Adatfeldolgozási megállapodás (DPA)
A GDPR 28. cikk (3) bekezdése szerinti adatfeldolgozási megállapodás a Claros szakmai felhasználói (adatkezelők) és a Szolgáltató (adatfeldolgozó) között.
Hatályos: 2026. július 9-től
1. Felek, a megállapodás jellege
Jelen Adatfeldolgozási megállapodás (a továbbiakban: „DPA") a Claros szolgáltatást praxiskezelésre használó szakmai felhasználó mint adatkezelő és a [Szolgáltató neve — kitöltendő] (székhely: [Székhely — kitöltendő]; e-mail: claros.work@gmail.com) mint adatfeldolgozó (a továbbiakban: „Szolgáltató") között jön létre.
A DPA az ÁSZF elválaszthatatlan melléklete, és a regisztrációval, illetve a Szolgáltatás használatával külön aláírás nélkül hatályba lép. Eltérés esetén a kliens- és páciensadatok kezelése tekintetében a DPA rendelkezései irányadók az ÁSZF-fel szemben.
2. Az adatfeldolgozás tárgya, jellege, célja és időtartama
- Tárgya: a felhasználó által a Clarosban rögzített kliens- és páciensadatok tárolása, rendszerezése és a Szolgáltatás funkcióin keresztüli kezelése.
- Jellege: felhőalapú tárolás és feldolgozás, a klinikai tartalmak tekintetében kizárólag végponti (zero-knowledge) titkosítású, a Szolgáltató által vissza nem fejthető formában.
- Célja: a felhasználó praxisadminisztrációjának támogatása (kliensnyilvántartás, ülések, jegyzetek, célok, számlázás, jelentések).
- Időtartama: a felhasználói szerződés fennállása, valamint a megszűnését követő, a 11. pont szerinti törlési időszak.
- Érintettek kategóriái: a felhasználó kliensei és páciensei, azok kapcsolattartói, törvényes képviselői, számlázási kapcsolattartók.
- Adatkategóriák: azonosító és kapcsolattartási adatok, időpont- és naptáradatok, számlázási adatok, valamint — kizárólag titkosított formában — a GDPR 9. cikke szerinti különleges kategóriájú (egészségügyi, pszichés állapotra vonatkozó) adatok, így különösen ülésjegyzetek, anamnézis, diagnosztikai hipotézisek, kockázati jelzések.
3. Az adatkezelő utasításai
A Szolgáltató a személyes adatokat kizárólag a felhasználó dokumentált utasításai alapján kezeli; dokumentált utasításnak minősül a Szolgáltatás funkcióinak használata, valamint a felhasználó írásbeli (e-mailes) rendelkezése. A Szolgáltató haladéktalanul tájékoztatja a felhasználót, ha megítélése szerint valamely utasítás sérti a GDPR-t vagy más adatvédelmi jogszabályt.
A Szolgáltató az adatokat saját céljára nem használja fel, nem értékesíti, hirdetési célra nem hasznosítja, és mesterséges intelligencia modellek tanítására nem használja.
4. Titoktartás
A Szolgáltató biztosítja, hogy a személyes adatokhoz hozzáférésre jogosult személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló titoktartási kötelezettség alatt állnak. A hozzáférés a feladat ellátásához szükséges legszűkebb körre korlátozott.
A zero-knowledge titkosítás folytán a klinikai tartalmakhoz a Szolgáltató munkatársai technikailag sem férnek hozzá.
5. Adatbiztonsági intézkedések (GDPR 32. cikk)
A Szolgáltató legalább az alábbi technikai és szervezési intézkedéseket tartja fenn:
- A klinikai tartalmak végponti (zero-knowledge) titkosítása: a titkosítás és visszafejtés kizárólag a felhasználó eszközén történik, a kulcsok a Szolgáltatóhoz nem kerülnek át.
- Titkosított adatátvitel (TLS) minden kapcsolatra; HTTP Strict Transport Security.
- Az adatbázis tartalmának nyugalmi (at-rest) titkosítása az infrastruktúra-szolgáltatónál; tárolás az EU területén (eu-west-1 régió).
- Integrációs titkok (pl. hozzáférési tokenek, API-kulcsok) alkalmazásszintű titkosítása (AES-256-GCM).
- Fiókonkénti szigorú hozzáférés-elkülönítés (owner-scoping), kétfaktoros hitelesítés lehetősége, adminisztrátori hozzáférés kétfaktoros hitelesítéshez kötve.
- Tartalombiztonsági szabályok (CSP), sebességkorlátozás, automatizált visszaélés-védelem, biztonsági eseménynaplózás.
- Rendszeres biztonsági mentések; a mentések a titkosított tartalmakat kizárólag titkosított formában tartalmazzák.
- A Szolgáltató az intézkedéseket a technika fejlődésére figyelemmel rendszeresen felülvizsgálja.
6. Al-adatfeldolgozók
A felhasználó általános felhatalmazást ad a Szolgáltatónak al-adatfeldolgozók igénybevételére. Az igénybe vett al-adatfeldolgozók mindenkori listáját az Adatvédelmi tájékoztató 5. pontja tartalmazza.
A Szolgáltató a lista tervezett bővítéséről vagy cseréjéről legalább 30 nappal korábban e-mailben vagy a felületen értesíti a felhasználót. A felhasználó a változással szemben az értesítéstől számított 30 napon belül kifogást emelhet; kifogás esetén a felhasználó a szerződést hátrányos jogkövetkezmény nélkül, azonnali hatállyal felmondhatja, és adatait exportálhatja.
