OzoneH1

Adatfeldolgozói Szerződés (DPA)

Az ÁSZF elválaszthatatlan melléklete · Hatályos: 2026. július 15-től. (Tervezet — élesítés előtt javasolt jogi átnézés.)

🇬🇧 English version below — see "Data Processing Agreement (DPA)" at the bottom of this page.

A jelen Adatfeldolgozói Szerződés (a továbbiakban: DPA) az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 28. cikke alapján szabályozza a felek jogviszonyát azon személyes adatok tekintetében, amelyeket az Ozone H1 szolgáltatás (a továbbiakban: Szolgáltatás) az Előfizető nevében és utasítására kezel.

A DPA az ÁSZF elfogadásával, külön aláírás nélkül, elektronikus úton létrejön a felek között, és az előfizetés fennállásáig hatályos.


1. A felek

  • Adatkezelő: az Előfizető (a Szolgáltatásra előfizető vállalkozás vagy személy)
  • Adatfeldolgozó: Bálint Barnabás egyéni vállalkozó (9012 Győr, Királyszék út 15. 2. ajtó; adószám: 59576680-1-28; barnabas@ozone-ai.hu)

2. Mikor alkalmazandó ez a DPA?

A jelen DPA kizárólag azokra a személyes adatokra vonatkozik, amelyek nem az Előfizetőre magára, hanem az ő ügyfeleire, vendégeire vagy érdeklődőire vonatkoznak, és amelyekhez a Szolgáltatás az Előfizető által összekötött platformokon keresztül fér hozzá.

Az Előfizető saját adatainak (fiók, számlázás, kapcsolattartás) kezelésére nem a jelen DPA, hanem az Adatkezelési Tájékoztató irányadó — ott a Szolgáltató adatkezelő, nem adatfeldolgozó.


3. Az adatkezelés tárgya, jellege és célja (GDPR 28. cikk (3))

ElemTartalom
TárgyaA Szolgáltatás nyújtása: az Előfizető marketing- és értékesítési tevékenységének támogatása.
JellegeGyűjtés (az összekötött platformokról való lekérés), tárolás, rendszerezés, megjelenítés az Előfizető felületén, elemzés, törlés.
CéljaKizárólag az Előfizető részére nyújtott szolgáltatás teljesítése.
IdőtartamaAz előfizetés fennállásáig, illetve a platform-összekötés visszavonásáig; ezt követően a 10. pont szerint.

4. A személyes adatok típusai

AdatkörForrásTartalom
Érdeklődői (lead) adatokMeta Lead Ads űrlapnév, e-mail cím, telefonszám, valamint az Előfizető által az űrlapon bekért egyéb adat (pl. érkezés tervezett időpontja, létszám)
Vendég-értékelésekGoogle Cégprofilaz értékelő megjelenített neve, profilképe, az értékelés szövege és pontszáma, a válasz szövege
Weboldal-mérési adatokGA4, Search Consoleaggregált forgalmi és viselkedési adat (személyszintű azonosítást nem tartalmaz)

Különleges kategóriájú (GDPR 9. cikk) adatot a Szolgáltatás nem kezel, és az Előfizető nem is jogosult ilyet a Szolgáltatásba juttatni.

5. Az érintettek kategóriái

Az Előfizető ügyfelei, vendégei, potenciális vendégei és a weboldalának látogatói — jellemzően természetes személyek, akik az Előfizető szolgáltatása iránt érdeklődnek.


6. Az Adatfeldolgozó kötelezettségei

6.1. Utasítás szerinti adatkezelés. Az Adatfeldolgozó a személyes adatokat kizárólag az Adatkezelő dokumentált utasítása alapján kezeli. A Szolgáltatás használata (a platformok összekötése, a funkciók beállítása) az Adatkezelő ilyen utasításának minősül. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy egy utasítás sérti a GDPR-t vagy más adatvédelmi jogszabályt.

6.2. Saját célú felhasználás tilalma. Az Adatfeldolgozó ezeket az adatokat saját céljára nem használja fel, azokat nem értékesíti, más Előfizető felé nem összesíti, benchmark- vagy piackutatási célra nem használja, és AI-modell betanítására nem használja fel.

6.3. Titoktartás. Az Adatfeldolgozó biztosítja, hogy az adatokhoz hozzáférő személyek titoktartási kötelezettséget vállaljanak. Az Adatfeldolgozó egyéni vállalkozó; az adatokhoz jelenleg kizárólag ő maga fér hozzá.

