkezelő”, az „adatfeldolgozó” és az „érintett”, a GDPR-ban meghatározott jelentéssel bírnak.
2. Tárgy, időtartam, jelleg és cél
Tárgy: a Notakey hitelesítési és tranzakció-aláírási Szolgáltatásainak (a notakey.cloud vagy a Notakey Appliance, a Notakey mobilalkalmazással együtt) nyújtása az Ügyfél részére.
Időtartam: a Megállapodás időtartama, valamint az azt követő időszak az Ügyfél valamennyi Személyes Adatának a 10. pont szerinti törléséig vagy visszaszolgáltatásáig.
Jelleg és cél: hitelesítési és tranzakció-jóváhagyási adatok tárolása, továbbítása és feldolgozása annak érdekében, hogy az Ügyfél arra jogosult felhasználói eszközöket regisztrálhassanak, jóváhagyási kéréseket fogadhassanak, valamint hitelesítési és aláírási műveleteket hagyhassanak jóvá vagy utasíthassanak el.
Az érintettek kategóriái: az Ügyfél munkavállalói, alvállalkozói, ügyfelei, tagjai vagy más végfelhasználói, akiket az Ügyfél a Szolgáltatásokba regisztrál.
A személyes adatok típusai: felhasználói azonosítók (például felhasználónév, e-mail-cím vagy telefonszám); regisztráció-ellenőrzési adatok (például SMS-ben vagy WhatsAppon kézbesített egyszer használatos kódok, címtár- vagy OpenID Connect-állítások, illetve a rendszergazda kézi jóváhagyása); eszközadatok (az eszköz típusa, az operációs rendszer verziója, push értesítési token, nyilvános kulcs és eszköztanúsítvány); valamint hitelesítési/jóváhagyási tevékenység (a kérések metaadatai, jóváhagyási/elutasítási eredmények, időbélyegek, aláírások). A privát kulcsok a végfelhasználók eszközein jönnek létre és tárolódnak, soha nem jutnak el a Notakey-hoz, és a Notakey azokat nem tárolja. A feldolgozás nem irányul a személyes adatok különleges kategóriáira (GDPR 9. cikk); a biometrikus ellenőrzés — ha az Ügyfél ilyet alkalmaz — teljes egészében a végfelhasználó eszközén történik, és adatai a Notakey-hoz nem jutnak el.
3. Szerepek és utasítások
Az Ügyfél Személyes Adatai tekintetében az Ügyfél az adatkezelő, a Notakey pedig az adatfeldolgozó. A Notakey az Ügyfél Személyes Adatait kizárólag az Ügyfél dokumentált utasításai alapján dolgozza fel, ideértve a Megállapodásban, a jelen AFM-ben, valamint a Szolgáltatások Ügyfél általi konfigurációjában foglaltakat, kivéve, ha a feldolgozást a Notakey-ra alkalmazandó uniós vagy tagállami jog írja elő — ebben az esetben a Notakey a feldolgozást megelőzően tájékoztatja az Ügyfelet e jogi előírásról, kivéve, ha ezt az adott jog tiltja. A Notakey tájékoztatja az Ügyfelet, ha megítélése szerint valamely utasítás sérti a GDPR-t.
4. Titoktartás
A Notakey biztosítja, hogy az Ügyfél Személyes Adatainak feldolgozására jogosult személyeket szerződéses vagy jogszabályon alapuló titoktartási kötelezettség terhelje.
5. Biztonság
A Notakey a GDPR 32. cikkében előírtaknak megfelelően megfelelő technikai és szervezési intézkedéseket vezet be és tart fenn az Ügyfél Személyes Adatainak védelme érdekében, figyelembe véve a tudomány és technológia állását, a megvalósítás költségeit, valamint a feldolgozás jellegét, hatókörét, körülményeit és céljait. A jelenlegi intézkedéseket a 2. melléklet ismerteti. A Notakey ezeket időről időre frissítheti, feltéve, hogy a védelem általános szintje nem csökken.
6. További adatfeldolgozók
Az Ügyfél általános felhatalmazást ad a Notakey részére a 3. mellékletben felsorolt további adatfeldolgozók igénybevételére. A Notakey legalább 30 nappal a további adatfeldolgozó bevonása vagy lecserélése előtt értesíti az Ügyfelet; az Ügyfél ezen az időszakon belül észszerű adatvédelmi indokok alapján kifogást emelhet, amely esetben a felek jóhiszeműen együttműködnek a megoldás megtalálása érdekében, ennek hiányában pedig az Ügyfél felmondhatja az érintett Szolgáltatásokat. A Notakey minden további adatfeldolgozóval szemben a jelen AFM-ben foglaltakkal egyenértékű adatvédelmi kötelezettségeket ír elő, és felelős marad azok teljesítéséért.