A Szolgáltató az al-adatfeldolgozókkal a jelen DPA-ban foglaltakkal legalább egyenértékű adatvédelmi kötelezettségeket tartalmazó szerződést köt, és teljes felelősséggel tartozik az al-adatfeldolgozók teljesítéséért.
7. Az érintetti jogok támogatása
A Szolgáltató — az adatfeldolgozás jellegének figyelembevételével — megfelelő technikai és szervezési intézkedésekkel segíti a felhasználót a GDPR III. fejezete szerinti érintetti kérelmek (hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás) megválaszolásában, különösen az adatexport- és törlési funkciók biztosításával.
A titkosított tartalmakban a Szolgáltató az érintetteket azonosítani nem képes (GDPR 11. cikk); az érintetti kérelmek érdemi teljesítése ezért a felhasználó feladata. Ha érintett közvetlenül a Szolgáltatóhoz fordul, a Szolgáltató a kérelmet — ha a felhasználó azonosítható — haladéktalanul továbbítja a felhasználónak.
8. Adatvédelmi incidensek
A Szolgáltató az adatvédelmi incidensről a tudomásszerzést követően indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti a felhasználót. Az értesítés tartalmazza legalább az incidens jellegét, az érintett adatkategóriákat és hozzávetőleges számokat, a valószínűsíthető következményeket, valamint a megtett és tervezett intézkedéseket (GDPR 33. cikk (3) bekezdésével összhangban).
A Szolgáltató együttműködik a felhasználóval az incidens kivizsgálásában, a hatósági bejelentésben (GDPR 33. cikk) és az érintettek tájékoztatásában (GDPR 34. cikk), és megteszi az incidens hatásainak enyhítéséhez szükséges intézkedéseket.
A zero-knowledge titkosítás folytán a titkosított tartalmakat érintő incidens esetén a tartalmak a jogosulatlan fél számára — a kulcsok hiányában — értelmezhetetlenek; ez a GDPR 34. cikk (3) a) pontja szerinti mentesülés megítélésénél figyelembe vehető, amelyről a döntés a felhasználót mint adatkezelőt illeti.
9. Hatásvizsgálat és előzetes konzultáció támogatása
A Szolgáltató a rendelkezésére álló információk biztosításával segíti a felhasználót a GDPR 35. cikke szerinti adatvédelmi hatásvizsgálat elvégzésében és a 36. cikk szerinti előzetes konzultációban. A jelen DPA és az Adatvédelmi tájékoztató a hatásvizsgálathoz felhasználható technikai leírást tartalmaz.
10. Harmadik országba történő továbbítás
A személyes adatok tárolása az EU területén történik. Amennyiben valamely al-adatfeldolgozó harmadik országból fér hozzá adatokhoz, a továbbítás kizárólag a GDPR V. fejezete szerinti megfelelő garanciák (megfelelőségi határozat — ideértve az EU–USA adatvédelmi keretet —, vagy általános szerződési feltételek) alapján történhet. Klinikai tartalom harmadik országba kizárólag titkosított, a Szolgáltató és az al-adatfeldolgozók által vissza nem fejthető formában kerülhet.
11. Törlés és visszaszolgáltatás
A felhasználó a Szolgáltatás fennállása alatt bármikor exportálhatja adatait géppel olvasható formátumban, és maga is törölheti a praxisadatokat vagy a teljes fiókot.
A szerződés megszűnésekor a Szolgáltató a felhasználó választása szerint visszaszolgáltatja (exportálja) és/vagy törli a személyes adatokat. A törlést a Szolgáltató a megszűnéstől számított 30 napon belül végrehajtja az éles rendszerekben; a biztonsági mentésekből az adatok legkésőbb 90 napon belül törlődnek. A törlés alól kivételt képeznek azok az adatok, amelyek megőrzését jogszabály írja elő (pl. számviteli bizonylatok).
A törlés megtörténtéről a Szolgáltató a felhasználó kérésére írásban nyilatkozik.
12. Ellenőrzés (audit)
A Szolgáltató a felhasználó rendelkezésére bocsátja a jelen DPA-ban foglalt kötelezettségek teljesítésének igazolásához szükséges információkat, és lehetővé teszi, illetve segíti a felhasználó vagy megbízott (a Szolgáltatóval versenyhelyzetben nem álló) auditora által végzett ellenőrzéseket.
Az ellenőrzés évente legfeljebb egy alkalommal, legalább 30 napos előzetes írásbeli értesítéssel, üzemzavart nem okozó módon végezhető; költségeit — ha az ellenőrzés jogsértést nem tár fel — a felhasználó viseli. Adatvédelmi incidens után soron kívüli ellenőrzésnek is helye van.
13. Felelősség, alkalmazandó jog
A felek felelősségére a GDPR 82. cikke irányadó: a Szolgáltató az adatfeldolgozói kötelezettségek megszegésével vagy a felhasználó jogszerű utasításainak megsértésével okozott kárért felel. A felelősség egyebekben az ÁSZF 9. pontja szerint alakul, azzal, hogy a GDPR-ból fakadó, el nem zárható felelősséget az ÁSZF nem korlátozza.
A jelen DPA-ra a magyar jog és a GDPR irányadó. A DPA módosítására az ÁSZF módosítására vonatkozó szabályok alkalmazandók.