Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Adatfeldolgozási megállapodás

3.0-s verzió · Utolsó frissítés: 2026. május 9. · Azonnali hatályba lépés

1. Felek

Ez az Adatfeldolgozási Megállapodás ("DPA") az Ügyfél ("Adatkezelő") és az Írországban bejegyzett YARDtwin Ltd ("Adatfeldolgozó") között jön létre, együttesen a "Felek". Ez a DPA részét képezi a YARDtwin Általános szerződési feltételek-nak, és annak rendelkezései irányadók rá.

2. Hatály és cél

Az Adatfeldolgozó személyes adatokat kezel az Adatkezelő nevében, kizárólag a YARDtwin udvarvezérlési platform nyújtása céljából: dokk-ütemezés, kapuműveletek, digitális iker-udvar vizualizáció, fuvarozó- és sofőrkezelés, GMP-megfelelő auditnapló, analitika és integrációk. Az adatkezelés az Adatkezelő előfizetésének időtartamára, valamint a 11. szakasz által előírt megőrzési időszakra terjed ki.

3. Az érintettek kategóriái

  • Az Adatkezelő alkalmazottai és rendszergazdái (a platform névvel azonosított felhasználói)
  • Az Adatkezelő kapuin bejelentkező sofőrök és logisztikai személyzet
  • Fuvarozói képviselők és diszpécser kapcsolattartók
  • Kapubiztonsági és raktárkezelői személyzet

4. A személyes adatok típusai

  • Azonosítási adatok: nevek, e-mail-címek, telefonszámok, beosztás/munkakör, cégnév és cím
  • Hitelesítési adatok: bcrypt-hashelt jelszavak (12 kör), JWT hozzáférési és frissítési tokenek, munkamenet-időbélyegek, IP-címek, SSO azonosítók (Google, Microsoft)
  • Működési adatok: időpontfoglalások, dokkallokációk, pótkocsi-mozgások, ellenőrzési feljegyzések, dokumentumok, feladatkiosztások, járműrendszámok
  • Sofőradatok: jogosítványszámok, jogosítványképek, opcionális arcképek biometrikus kapuazonosításhoz (különleges kategóriájú adatok, 9. cikk GDPR — kizárólag abban az esetben kerülnek feldolgozásra, ha az Adatkezelő engedélyezte a biometrikus ellenőrzést a kapunál, és az adatrögzítés helyén kifejezett hozzájárulást szerzett be)
  • Auditadatok: felhasználói műveletek, időbélyegek, IP-címek, user-agent karakterláncok, régi/új értékkülönbségek, GMP-jelzésű rekordok

5. Az Adatfeldolgozó kötelezettségei

  • A személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezeli (a platform felhasználói felülete és API-ja dokumentált utasításnak minősül)
  • Gondoskodik arról, hogy az adatok kezelésére jogosult személyek titoktartási megállapodással legyenek kötve
  • Megfelelő technikai és szervezési biztonsági intézkedéseket alkalmaz (32. cikk) — lásd a 7. szakaszt
  • Nem vesz igénybe al-adatfeldolgozót előzetes írásbeli engedély nélkül; minden új al-adatfeldolgozóról legalább 30 nappal előre értesítést küld (tiltakozás joga)
  • Az Adatkezelőt az érintetti kérelmek teljesítésében (15–22. cikk) a 9. szakaszban leírt DSAR végpontokon keresztül segíti
  • Személyes adatokkal kapcsolatos incidensekről indokolatlan késedelem nélkül, legfeljebb 72 órán belül értesíti az Adatkezelőt (8. szakasz)
  • A szolgáltatás megszűnésekor valamennyi személyes adatot töröl vagy visszaszolgáltat (11. szakasz)
  • A megfelelőség igazolásához szükséges összes információt rendelkezésre bocsátja, és támogatja az auditokat (12. szakasz)

6. Al-adatfeldolgozók

Az Adatfeldolgozó jelenleg az alábbi al-adatfeldolgozókat veszi igénybe, amelyek mindegyike adatfeldolgozási megállapodás, és ahol szükséges, 2021-es Standard Szerződéses Záradékok alapján jár el:

