Adatfeldolgozói megállapodás

Ez az adatfeldolgozói megállapodás (DPA) a szolgáltatási feltételeink része, és automatikusan érvénybe lép, amint B2B ügyfélként olyan szolgáltatást veszel igénybe, amelyben a végfelhasználóid személyes adatait a nevedben dolgozzuk fel (GDPR 28. cikk). Nem kell külön aláírnod — a feltételek elfogadása = a DPA elfogadása.

1. Felek és szerepek

Adatkezelő: te, az ügyfél (az "Ügyfél").

Adatfeldolgozó: InternalHost (Xaviero Kajafas egyéni vállalkozó, KvK 90174720).

Az InternalHost csak az Ügyfél utasításai alapján és csak annyiban dolgozza fel a személyes adatokat, amennyiben az a megállapodott szolgáltatások (hosting, tárolás, mail, hálózat) nyújtásához szükséges.

2. Tárgy és időtartam

• Tárgy: személyes adatok feldolgozása az általunk nyújtott IT-infrastruktúra-szolgáltatások keretében.
• Feldolgozás jellege: tárolás, továbbítás (az infrastruktúránkon belül), backup — a végfelhasználói tartalom aktív feldolgozása nem.
• Cél: a megállapodott IT-szolgáltatások elérhetővé tétele.
• Érintettek kategóriái: az Ügyfél által meghatározva. Nincs rálátásunk (nem nézünk bele az adatbázisaidba).
• Személyes adatok típusai: az Ügyfél által meghatározva. Különleges kategóriák (egészség, vallás stb.) megengedettek, feltéve, hogy az Ügyfél megfelelő technikai és szervezési intézkedéseket tesz.
• Időtartam: ameddig a fő megállapodás fennáll, plusz 14 napos helyreállítási időszak a megszűnés után.

3. Biztonsági intézkedések

Az InternalHost legalább a következő technikai és szervezési intézkedéseket teszi:

• Titkosítás átvitel közben: TLS 1.2+ minden nyilvános endpointon, WireGuard a belső meshhez.
• Titkosítás nyugalmi állapotban: LUKS minden tárolóköteten. Az ügyfélszintű titkosítás az Ügyfél felelőssége.
• Hozzáférés-vezérlés: SSH csak ed25519 kulcsokkal, MFA kötelező admin hozzáféréshez, legkisebb privilégium elve.
• Naplózás: az infrastruktúra-hozzáférések naplózva (90 nap).
• Backup-ok: napi titkosított snapshotok az ügyfélkötetekről, 7n/4h/12h retenció (a mi oldalunkon — az alkalmazás backupja az Ügyfél felelőssége).
• Fizikai biztonság: a Qupra DC 24/7 személyzettel, ISO 27001 + 9001 tanúsítvánnyal, biometrikus hozzáféréssel + mantrappal.
• Szoftverfrissítések: biztonsági patchek 7 napon belül a kiadás után, kritikusak 24 órán belül.
• Monitorozás: CrowdSec + fail2ban minden exponált szolgáltatáson.

Aktuális technikai-intézkedési áttekintés kérésre elérhető a [email protected] címen.

4. Aladatfeldolgozók

A következő aladatfeldolgozókat használjuk. Mind az EU-ban. Változásokról legalább 30 nappal előre értesítünk, hogy az Ügyfél tiltakozhasson.

5. Adattovábbítás az EU-n kívül

Nem továbbítunk személyes adatokat az EU/EGT-n kívüli országokba, kivéve, ha a Cloudflare mint CDN szükségszerűen nem-EU PoP-okon keresztül route-ol DDoS esetén. Ebben az esetben szabványos szerződéses záradékok érvényesek köztünk és a Cloudflare között.

6. Adatvédelmi incidens eljárása

Az Ügyfelet érintő személyes adatvédelmi incidens esetén az Ügyfelet a felfedezés után 24 órán belül értesítjük (a megadott e-mailen) a következőkkel:

• Az incidens jellege
• Az érintett személyek kategóriái és hozzávetőleges száma
• Valószínű következmények
• Megtett vagy javasolt intézkedések

Az Ügyfél dönti el, szükséges-e értesíteni az adatvédelmi hatóságot. Szükség szerint támogatjuk.

7. Megszűnés és adatvisszaadás

A fő megállapodás megszűnése után:

• Az Ügyfélnek 14 napja van minden adat letöltésére (SSH/SFTP-n keresztül vagy export kérésre).
• Ezt követően minden személyes adat véglegesen törlésre kerül, kivéve, ha törvényi retenció vonatkozik rá (holland adó: számlaadat 7 év).
• Kérésre írásos megsemmisítési tanúsítványt adunk.

Specifikus szerződésekhez (nagy B2B, egészségügy, pénzügyi szektor) egyedi DPA-t is aláírhatunk. Írj a [email protected] címre.