6.4. Adatbiztonság (GDPR 32. cikk). Az Adatfeldolgozó a kockázattal arányos technikai és szervezési intézkedéseket alkalmazza:

  • titkosított átvitel (TLS) és tárolás;
  • a platform-hozzáférési tokenek titkosítása (AES-256-GCM), visszafejtés kizárólag a memóriában;
  • bérlőnkénti (tenant) elkülönítés row-level securityvel — egy Előfizető adata más Előfizető számára technikailag sem érhető el;
  • a hozzáférés korlátozása a szükséges minimumra;
  • rendszeres biztonsági mentés és helyreállíthatóság;
  • az adatbázis az Európai Unió területén (Supabase, `eu-central-2`).

6.5. Segítségnyújtás az érintetti jogok teljesítésében (GDPR 28. cikk (3) e)). Az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel segíti az Adatkezelőt abban, hogy az érintetti kérelmeket (hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság) teljesíteni tudja. A segítségnyújtás módja:

  • a barnabas@ozone-ai.hu címre küldött kérelmet az Adatfeldolgozó legkésőbb 5 munkanapon belül teljesíti (adatkigyűjtés, export, helyesbítés vagy törlés az Adatkezelő utasítása szerint), díjmentesen;
  • ahol a Szolgáltatás felülete erre önkiszolgáló funkciót kínál, az Adatkezelő azt is használhatja.

Ha egy érintetti kérelem közvetlenül az Adatfeldolgozóhoz érkezik, azt nem teljesíti önállóan, hanem indokolatlan késedelem nélkül továbbítja az Adatkezelőnek.

6.6. Segítségnyújtás a 32–36. cikk szerinti kötelezettségekben. Az Adatfeldolgozó a rendelkezésére álló információk alapján segíti az Adatkezelőt az adatbiztonsági, incidenskezelési és – szükség esetén – hatásvizsgálati kötelezettségei teljesítésében.

6.7. Adatvédelmi incidens. Az Adatfeldolgozó az általa észlelt adatvédelmi incidensről az Adatkezelőt indokolatlan késedelem nélkül, de legkésőbb 48 órán belül értesíti, és megadja mindazt az információt, amely az Adatkezelő 33. cikk szerinti bejelentéséhez szükséges (az incidens jellege, az érintettek és adatok köre, a valószínű következmények, a megtett intézkedések).

6.8. Ellenőrzés (audit). Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden információt, amely a jelen DPA szerinti kötelezettségek teljesítésének igazolásához szükséges, és lehetővé teszi az Adatkezelő vagy az általa megbízott auditor általi ellenőrzést. Az ellenőrzést előzetes, legalább 30 napos írásbeli értesítés alapján, munkaidőben, a Szolgáltatás működésének indokolatlan zavarása nélkül, évente legfeljebb egy alkalommal lehet lefolytatni; az ellenőrzés költségeit az Adatkezelő viseli, kivéve, ha az ellenőrzés lényeges hiányosságot tár fel.


7. További adatfeldolgozók (alfeldolgozók)

7.1. Általános felhatalmazás. Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak további adatfeldolgozók igénybevételére, a jelen pontban foglalt feltételekkel.

7.2. Az igénybe vett alfeldolgozók:

AlfeldolgozóTevékenységRégió
Supabase Inc.adatbázis-tárolásEU (`eu-central-2`)
Vercel Inc.alkalmazás-tárhelyUSA (SCC / DPF)
Google LLC / Google Ireland Ltd.AI-generálás, mérési és hirdetési adatok forrásaUSA / EU
GitHub, Inc. (Microsoft)a generált tartalom közzétételeUSA (SCC / DPF)
Meta Platforms Ireland Ltd.hirdetési adatok forrásaEU
Higgsfield AIAI-képgenerálásUSA (SCC)
OpenAItartalomgenerálás, AI-képgenerálásUSA (SCC / DPF)
Pexels (Canva Germany GmbH)stock fotókEU (Németország)
AnthropicAI-asszisztens, elemzésUSA (SCC / DPF)
DataForSEOrang- és versenytárs-adatokUSA (SCC)
Functional Software, Inc. (Sentry)hibakövetésEU (Németország)
Resendtranzakciós e-mailUSA (SCC / DPF)
OTP Mobil Kft. (SimplePay)fizetés-feldolgozásMagyarország
Billingo / OCTONULL Kft.számlázásMagyarország
A képgeneráló és stock-fotó szolgáltatók (Higgsfield, OpenAI, Pexels) a jelen DPA hatálya alá tartozó személyes adatot nem kapnak — kizárólag a cikk témájából képzett, személyes adatot nem tartalmazó képleírást, illetve keresőkifejezést. A teljesség kedvéért szerepelnek a listán.

