Vissza a nyitóoldalra
Jogi dokumentum

Adatfeldolgozási megállapodás (DPA)

A GDPR 28. cikk (3) bekezdése szerinti adatfeldolgozási megállapodás a Claros szakmai felhasználói (adatkezelők) és a Szolgáltató (adatfeldolgozó) között.

Hatályos: 2026. július 9-től

1. Felek, a megállapodás jellege

Jelen Adatfeldolgozási megállapodás (a továbbiakban: „DPA") a Claros szolgáltatást praxiskezelésre használó szakmai felhasználó mint adatkezelő és a [Szolgáltató neve — kitöltendő] (székhely: [Székhely — kitöltendő]; e-mail: claros.work@gmail.com) mint adatfeldolgozó (a továbbiakban: „Szolgáltató") között jön létre.

A DPA az ÁSZF elválaszthatatlan melléklete, és a regisztrációval, illetve a Szolgáltatás használatával külön aláírás nélkül hatályba lép. Eltérés esetén a kliens- és páciensadatok kezelése tekintetében a DPA rendelkezései irányadók az ÁSZF-fel szemben.

2. Az adatfeldolgozás tárgya, jellege, célja és időtartama

  • Tárgya: a felhasználó által a Clarosban rögzített kliens- és páciensadatok tárolása, rendszerezése és a Szolgáltatás funkcióin keresztüli kezelése.
  • Jellege: felhőalapú tárolás és feldolgozás, a klinikai tartalmak tekintetében kizárólag végponti (zero-knowledge) titkosítású, a Szolgáltató által vissza nem fejthető formában.
  • Célja: a felhasználó praxisadminisztrációjának támogatása (kliensnyilvántartás, ülések, jegyzetek, célok, számlázás, jelentések).
  • Időtartama: a felhasználói szerződés fennállása, valamint a megszűnését követő, a 11. pont szerinti törlési időszak.
  • Érintettek kategóriái: a felhasználó kliensei és páciensei, azok kapcsolattartói, törvényes képviselői, számlázási kapcsolattartók.
  • Adatkategóriák: azonosító és kapcsolattartási adatok, időpont- és naptáradatok, számlázási adatok, valamint — kizárólag titkosított formában — a GDPR 9. cikke szerinti különleges kategóriájú (egészségügyi, pszichés állapotra vonatkozó) adatok, így különösen ülésjegyzetek, anamnézis, diagnosztikai hipotézisek, kockázati jelzések.

3. Az adatkezelő utasításai

A Szolgáltató a személyes adatokat kizárólag a felhasználó dokumentált utasításai alapján kezeli; dokumentált utasításnak minősül a Szolgáltatás funkcióinak használata, valamint a felhasználó írásbeli (e-mailes) rendelkezése. A Szolgáltató haladéktalanul tájékoztatja a felhasználót, ha megítélése szerint valamely utasítás sérti a GDPR-t vagy más adatvédelmi jogszabályt.

A Szolgáltató az adatokat saját céljára nem használja fel, nem értékesíti, hirdetési célra nem hasznosítja, és mesterséges intelligencia modellek tanítására nem használja.

4. Titoktartás

A Szolgáltató biztosítja, hogy a személyes adatokhoz hozzáférésre jogosult személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló titoktartási kötelezettség alatt állnak. A hozzáférés a feladat ellátásához szükséges legszűkebb körre korlátozott.

A zero-knowledge titkosítás folytán a klinikai tartalmakhoz a Szolgáltató munkatársai technikailag sem férnek hozzá.

5. Adatbiztonsági intézkedések (GDPR 32. cikk)

A Szolgáltató legalább az alábbi technikai és szervezési intézkedéseket tartja fenn:

  • A klinikai tartalmak végponti (zero-knowledge) titkosítása: a titkosítás és visszafejtés kizárólag a felhasználó eszközén történik, a kulcsok a Szolgáltatóhoz nem kerülnek át.
  • Titkosított adatátvitel (TLS) minden kapcsolatra; HTTP Strict Transport Security.
  • Az adatbázis tartalmának nyugalmi (at-rest) titkosítása az infrastruktúra-szolgáltatónál; tárolás az EU területén (eu-west-1 régió).
  • Integrációs titkok (pl. hozzáférési tokenek, API-kulcsok) alkalmazásszintű titkosítása (AES-256-GCM).
  • Fiókonkénti szigorú hozzáférés-elkülönítés (owner-scoping), kétfaktoros hitelesítés lehetősége, adminisztrátori hozzáférés kétfaktoros hitelesítéshez kötve.
  • Tartalombiztonsági szabályok (CSP), sebességkorlátozás, automatizált visszaélés-védelem, biztonsági eseménynaplózás.
  • Rendszeres biztonsági mentések; a mentések a titkosított tartalmakat kizárólag titkosított formában tartalmazzák.
  • A Szolgáltató az intézkedéseket a technika fejlődésére figyelemmel rendszeresen felülvizsgálja.

6. Al-adatfeldolgozók

A felhasználó általános felhatalmazást ad a Szolgáltatónak al-adatfeldolgozók igénybevételére. Az igénybe vett al-adatfeldolgozók mindenkori listáját az Adatvédelmi tájékoztató 5. pontja tartalmazza.

A Szolgáltató a lista tervezett bővítéséről vagy cseréjéről legalább 30 nappal korábban e-mailben vagy a felületen értesíti a felhasználót. A felhasználó a változással szemben az értesítéstől számított 30 napon belül kifogást emelhet; kifogás esetén a felhasználó a szerződést hátrányos jogkövetkezmény nélkül, azonnali hatállyal felmondhatja, és adatait exportálhatja.

