Adatfeldolgozási Megállapodás (DPA) - Legitas

Ez a megállapodás automatikusan érvénybe lép a Legitas szolgáltatás igénybevételével. Hatályos: 2026. március 1.

1. Felek

Adatkezelő: A Legitas regisztrált felhasználója (a továbbiakban: "Adatkezelő"), aki a Szolgáltatáson keresztül személyes adatokat kezel (pl. szerződéseket hoz létre, aláírókat jelöl ki).
Adatfeldolgozó: T-DIGITAL Solutions Kft. (Legitas), Székhely: 1117 Budapest, Nándorfejérvári út 32. 1. em. 4. ajtó, Cégjegyzékszám: 01-09-428831, Adószám: 32526620-2-43, Képviselő: Yilmaz Attila Zoltán ügyvezető, e-mail: info@legitas.hu (a továbbiakban: "Adatfeldolgozó").

2. A megállapodás tárgya

Az Adatfeldolgozó az Adatkezelő megbízásából és utasítása szerint személyes adatokat dolgoz fel a Legitas szolgáltatás (a továbbiakban: "Szolgáltatás") keretében, a GDPR 28. cikk rendelkezéseinek megfelelően.

3. A feldolgozás részletei

Szempont	Leírás
Feldolgozás célja	Online szerződéskezelés, e-aláírás, dokumentumtárolás
Feldolgozás jellege	Tárolás, megjelenítés, e-mail küldés, PDF generálás, audit naplózás
Személyes adatok típusai	Név, e-mail cím, aláírási kép, IP cím, böngésző adatok, céges adatok, telefonszám
Érintettek kategóriái	Az Adatkezelő szerződéses partnerei, aláírók, kontaktszemélyek
Feldolgozás időtartama	Az Adatkezelő fiókjának fennállása alatt, törlési kérelemig

4. Az Adatfeldolgozó kötelezettségei

Az Adatfeldolgozó kizárólag az Adatkezelő dokumentált utasításai alapján kezeli a személyes adatokat, kivéve, ha az Európai Unió vagy tagállami jog eltérően rendelkezik (GDPR 28. cikk (3) bekezdés a) pont).
Biztosítja, hogy az adatfeldolgozásra feljogosított személyek titoktartási kötelezettséget vállaltak vagy jogszabályi titoktartási kötelezettség alatt állnak.
A GDPR 32. cikk szerinti technikai és szervezési intézkedéseket tesz az adatbiztonság érdekében:
- HTTPS (TLS 1.3) titkosítás
- Jelszavak bcrypt-12 hash-sel
- Dokumentumok SHA-256 integritásvédelem
- EU-beli szerveren történő tárolás (Hetzner, Németország)
- Hozzáférés-korlátozás és audit napló
Csak a GDPR-nak megfelelő további adatfeldolgozókat vesz igénybe (lásd 6. pont).
Segíti az Adatkezelőt az érintetti jogok (hozzáférés, törlés, adathordozhatóság) teljesítésében.
Az Adatfeldolgozó segítséget nyújt az Adatkezelőnek az adatvédelmi hatásvizsgálat (DPIA) elkészítésében és az előzetes konzultáció (GDPR 35-36. cikk) lefolytatásában, amennyiben az adatkezelési tevékenység ilyen vizsgálatot tesz szükségessé.
Az Adatkezelő fiókjának törlésekor 30 napon belül törli az összes kezelt személyes adatot, kivéve a jogszabály által előírt megőrzési kötelezettségeket. Az Adatfeldolgozó a törlés megtörténtéről az Adatkezelőt 30 napon belül írásban (e-mailben) tájékoztatja.
Az Adatkezelő rendelkezésére bocsátja a megfelelőség igazolásához szükséges információkat.
Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, amennyiben véleménye szerint valamely utasítás sérti a GDPR-t vagy más uniós, illetve tagállami adatvédelmi rendelkezést (GDPR 28. cikk (3) bekezdés h) pont).