7.3. Változás. Az Adatfeldolgozó az alfeldolgozók listájának módosításáról – új alfeldolgozó bevonása vagy cseréje esetén – legalább 30 nappal előre tájékoztatja az Adatkezelőt a Szolgáltatás felületén, illetve e-mailben. Az Adatkezelő a változás ellen a tájékoztatástól számított 30 napon belül indokolt kifogást emelhet; ilyenkor a felek jóhiszeműen egyeztetnek, és megegyezés hiányában az Adatkezelő a szerződést az érintett funkcióra nézve felmondhatja.

7.4. Felelősség. Az Adatfeldolgozó minden alfeldolgozóval a jelen DPA-val lényegében azonos kötelezettségeket tartalmazó szerződést köt, és az alfeldolgozó tevékenységéért úgy felel, mintha maga járt volna el.


8. Harmadik országba történő adattovábbítás

Az EGT-n kívülre irányuló továbbítást az Európai Bizottság általános szerződési feltételei (SCC), illetve – ahol alkalmazható – az EU–USA Adatvédelmi Keret (Data Privacy Framework) szerinti tanúsítás biztosítja. Az érdeklődői (lead) adatok elsődleges tárolási helye az Európai Unió.


9. Az Adatkezelő (Előfizető) kötelezettségei

9.1. Az Adatkezelő szavatolja, hogy a Szolgáltatásba jutó személyes adatok gyűjtésének megfelelő jogalapja van (pl. a Lead Ads űrlap kitöltőjének hozzájárulása vagy a szerződéskötést megelőző lépések), és hogy az érintetteket megfelelően tájékoztatta — ideértve azt is, hogy adataikat egy adatfeldolgozó (az Ozone H1) is kezeli.

9.2. Az Adatkezelő felelős azért, hogy ne juttasson a Szolgáltatásba különleges kategóriájú (GDPR 9. cikk) adatot, illetve gyermekek adatait.

9.3. Az Adatkezelő felelős a Szolgáltatáshoz való hozzáférés (felhasználói fiókok) biztonságos kezeléséért.


10. Az adatok törlése és visszaadása

10.1. Az előfizetés megszűnésekor, illetve a platform-összekötés visszavonásakor az Adatfeldolgozó – az Adatkezelő választása szerint – az adatokat visszaadja (a Szolgáltatás export-funkciójával, illetve az Adatkezelő kérésére géppel olvasható formátumban megküldve) vagy törli.

10.2. Az Adatkezelő az előfizetés megszűnését követő 30 napon belül kérheti az adatai kiadását. E határidő letelte után az Adatfeldolgozó az adatokat – a jogszabályi megőrzési kötelezettség alá eső adatok kivételével – törli, ideértve a biztonsági mentésekben lévő példányokat is, a mentési ciklus szerinti észszerű időn belül.

10.3. A platform-hozzáférési tokenek az összekötés visszavonásakor azonnal törlésre kerülnek.


11. Vegyes rendelkezések

11.1. A jelen DPA az ÁSZF részét képezi; az abban meghatározott felelősségkorlátozás a jelen DPA-ra is irányadó, a GDPR által megengedett körben.

11.2. Ellentmondás esetén — a személyes adatok kezelését illetően — a jelen DPA rendelkezései az irányadók az ÁSZF általános rendelkezéseivel szemben.

11.3. A jelen DPA-ra a magyar jog és a GDPR az irányadó. Felügyeleti hatóság: NAIH (1055 Budapest, Falk Miksa utca 9-11.; ugyfelszolgalat@naih.hu; https://naih.hu).

11.4. Az Adatfeldolgozó a jelen DPA-t jogosult módosítani, ha azt jogszabályváltozás vagy a Szolgáltatás lényeges változása indokolja; a módosításról az Adatkezelőt a hatálybalépést legalább 30 nappal megelőzően tájékoztatja.