AlfeldolgozóCélHelyszínBiztosítékok
Microsoft AzureÜzemeltetés (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EEA — Svédország (közép) + Norvégia (kelet)Microsoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeElőfizetés-számlázás és fizetésfeldolgozás (YARDtwin nem tárol kártyaszámokat)Stripe Ireland (EEA), részben US-alapú támogatásStripe DPA + EU SCCs + PCI DSS Level 1
ResendTranzakciós e-mailek (üdvözlő, próbaidőszak-emlékeztetők, DSAR-válaszok, incidensértesítések)USA (Delaware)Resend DPA + EU SCCs (FISA 702 kiegészítő intézkedések ellenőrzése folyamatban — lásd GDPR Policy 11.6)
Google Cloud VisionJogosítvány OCR (kizárólag akkor, ha az Adatkezelő engedélyezi a kapunál végzett jogosítvány-ellenőrzést)EU-régiókGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Egyszeri bejelentkezési azonosító tokenek az SSO-t választó felhasználók számáraEEA (Microsoft Entra ID) / Globális (Google Workspace)Microsoft / Google Cloud DPA-k
AnthropicClaude API a termékbe épített AI-asszisztenshez + jogosítvány-OCR szövegelemzéshezUSA (Kalifornia)Anthropic DPA + nulla adatmegőrzési nyilatkozat + EU SCCs (FISA 702 kiegészítő intézkedések ellenőrzése folyamatban)

Az ügyfeleket minden új al-adatfeldolgozó hozzáadása előtt legalább 30 nappal értesítjük, biztosítva a tiltakozás és büntetés nélküli felmondás jogát.

7. Biztonsági intézkedések (32. cikk)

  • Titkosítás átvitel közben: TLS 1.2+ minden végponton; tanúsítványokat a Microsoft Azure kezeli (DigiCert)
  • Titkosítás tárolás közben: Azure Postgres Flexible Server átlátható adattitkosítás; Azure Blob Storage titkosítás
  • Mezőszintű titkosítás: AES-256-GCM a biometrikus adatokhoz (jogosítvány-képek, aláírás-képek), kulcsok az Azure Key Vault-ban tárolva
  • Jelszó-kivonatolás: bcrypt, 12 kör
  • Hitelesítés: JWT hozzáférési tokenek (1 órás lejárat) + frissítő tokenek (7 napos lejárat, használatkor rotálva); SSO Google és Microsoft segítségével, MFA-egyenértékű védelemmel
  • Bérlői elkülönítés: minden API útvonalon érvényesítve, minden kiadásnál 25 vektoros bérlőközi audittal regressziótesztelve
  • Szerepköralapú hozzáférés-vezérlés: hat szerepkör (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), minimális jogosultság elvű middleware
  • Webalkalmazás-tűzfal: Azure Front Door + felügyelt WAF (OWASP Core Rule Set, botprotekció, L7 DDoS-védelem)
  • Sebességkorlátozás: útvonalonkénti korlátok, hitelesítési végpontokon szigorítva; memóriában és tartósan tárolt próbálkozáskövetéssel
  • Auditnaplózás: csak hozzáfűzéses (append-only) az alkalmazási rétegen, 6 éves megőrzési idő, GMP-vonatkozású bejegyzések külön megjelölve, Art. 17 szerinti törlési kérelem esetén álnevesítés (nem tényleges törlés) az Art. 17(3)(b) alapján
  • Folyamatos monitorozás: Azure Application Insights, sémaeltolódási riasztás (15 perces ablak), végponttól végpontig terjedő /health/db-write próba, jogsértés-felügyeleti anomáliadolgozó (sikertelen bejelentkezési csúcsok, több IP-ről érkező támadások, ország-változásos bejelentkezések, 5xx-arány)
  • Szoftver ellátási lánc: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP minden PR esetén. Titkok: Azure Key Vault, App Service felügyelt identitáson keresztül elérve; nincs titkos adat a kódban, env fájlokban vagy konténerképekben

8. Személyes adatokkal kapcsolatos incidens bejelentése

Az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 72 órával azt követően értesíti az Adatkezelőt, hogy tudomást szerzett az Adatkezelő adatait érintő személyes adatokkal kapcsolatos incidensről (Art. 33). Az értesítés tartalmazza az incidens jellegét, az érintett adatalanyok kategóriáit és hozzávetőleges számát, a várható következményeket, a meghozott vagy tervezett intézkedéseket, valamint az incidens-nyilvántartás hivatkozási számát. Az észlelt anomáliák az Azure Monitor Action Group felé kerülnek továbbításra yardtwin-breach-actions; a megerősített incidenseket az incidens-nyilvántartási táblában követik nyomon, 72 órás DPC visszaszámlálóval.