7. Az Ügyfél támogatása
A feldolgozás jellegét figyelembe véve a Notakey megfelelő technikai és szervezési intézkedésekkel, a lehetőségekhez mérten segíti az Ügyfelet az érintetti kérelmek megválaszolására vonatkozó kötelezettségeinek (GDPR III. fejezet), valamint a GDPR 32–36. cikke szerinti kötelezettségeinek (biztonság, adatvédelmi incidens bejelentése, adatvédelmi hatásvizsgálat és előzetes konzultáció) teljesítésében, minden esetben az Ügyfél észszerű kérésére. Ha egy érintett a Szolgáltatások Ügyfél általi használatával kapcsolatban közvetlenül a Notakey-hoz fordul, a Notakey a kérelmet indokolatlan késedelem nélkül továbbítja az Ügyfélnek.
8. Adatvédelmi incidens bejelentése
A Notakey indokolatlan késedelem nélkül értesíti az Ügyfelet azt követően, hogy tudomást szerzett az Ügyfél Személyes Adatait érintő adatvédelmi incidensről, és a Notakey számára észszerűen rendelkezésre álló információkat megadja annak érdekében, hogy az Ügyfél teljesíthesse a GDPR 33. és 34. cikke szerinti saját bejelentési kötelezettségeit, az értesítést a további információk rendelkezésre állásának megfelelően kiegészítve.
9. Nemzetközi adattovábbítás
A Notakey az Ügyfél Személyes Adatait az Európai Gazdasági Térségben dolgozza fel. A notakey.cloud az Oracle Cloud Infrastructure infrastruktúráján üzemel. Ha egy további adatfeldolgozó az EGT-n kívül dolgoz fel személyes adatokat (lásd a 3. mellékletet), a Notakey gondoskodik megfelelő adattovábbítási garanciáról, például az Európai Bizottság által elfogadott általános adatvédelmi kikötésekről vagy megfelelőségi határozatról (ideértve az EU–USA adatvédelmi keretrendszert is, ha a címzett tanúsítással rendelkezik).
10. Az adatok törlése és visszaszolgáltatása
A Szolgáltatások megszűnésekor vagy lejártakor a Notakey az Ügyfél választása szerint törli vagy visszaszolgáltatja az Ügyfél valamennyi Személyes Adatát, és a meglévő másolatokat indokolatlan késedelem nélkül törli, kivéve, ha az uniós vagy a tagállami jog további tárolást ír elő.
11. Ellenőrzések
A Notakey az Ügyfél rendelkezésére bocsátja mindazokat az információkat, amelyek a jelen AFM-nek való megfelelés igazolásához észszerűen szükségesek, továbbá lehetővé teszi és elősegíti az Ügyfél vagy az Ügyfél által megbízott ellenőr által végzett ellenőrzéseket, beleértve a helyszíni vizsgálatokat is, észszerű előzetes értesítés mellett, bármely 12 hónapos időszakban legfeljebb egy alkalommal (kivéve, ha adatvédelmi incidens vagy felügyeleti hatóság eljárása mást tesz szükségessé), rendes munkaidőben és titoktartási kötelezettségek mellett. A Notakey az ellenőrzési kérést először meglévő ellenőrzési (audit) jelentések vagy tanúsítványok rendelkezésre bocsátásával is teljesítheti, amennyiben azok észszerűen lefedik a kérés tárgyát.
12. Felelősség és a dokumentumok egymáshoz való viszonya
A felek jelen AFM szerinti felelősségére a Megállapodásban foglalt felelősségkorlátozások vonatkoznak. Ha a jelen AFM és a Megállapodás között a személyes adatok feldolgozását illetően ellentmondás áll fenn, a jelen AFM az irányadó.
1. melléklet — A feldolgozás részletei
A jelen AFM 2. pontjában foglaltak szerint (tárgy, időtartam, jelleg és cél, az érintettek kategóriái, valamint a személyes adatok típusai).
2. melléklet — Technikai és szervezési intézkedések
- A végfelhasználói privát kulcsok az eszköz hardveralapú biztonságos tárolójában jönnek létre és tárolódnak, soha nem jutnak el a Notakey-hoz, és a Notakey azokat nem tárolja; minden jóváhagyás kriptográfiai aláírása az eszközön történik.
- Az adatátvitel TLS-titkosítással történik.
- A jóváhagyási kérések tartalma csak azután jut el az eszközre, hogy a felhasználó elfogadta a push értesítést; a push-szolgáltatók (APNs/FCM) csak tokeneket kapnak, a kérések tartalmát nem.
- A Notakey technikai és szervezési intézkedéseinek további részletei az Ügyfél kérésére elérhetők az info@notakey.com címen.
3. melléklet — Engedélyezett további adatfeldolgozók
- Oracle Cloud Infrastructure — a notakey.cloud tárhelyszolgáltatása.
- Apple Inc. (Apple Push Notification service) — push értesítések kézbesítése iOS-eszközökre.
- Google LLC (Firebase Cloud Messaging) — push értesítések kézbesítése Android-eszközökre.
- Functional Software, Inc. (Sentry) — alkalmazáshiba- és összeomlás-diagnosztika.
Ha az Ügyfél regisztrációs konfigurációja az egyszer használatos kódok SMS-ben vagy WhatsAppon történő kézbesítését alkalmazza, az üzenetkézbesítési szolgáltató a kézbesítés céljából megkapja a végfelhasználó telefonszámát. A további adatfeldolgozók naprakész listája kérésre elérhető az info@notakey.com címen.