SURWAY'R
Al-adatfeldolgozók Listája (Subprocessor List)
Dokumentum azonosítója: SURWAYR-SPL-v1.0 Utoljára frissítve: 2026. március 28. Felelős: DPO / privacy@surwayr.com
A SURWAY’R az alábbi külső szolgáltatókat veszi igénybe a Szolgáltatás nyújtásához. Minden partnerünkkel GDPR-kompatibilis adatfeldolgozói megállapodást kötöttünk. Az EGT-n kívüli adatfeldolgozókkal az adattovábbítás jogalapja az EU Bizottság 2021/914/EU végrehajtási határozata alapján elfogadott Standard Contractual Clauses (SCC), az alábbiakban jelölve.
Adatfeldolgozók táblázata
| Szolgáltató | Cél | Székhely | EGT-n kívüli transzfer | Jogalap |
|---|---|---|---|---|
| Hetzner Online GmbH | Cloud infrastruktúra, szerverek, tárhely, adatbázis | Németország 🇩🇪 (EU) | Nem | GDPR 28. cikk szerinti DPA |
| Stripe Ireland Limited | Fizetésfeldolgozás, előfizetés-kezelés, számlázás | Írország 🇮🇪 (EU) | Részben (Stripe Inc., USA) | GDPR 28. cikk DPA + SCC (2021/914/EU) |
| Resend, Inc. | Tranzakciós e-mailek (regisztráció, meghívók, értesítők) | USA 🇺🇸 | Igen | SCC (2021/914/EU), 2. modul (Controller→Processor) |
| Google LLC / Google Ireland Limited | OAuth 2.0 „Belépés Google fiókkal” (OpenID Connect): azonosító, ellenőrzött e-mail, név (és ha átadott: profilkép URL) | USA / Írország 🇮🇪 | Részben | Google adatfeldolgozói feltételek + SCC (EGT-n kívüli továbbítás esetén) |
| OpenAI Ireland Ltd. | AI-alapú elemzés, kutatástámogató funkciók (opcionális) | Írország 🇮🇪 (EU) | Részben (OpenAI Inc., USA) | GDPR 28. cikk DPA + SCC (2021/914/EU) |
| Anthropic, PBC | AI-alapú elemzés (Claude modellek, opcionális) | USA 🇺🇸 | Igen | SCC (2021/914/EU), 2. modul (Controller→Processor) |
Az SCC-k alkalmazásáról
Az Európai Bizottság 2021/914/EU végrehajtási határozata alapján elfogadott Standard Contractual Clauses-ok az EGT-ből harmadik országba irányuló adattovábbítás jogszerűségét biztosítják. Az alkalmazott modulok:
- 2. modul (Controller → Processor): Alkalmazandó, ha a SURWAY’R adatkezelőként harmadik országbeli adatfeldolgozónak ad át adatot (Resend, Anthropic, Google OAuth / Sign in with Google, Google Analytics esetén).
- A Stripe és az OpenAI esetében a cégcsoport EU-s jogi személye az elsődleges szerződő fél; az USA-ba irányuló belső adattovábbítást az adott cégcsoport saját SCC-vel vagy Binding Corporate Rules-szal (BCR) rendezi.
Transfer Impact Assessment (TIA): Az USA-ba irányuló adattovábbítások kapcsán — különösen Resend és Anthropic tekintetében — az adatminimalizálás elve alkalmazandó: személyes azonosítók csak a funkcióhoz szükséges minimális körben kerülnek az API-hívásokba. A TIA-dokumentumok belső jogi iratanyagban elérhetők; kérésre rendelkezésre bocsátjuk (privacy@surwayr.com).
Változások kezelése
A Szolgáltató jogosult új al-adatfeldolgozókat bevonni, ha: - az adott adatfeldolgozó GDPR-kompatibilis megállapodást köt és SCC-t alkalmaz (EGT-n kívüli esetén); - az Előfizetők értesítést kapnak a változásról legalább 30 nappal előre az [Értesítési listán] vagy e-mailben; - az Előfizető kifogással élhet a változás ellen; kifogás esetén a Szolgáltató törekszik alternatív megoldásra, ennek hiányában az Előfizető felmondhatja az előfizetést (az időarányos díj visszatérítésével).
Kapcsolódó dokumentumok
- Privacy Policy (SURWAYR-PP-v1.0) — jogalapok és SCC részletes leírása
- Data Processing Agreement (SURWAYR-DPA-v1.0) — Előfizetők mint adatkezelők