A Szolgáltató az al-adatfeldolgozókkal a jelen DPA-ban foglaltakkal legalább egyenértékű adatvédelmi kötelezettségeket tartalmazó szerződést köt, és teljes felelősséggel tartozik az al-adatfeldolgozók teljesítéséért.

7. Az érintetti jogok támogatása

A Szolgáltató — az adatfeldolgozás jellegének figyelembevételével — megfelelő technikai és szervezési intézkedésekkel segíti a felhasználót a GDPR III. fejezete szerinti érintetti kérelmek (hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás) megválaszolásában, különösen az adatexport- és törlési funkciók biztosításával.

A titkosított tartalmakban a Szolgáltató az érintetteket azonosítani nem képes (GDPR 11. cikk); az érintetti kérelmek érdemi teljesítése ezért a felhasználó feladata. Ha érintett közvetlenül a Szolgáltatóhoz fordul, a Szolgáltató a kérelmet — ha a felhasználó azonosítható — haladéktalanul továbbítja a felhasználónak.

8. Adatvédelmi incidensek

A Szolgáltató az adatvédelmi incidensről a tudomásszerzést követően indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti a felhasználót. Az értesítés tartalmazza legalább az incidens jellegét, az érintett adatkategóriákat és hozzávetőleges számokat, a valószínűsíthető következményeket, valamint a megtett és tervezett intézkedéseket (GDPR 33. cikk (3) bekezdésével összhangban).

A Szolgáltató együttműködik a felhasználóval az incidens kivizsgálásában, a hatósági bejelentésben (GDPR 33. cikk) és az érintettek tájékoztatásában (GDPR 34. cikk), és megteszi az incidens hatásainak enyhítéséhez szükséges intézkedéseket.

A zero-knowledge titkosítás folytán a titkosított tartalmakat érintő incidens esetén a tartalmak a jogosulatlan fél számára — a kulcsok hiányában — értelmezhetetlenek; ez a GDPR 34. cikk (3) a) pontja szerinti mentesülés megítélésénél figyelembe vehető, amelyről a döntés a felhasználót mint adatkezelőt illeti.

9. Hatásvizsgálat és előzetes konzultáció támogatása

A Szolgáltató a rendelkezésére álló információk biztosításával segíti a felhasználót a GDPR 35. cikke szerinti adatvédelmi hatásvizsgálat elvégzésében és a 36. cikk szerinti előzetes konzultációban. A jelen DPA és az Adatvédelmi tájékoztató a hatásvizsgálathoz felhasználható technikai leírást tartalmaz.

10. Harmadik országba történő továbbítás

A személyes adatok tárolása az EU területén történik. Amennyiben valamely al-adatfeldolgozó harmadik országból fér hozzá adatokhoz, a továbbítás kizárólag a GDPR V. fejezete szerinti megfelelő garanciák (megfelelőségi határozat — ideértve az EU–USA adatvédelmi keretet —, vagy általános szerződési feltételek) alapján történhet. Klinikai tartalom harmadik országba kizárólag titkosított, a Szolgáltató és az al-adatfeldolgozók által vissza nem fejthető formában kerülhet.

11. Törlés és visszaszolgáltatás

A felhasználó a Szolgáltatás fennállása alatt bármikor exportálhatja adatait géppel olvasható formátumban, és maga is törölheti a praxisadatokat vagy a teljes fiókot.

A szerződés megszűnésekor a Szolgáltató a felhasználó választása szerint visszaszolgáltatja (exportálja) és/vagy törli a személyes adatokat. A törlést a Szolgáltató a megszűnéstől számított 30 napon belül végrehajtja az éles rendszerekben; a biztonsági mentésekből az adatok legkésőbb 90 napon belül törlődnek. A törlés alól kivételt képeznek azok az adatok, amelyek megőrzését jogszabály írja elő (pl. számviteli bizonylatok).

A törlés megtörténtéről a Szolgáltató a felhasználó kérésére írásban nyilatkozik.

12. Ellenőrzés (audit)

A Szolgáltató a felhasználó rendelkezésére bocsátja a jelen DPA-ban foglalt kötelezettségek teljesítésének igazolásához szükséges információkat, és lehetővé teszi, illetve segíti a felhasználó vagy megbízott (a Szolgáltatóval versenyhelyzetben nem álló) auditora által végzett ellenőrzéseket.

Az ellenőrzés évente legfeljebb egy alkalommal, legalább 30 napos előzetes írásbeli értesítéssel, üzemzavart nem okozó módon végezhető; költségeit — ha az ellenőrzés jogsértést nem tár fel — a felhasználó viseli. Adatvédelmi incidens után soron kívüli ellenőrzésnek is helye van.

13. Felelősség, alkalmazandó jog

A felek felelősségére a GDPR 82. cikke irányadó: a Szolgáltató az adatfeldolgozói kötelezettségek megszegésével vagy a felhasználó jogszerű utasításainak megsértésével okozott kárért felel. A felelősség egyebekben az ÁSZF 9. pontja szerint alakul, azzal, hogy a GDPR-ból fakadó, el nem zárható felelősséget az ÁSZF nem korlátozza.

A jelen DPA-ra a magyar jog és a GDPR irányadó. A DPA módosítására az ÁSZF módosítására vonatkozó szabályok alkalmazandók.