5. Adatvédelmi incidens kezelése

Az Adatfeldolgozó az adatvédelmi incidensről való tudomásszerzést követően haladéktalanul, de legkésőbb 24 órán belül értesíti az Adatkezelőt. Az Adatkezelő ezt követően — a GDPR 33. cikke alapján — 72 órán belül értesíti a NAIH-ot, amennyiben az incidens valószínűsíthetően kockázattal jár az érintettek jogaira. Az értesítés tartalmazza:

Az incidens jellegét és az érintett adatok körét
Az érintettek hozzávetőleges számát
Az incidens valószínű következményeit
A megtett és javasolt intézkedéseket

6. Al-adatfeldolgozók

Az Adatfeldolgozó az alábbi al-adatfeldolgozókat veszi igénybe:

Név	Székhely	Tevékenység
Hetzner GmbH	Németország (EU)	Szerver infrastruktúra
Cloudflare Inc. (USA), adattárolás: EU régió (Frankfurt)	EU régió	Dokumentumtárolás
Resend Inc.	USA (SCC alapján)	E-mail küldés
Stripe Inc.	USA (SCC alapján)	Fizetéskezelés
Anthropic	USA (SCC alapján)	AI szerződéselemzés (ideiglenes)
Google LLC	USA (EU-US Data Privacy Framework (DPF) tanúsított)	OAuth hitelesítés (Google-fiókkal bejelentkezés)
Sentry (Functional Software Inc.)	USA (DPF + SCC)	Hibamonitorozás

Új al-adatfeldolgozó bevonása előtt az Adatfeldolgozó tájékoztatja az Adatkezelőt. Az Adatkezelő 14 napon belül tiltakozhat; tiltakozás esetén az Adatfeldolgozó nem vonja be az új al-adatfeldolgozót, vagy az Adatkezelő felmondhatja a Szolgáltatást.

7. Nemzetközi adattovábbítás

Az EU-n kívüli adattovábbítás (Resend, Stripe, Anthropic, Sentry) a GDPR 46. cikk (2) c) bekezdése szerinti Standard Contractual Clauses (SCC) és/vagy az EU-US Data Privacy Framework (DPF) alapján történik. Az Adatfeldolgozó biztosítja, hogy minden al-adatfeldolgozó megfelelő garanciákat nyújt.

Amennyiben az SCC vagy a DPF érvényessége megszűnne vagy érvénytelenné válna, az adattovábbítás a GDPR 49. cikk (1) b) pontja alapján (a szerződés teljesítéséhez szükséges) vagy a GDPR 49. cikk (1) a) pontja alapján (az érintett kifejezett hozzájárulásával) folytatódhat.

8. Audit jog

Az Adatkezelő jogosult az Adatfeldolgozó megfelelőségét ellenőrizni. Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden szükséges információt a GDPR 28. cikk szerinti kötelezettségek teljesítésének igazolásához, továbbá lehetővé teszi és elősegíti az Adatkezelő vagy az általa megbízott auditor által végzett auditokat és ellenőrzéseket. Az audit ésszerű előzetes egyeztetés után, az Adatfeldolgozó munkaidejében történik.

9. Időtartam és megszüntetés

Jelen megállapodás a Szolgáltatás igénybevételével lép hatályba és a fiók törléséig (vagy a Szolgáltatás megszűnéséig) érvényes. A feldolgozás megszűnése után az Adatfeldolgozó — az Adatkezelő választása szerint — törli vagy visszajuttatja az összes személyes adatot. Az Adatfeldolgozó gondoskodik arról, hogy az al-adatfeldolgozók is véglegesen töröljék a személyes adatokat a jogviszony megszűnését követő 30 napon belül.

10. Alkalmazandó jog

Jelen megállapodásra a magyar jog, különösen a GDPR (EU 2016/679 rendelet) és az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Info tv.) rendelkezései az irányadóak. Jogvita esetén a felek a Budapest II. és III. Kerületi Bíróság kizárólagos illetékességét kötik ki.