Data Processing Agreement (DPA)

An integral annex to the Terms of Service · Effective from 15 July 2026. (Draft — legal review recommended before going live.)

🇭🇺 This is a courtesy English translation of the Hungarian text above. In case of any discrepancy, the Hungarian version prevails.

This Data Processing Agreement (the "DPA") governs the parties' relationship under Article 28 of Regulation (EU) 2016/679 (GDPR) in respect of personal data processed by the Ozone H1 service (the "Service") on behalf of and on the instructions of the Subscriber.

The DPA is concluded upon acceptance of the Terms of Service, electronically and without separate signature, and remains in force for the duration of the subscription.


1. The parties

  • Controller: the Subscriber (the business or person subscribing to the Service)
  • Processor: Barnabás Bálint, sole proprietor (Királyszék út 15, 2nd floor, 9012 Győr, Hungary; tax number: 59576680-1-28; barnabas@ozone-ai.hu)

2. When does this DPA apply?

This DPA applies only to personal data that relates not to the Subscriber themselves but to their customers, guests or prospects, and which the Service accesses through platforms connected by the Subscriber.

Processing of the Subscriber's own data (account, billing, contact) is governed not by this DPA but by the Privacy Policy — there we act as controller, not processor.


3. Subject matter, nature and purpose of processing (Art. 28(3) GDPR)

ElementContent
Subject matterProvision of the Service: supporting the Subscriber's marketing and sales activity.
NatureCollection (retrieval from connected platforms), storage, organisation, display in the Subscriber's dashboard, analysis, deletion.
PurposeSolely the performance of the Service provided to the Subscriber.
DurationFor the term of the subscription and until the platform connection is revoked; thereafter per Section 10.

4. Types of personal data

Data categorySourceContent
Lead dataMeta Lead Ads formname, e-mail address, phone number, and any other field requested by the Subscriber on the form (e.g. intended arrival date, number of guests)
Guest reviewsGoogle Business Profilereviewer's displayed name, profile picture, review text and rating, reply text
Website measurement dataGA4, Search Consoleaggregated traffic and behavioural data (contains no person-level identification)

The Service does not process special categories of data (Art. 9 GDPR), and the Subscriber is not entitled to introduce such data into the Service.

5. Categories of data subjects

The Subscriber's customers, guests, prospective guests and website visitors — typically natural persons interested in the Subscriber's services.


6. Obligations of the Processor

6.1. Processing on instructions. The Processor processes personal data only on the Controller's documented instructions. Use of the Service (connecting platforms, configuring features) constitutes such an instruction. The Processor informs the Controller without delay if it considers an instruction to infringe the GDPR or other data protection law.

6.2. No use for own purposes. The Processor does not use this data for its own purposes, does not sell it, does not aggregate it across Subscribers, does not use it for benchmarking or market research, and does not use it to train AI models.

6.3. Confidentiality. The Processor ensures that persons with access to the data are bound by confidentiality. The Processor is a sole proprietor; currently only they have access.

6.4. Security of processing (Art. 32 GDPR). The Processor applies technical and organisational measures proportionate to the risk:

  • encrypted transmission (TLS) and storage;
  • encryption of platform access tokens (AES-256-GCM), decrypted in memory only;
  • per-tenant isolation with row-level security — one Subscriber's data is not technically reachable by another;
  • access limited to the necessary minimum;
  • regular backups and recoverability;
  • the database is located in the European Union (Supabase, `eu-central-2`).

6.5. Assistance with data subject rights (Art. 28(3)(e)). The Processor assists the Controller by appropriate technical and organisational measures in fulfilling data subject requests (access, rectification, erasure, restriction, portability). The means of assistance:

  • a request sent to barnabas@ozone-ai.hu is fulfilled by the Processor within 5 working days at the latest (data retrieval, export, rectification or erasure per the Controller's instruction), free of charge;
  • where the Service offers a self-service feature for this, the Controller may also use it.

If a data subject request is addressed directly to the Processor, it does not act on it independently but forwards it to the Controller without undue delay.

6.6. Assistance with Articles 32–36. The Processor assists the Controller, based on the information available to it, in fulfilling its security, breach notification and — where necessary — impact assessment obligations.

