Nincs jogászod — mégis hetente aláírsz

A megfelelés gyakran megáll a szabályzatnál. Közben hetente érkezik NDA, DPA és alvállalkozói szerződés — és nincs, aki rendszeresen, ugyanabból a logikából átnézné.

SPONSORED · NiviLoop · Tartalmi együttműködés · Fizetett tartalom

Van adatkezelési tájékoztató. Van belső GDPR-szabályzat. Talán NIS2-felkészülés is fut. És mégis: jön egy alvállalkozói szerződés csütörtök este, holnap alá kell írni — és te olvasod egyedül.

Ez a rés, amit a legtöbb compliance-projekt nem zár le. A papír nem a szabályzatban van. A postaládában van.

A probléma, amit félreértünk

A KKV-k szerződés-ügye nem azért csúszik el, mert a vezető hanyag. Azért, mert nincs rendszer.

Nincs házon belüli jogász. Van CRM, könyvelő, felhő, HR-eszköz, chatbot, két aktív tender. Öt beszállító, akitől idén még nem kértél el rendesen DPA-t. Minden szerződés más asztalra kerül. Minden alkalommal nulláról kezded.

A hiba nem az olvasás hiánya. A hiba az, hogy a cég nem tanul. Ugyanaz a gyenge pont — korlátlan felelősség, hiányzó cap, egyoldalú árváltoztatás — visszajön a következő NDA-nál is.

⚠️ Figyelem A GDPR 28. cikke szerint minden beszállítónál, aki a nevedben személyes adatot kezel, adatfeldolgozási szerződés (DPA) kötelező. Ha nincs DPA, de megy az adat, a felelősség nem ugrik át a partnerre. Te számolsz be a hatóságnak.

Négy ismétlődő hiba

1. A DPA hiányzik, de az integráció megy. CRM, könyvelő, hosting, AI-eszköz — mind feldolgozó. A szerződés gyakran általános SaaS-feltétel, nem Art. 28-nak megfelelő DPA. Az EU adatvédelmi hatóságok SME-knek szóló kézikönyve konkrét példát hoz: hiányzó feldolgozói szerződésért a hesseni felügyelet 5 000 eurót szabott ki — kis fuvarozócég, üzleti partner felé.

2. A másik fél szerződését aláírod reflexből. Nagy ügyfél, sürgős határidő, „majd egyszer átnézzük". Ilyenkor kerül be a korlátlan kártérítés, az automatikus hosszabbítás felmondás nélkül, a magyar cég elleni joghatóság külföldön.

3. A netes sablon nem a cég valósága. A Drive-on lévő Word nem tudja a cap-et, a felmondási logikát, a tiltott záradékokat. Generikus szöveg — generikus kockázat.

4. Az ügyvéd drága minden sorra, ezért csak a végén hívod. Addigra már aláírtad, vagy rossz alapállásból tárgyalsz. Az ügyvéd nulláról kezd. Te pedig időt és pozíciót veszítettél.

Magyarországon a NAIH tevékenysége 2025-ben nőtt. A CMS GDPR Enforcement Tracker szerint a vizsgálati eljárások száma 37 százalékkal, az ellenőrzéseké 52 százalékkal emelkedett. A szerződéses dokumentáció hiánya továbbra is gyakori indító ok — nem csak a webshop-tájékoztató.

Miért nem oldja meg a sablon — és miért nem elég a „majd ügyvéd"

A sablon két dolgot nem csinál meg. Nem rögzíti, mi elfogadható ennél a cégnél. És nem épít precedenst: a jóváhagyott aláírt szerződés nem lesz a következő kiindulópont.

Az ügyvéd helyesen drága, ha minden NDA-t és minden beszállítói redline-t nulláról kell átnéznie. A KKV-nak nem telik minden sorra. De valaminek elő kell készítenie az anyagot — különben kihagysz egy kört, vagy későn fizetsz.

A legdrágább szerződés gyakran nem az, amit ügyvéd ír. Hanem amit időnyomás alatt írsz alá anélkül, hogy tudnád, mit adtál át.

Hol van a rés a compliance és a napi munka között

A GDPR-audit feltérképezi a feldolgozókat. A NIS2 kérdőív kéri a beszállítói gyakorlatot. És utána? Jön egy új alvállalkozó, egy új SaaS, egy új tender — megint egyedi PDF, megint egyedi döntés.

A hiányzó láncszem: ugyanabból a szabályokból induló vázlat és felülvizsgálat. Rövid playbook — mi piros, mi sárga, mi zöld a cégnél. Onnan NDA, alvállalkozói szerződés, DPA, SaaS-feltételek. Nem generikus AI-szöveg: a ti szabályaitok és korábbi aláírt minták.

A felülvizsgálat nem jogi állásfoglalás. Vezetői összefoglaló: aláírható / módosítással aláírható / ne írd alá. Redline a tárgyaláshoz. Konkrét kérdéslista az ügyvédnek — ne nulláról kezdjen.

Erre a résre épül a NiviLoop Draft szolgáltatás: compliance-playbook alapú szerződés-előkészítés magyar és EU KKV-knak. Nem helyettesíti az ügyvédet. Előkészíti a munkát, amit sok cég ma egyáltalán nem csinál meg.

💡 Gyakorlati pont Mielőtt aláírsz: van-e cap? Van-e DPA, ha adat megy át? Ki módosíthat egyoldalúan? Ha háromból egyre nincs válasz, az üzleti kockázat — nem „jogi részlet".

Mit tehetsz holnap reggel

Nincs szükség jogi osztályra. Négy lépés:

1. Lista — mely beszállítóknál megy személyes adat át (CRM, könyvelő, HR, hosting, AI).

2. DPA-ellenőrzés — van-e aláírt feldolgozói szerződés? Ha nincs: piros, ne induljon új adatátadás.

3. Három utolsó aláírt szerződés — ismétlődő gyenge pont? Ez a playbook első oldala.

4. Szabály — mi megy ügyvédhez mindig (cap, DPA, joghatóság, korlátlan felelősség), mi dönthető checklist alapján.

A kérdés holnap reggel: tudod-e, melyik szerződésben adtál át utoljára korlátlan felelősséget vagy hiányzó DPA-t? Ha nem — a probléma nem a jog, hanem a hiányzó rendszer.

Erről a tartalomról · SPONSORED

Ez fizetett tartalmi együttműködés a NiviLoop-pal. A NiviLoop a Loop Magazin anyacége; a partnerség ugyanazon disclosure-szabályok alá esik, mint bármely külső szponzor. A cikk a szerződés-előkészítés problémáját mutatja be. A NiviLoop Draft szolgáltatás: niviloop.hu/szerzodes

Források

Brussels Privacy Hub — STAR II SME handbook (GDPR Art. 28, DPA, hesseni példa, 2020). brusselsprivacyhub.eu
CMS — GDPR Enforcement Tracker Report: Hungary (NAIH 2025). cms.law
Alkun Media — AI Vendor Due Diligence, DPA mint jogi minimum (2025). alkunmedia.de
GDPR (EU) 2016/679 — 28. cikk. eur-lex.europa.eu

Hogyan készült: tartalmi együttműködés NiviLoop · Loop Magazin. Források ellenőrizve 2026. június 17-én. Nem minősül jogi tanácsadásnak.