9. Az érintettek jogai

Az Adatfeldolgozó az alábbi végpontokat biztosítja az Adatkezelő számára az érintetti jogok teljesítéséhez az Art. 12(3) szerinti 30 napos határidőn belül:

  • POST /api/v1/dsar/export/by-email — géppel olvasható export, amely lefedi az Art. 15 (hozzáférés) és Art. 20 (hordozhatóság) szerinti jogokat
  • POST /api/v1/dsar/erase/by-email — álnevesítés az összes személyes azonosíthatóságra alkalmas (PII) táblában, az auditnapló megőrzésével az Art. 17(3)(b) alapján
  • Önkiszolgáló kérelemportál: /data-request

10. Nemzetközi adattovábbítás

Az operatív adatok az Európai Gazdasági Térségen belül kerülnek tárolásra (Microsoft Azure, Svédország – Közép és Norvégia – Kelet). Az EGT-n kívüli al-adatfeldolgozók (Resend, Anthropic) felé irányuló adattovábbítás a 2021. évi standard szerződési záradékok alapján, dokumentált Adattovábbítási Hatásvizsgálattal valósul meg. A Stripe az ír Stripe-on keresztül szerződik (EGT-s elsődleges entitás).

11. Időtartam, megszűnés és adatvisszaadás

Ez a DPA a szolgáltatási szerződés teljes időtartama alatt hatályban marad. A megszűnést követően:

  • Az Adatkezelő a termékbe épített exportfunkciók segítségével vagy kérelemre 30 napon belül exportálhatja összes adatát
  • 30 napot követően az Adatfeldolgozó törli az Adatkezelő valamennyi operatív személyes adatát
  • Az auditnaplók az eseménytől számított 6 évig álnevesített formában kerülnek megőrzésre, a 21 CFR Part 11 / EU GMP Annex 11 előírásainak megfelelően (Art. 17(3)(b) jogszabályi kötelezettség alapján)
  • A biztonsági mentések az operatív törlést követő 7 napon belül kerülnek végleges törlésre, összhangban a visszaállítási ablak időtartamával

12. Ellenőrzési jogok

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsátja az Art. 28 GDPR szerinti megfelelés igazolásához szükséges valamennyi információt. Az ügyfelek kérhetik: a vonatkozó biztonsági tanúsítványok és auditjelentések másolatát (ahol rendelkezésre állnak), az aktuális al-adatfeldolgozói nyilvántartást, a legfrissebb bérlő-izolációs regressziós tesztjelentést, a legújabb külső penetrációs teszt összefoglalóját (kiadás esetén, lásd GDPR Policy 11.1), valamint szállítói biztonsági kérdőív megválaszolását. Ésszerű helyszíni vagy távoli ellenőrzés legalább 30 napos előzetes értesítéssel szervezhető, amelyet az Adatkezelő vagy titoktartási kötelezettséggel terhelt független harmadik fél végezhet. Az Adatfeldolgozó az ISO 27001 / SOC 2 Type II jelentéseket helyettesítő bizonyítékként részesíti előnyben, amint ezek a tanúsítványok rendelkezésre állnak.

13. Felelősség és alkalmazandó jog

A jelen DPA szerinti felelősségre a YARDtwin Általános szerződési feltételek szerinti korlátozások vonatkoznak. Ez a DPA Írország jogszabályai és az EU Általános Adatvédelmi Rendelete (GDPR) alapján kerül értelmezésre. Bármely jogvita kizárólagos ír bírósági illetékesség alá tartozik.

14. Kapcsolat

A jelen DPA-val kapcsolatos kérdések esetén, visszaigazolt példány kéréséhez vagy a fent felsorolt jogok gyakorlásához forduljon admin@yardtwin.com vagy az adatvédelmi tisztviselőhöz: dpo@yardtwin.com. Külső részmunkaidős adatvédelmi tisztviselő (DPO) megbízása folyamatban van (GDPR Policy 11.2); a kinevezésig a dpo@yardtwin.com címre küldött levelek az admin@yardtwin.com postafiókba kerülnek.

Az elfogadással az Ügyfél magára nézve kötelezőnek ismeri el ezt az Adatfeldolgozási Megállapodást (v3.0), mint Adatkezelő.

Üdv! Indítsd el az ingyenes próbaverziót 2 perc alatt — segítek mindent beállítani!