6.7. Personal data breach. The Processor notifies the Controller of any breach it detects without undue delay and within 48 hours at the latest, providing the information necessary for the Controller's notification under Article 33 (nature of the breach, categories of data subjects and data, likely consequences, measures taken).

6.8. Audit. The Processor makes available all information necessary to demonstrate compliance with this DPA and allows for audits by the Controller or an auditor mandated by them. Audits require at least 30 days' prior written notice, take place during business hours without unreasonable disruption to the Service, and no more than once per year; costs are borne by the Controller unless the audit reveals a material deficiency.


7. Sub-processors

7.1. General authorisation. The Controller grants the Processor general authorisation to engage sub-processors, subject to this Section.

7.2. Sub-processors engaged:

Sub-processorActivityRegion
Supabase Inc.database storageEU (`eu-central-2`)
Vercel Inc.application hostingUSA (SCC / DPF)
Google LLC / Google Ireland Ltd.AI generation, source of measurement and advertising dataUSA / EU
GitHub, Inc. (Microsoft)publishing generated contentUSA (SCC / DPF)
Meta Platforms Ireland Ltd.source of advertising dataEU
Higgsfield AIAI image generationUSA (SCC)
OpenAIcontent generation, AI image generationUSA (SCC / DPF)
Pexels (Canva Germany GmbH)stock photographyEU (Germany)
AnthropicAI assistant, analysisUSA (SCC / DPF)
DataForSEOranking and competitor dataUSA (SCC)
Functional Software, Inc. (Sentry)error trackingEU (Germany)
Resendtransactional e-mailUSA (SCC / DPF)
OTP Mobil Kft. (SimplePay)payment processingHungary
Billingo / OCTONULL Kft.invoicingHungary
The image generation and stock photography providers (Higgsfield, OpenAI, Pexels) receive no personal data falling under this DPA — only an image description or search term derived from the article topic, containing no personal data. They are listed for completeness.

7.3. Changes. The Processor informs the Controller of any addition or replacement of a sub-processor at least 30 days in advance, in the Service and by e-mail. The Controller may raise a reasoned objection within 30 days of such notice; the parties will then negotiate in good faith, and failing agreement the Controller may terminate the contract in respect of the affected feature.

7.4. Liability. The Processor concludes with each sub-processor an agreement imposing substantially the same obligations as this DPA, and remains liable for the sub-processor's performance as for its own.


8. Transfers to third countries

Transfers outside the EEA are safeguarded by the European Commission's Standard Contractual Clauses (SCC) and, where applicable, certification under the EU–US Data Privacy Framework. The primary storage location for lead data is the European Union.


9. Obligations of the Controller (Subscriber)

9.1. The Controller warrants that personal data entering the Service is collected on an appropriate legal basis (e.g. consent of the person completing a Lead Ads form, or steps prior to entering into a contract), and that data subjects have been properly informed — including that a processor (Ozone H1) also processes their data.

9.2. The Controller is responsible for not introducing special category data (Art. 9 GDPR) or children's data into the Service.

9.3. The Controller is responsible for the secure management of access to the Service (user accounts).


10. Deletion and return of data

10.1. Upon termination of the subscription or revocation of the platform connection, the Processor — at the Controller's choice — returns the data (via the Service's export feature, or sent in a machine-readable format on the Controller's request) or deletes it.

10.2. The Controller may request release of their data within 30 days of the subscription ending. After this deadline the Processor deletes the data — except data subject to statutory retention — including copies in backups, within a reasonable period per the backup cycle.

10.3. Platform access tokens are deleted immediately upon revocation of the connection.


11. Miscellaneous

11.1. This DPA forms part of the Terms of Service; the limitation of liability set out therein applies to this DPA as well, to the extent permitted by the GDPR.

11.2. In case of conflict regarding the processing of personal data, this DPA prevails over the general provisions of the Terms of Service.

11.3. This DPA is governed by Hungarian law and the GDPR. Supervisory authority: NAIH (Falk Miksa utca 9-11, 1055 Budapest; ugyfelszolgalat@naih.hu; https://naih.hu).

11.4. The Processor may amend this DPA where required by a change in law or a material change to the Service, informing the Controller at least 30 days before entry into force.

ImpresszumÁSZFAdatkezelési tájékoztatóSüti tájékoztatóAdatfeldolgozói Szerződés (DPA)

© 2026 Ozone Digital · Bálint Barnabás e.v. · Ozone H1