Adatkezelő és Adatfeldolgozó közötti adatvédelmi megállapodás
Adatkezelő és Adatfeldolgozó közötti adatvédelmi megállapodás
a 10/V/05/0029 és a 09/S/05/0014 sz. szerződéshez kapcsolódóan, valamint annak kiegészítéseként
mely létrejött
Bellimmo Kft. (székhelye: 0000 Xxxxxxxx, Xxxx x. 156-158. Cg: 00-00-000000, Adószám: 23033300-2-41) a
továbbiakban, mint Adatkezelő vagy Megbízó
és
DBI Kft. (székhelye: 0000 Xxxxxxxx, Xxxxx x.00. Cg: 00-00-000000, Adószám: 13344692-2-41) a
továbbiakban, mint Adatfeldolgozó vagy Megbízott
Között az alábbiak szerint:
Felek rögzítik, hogy 2018. május 25-től kell alkalmazni az Európai Parlament és Tanács (EU) 2016/679 rendelete (2016. április 27.) alapján az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 10. § (4) bekezdésében meghatározottakat. Jelen szerződés keretei között rögzítik az Adatkezelő megbízása alapján az Adatfeldolgozó által ellátott adatfeldolgozási tevékenység szabályait. Tekintettel arra, hogy az adatgyűjtés a résztvevők személyes és különleges adataira is kiterjed, az adatok feldolgozása és kezelése során különös hangsúlyt kell fektetni az érintettek magánszférájának védelmére és az adatbiztonság követelményének megvalósulására. Jelen megállapodással Felek rögzítik az Adatkezelő és az Adatfeldolgozó közötti jogviszonyt, valamint az Adatfeldolgozó tevékenységét a GDPR 28. cikkének 1. bekezdése alapján.
1. AZ ADATFELDOLGOZÁS, ADATKEZELÉS TÁRGYA
A Megbízóval jogviszonyban lévő érintett természetes személyek adatainak kezelése a szolgáltatási/megbízási szerződés teljesítésével kapcsolatban. Az Adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de szükséges a tájékoztatása, amely az Megbízó feladata.
2. AZ ADATKEZELÉS, ADATFELDOLGOZÁS IDŐTARTAMA
A Megbízóval kötött szerződés fennállásáig, vagy az érintett hozzájárulása visszavonásáig.
3. AZ ADATKEZELÉS JELLEGE ÉS CÉLJA
Mindazon szolgáltatások összessége, melyeket az Megbízó igénybe vesz a Szolgáltatótól, valamint megbízások, melyeket a Megbízó ad a Szolgáltatónak.
4. A SZEMÉLYES ADATOK TÍPUSA
a) Személyes adatok
b) Kommunikációs adatok (pl:. e-mailek, telefonhívások stb.)
c) Szerződéses adatok
d) Bizonylati adatok
5. AZ ÉRINTETTEK KATEGÓRIÁI
a) Megbízó vevői, szállítói, ügyfelei, partnerei
6. A MEGBÍZÓ (ADATKEZELŐ) KÖTELEZETTSÉGEI ÉS JOGAI
6.1 Adatkezelő jogosult ellenőrizni az Adatfeldolgozónál a szerződésben foglalt tevékenység végrehajtását.
6.2 Az adatkezelőnek a szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért az Adatkezelőt terheli a felelősség, ugyanakkor az Adatfeldolgozó köteles haladéktalanul jelezni az Adatkezelőnek, amennyiben Adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne. Ilyen esetben az Adatfeldolgozó megvárja az Adatkezelő újabb utasítását, mely a korábbi utasítást megerősítheti, vagy megváltoztathatja.
6.3 Az adatkezelő kötelezettsége, hogy az érintett természetes személyeket jelen szerződés szerinti adatfeldolgozásról tájékoztassa, és ha jogszabály előírja, hozzájárulásukat beszerezze.
6.4 Amennyiben az érintett az Infotv. 14. § a) pontja alapján tájékoztatást kér az Adatkezelőtől, vagy Adatfeldolgozótól a személyes adatai kezeléséről, a tájékoztatást minden esetben Adatkezelő köteles megadni. Adatfeldolgozó köteles a hozzá beérkezett kérelmet továbbítani az adatkezelő részére.
6.5 Az Adatkezelő késlekedés nélkül értesíti az Adatfeldolgozót a szerződésben foglalt adatkezeléssel kapcsolatosan indult hatósági vizsgálatokról.
6.6 Az Adatkezelő az igénybe vett szolgáltatás használata során a hatályos jogszabályok és a GDPR figyelembe vételével tárolhat személyes adatokat. Az adatkezelés jogszerűségéért Adatkezelő felel.
7. A MEGBÍZOTT (ADATFELDOLGOZÓ) KÖTELEZETTSÉGEI ÉS JOGAI
7.1 Utasítási jog
Adatfeldolgozó kizárólag a szolgáltatási/megbízási szerződésben rögzített feladatokhoz kapcsolódó adatfeldolgozási műveletek végrehajtására jogosult, így külön utasítás nem szükséges ezen feladatok ellátásához.
7.2 Titoktartás
Az adatfeldolgozó tevékenysége során biztosítja, hogy az érintett adatokhoz való hozzáférésre feljogosított személyek – ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak – az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak.
7.3 Adatbiztonság
Az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és célja, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket. Az adatfeldolgozó gondoskodik arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az adatfeldolgozás céljával összefüggésben férjenek hozzá. Az adatfeldolgozó gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről. Az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, gondoskodik annak fizikai védelméről is. Az Adatfeldolgozó a szerződésben meghatározott feladatok ellátása érdekében megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles alkalmazni. Köteles tovább gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi jogszabályi rendelkezések, a jelen szerződésben foglalt kötelezettségek, valamint adatfelvétel célja és módja tekintetében.
7.4 További adatfeldolgozó igénybevétele
További adatfeldolgozó igénybevételére az adatkezelő nem ad felhatalmazást
7.5 Együttműködés az Adatkezelővel
7.5.1 Szolgáltató, mint Adatfeldolgozó, tevékenysége során minden megfelelő eszközzel segíti az Adatkezelőt az érintettek jogai érvényesítésének elősegítése, ezzel kapcsolatos kötelezettségei teljesítése érdekében.
7.5.2 Szolgáltató, mint Adatfeldolgozó, segíti az Adatkezelőt a Rendelet 32-36.cikk (Adatbiztonság, Adatvédelmi hatásvizsgálat és előzetes konzultáció) szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat.
7.5.3 Szolgáltató, mint Adatfeldolgozó, az Adatkezelő rendelkezésére bocsát minden olyan információt, amely a Rendelet 28. cikkében (Az adatfeldolgozó) meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá Adatfeldolgozó vállalja, hogy azonnal informálja az Adatkezelőt, ha véleménye szerint az Adatkezelő rendelkezése valamilyen módon sérti a Rendeletet.
7.5.4 Az adatfeldolgozó vállalja, hogy az Adatkezelőt érintő, jelen adatkezeléssel összefüggő hatósági ellenőrzés során az Adatkezelőt a folyamatban megfelelő módon támogatja. Az adatfeldolgozó ezért költséget számolhat fel.
8. SZERZŐDÉS MEGSZŰNÉSE
A Szolgáltatóval kötött jelen szerződés felmondására, megszűnésére a felek között korábban létrejött
alap szolgáltatási/megbízási szerződés rendelkezései az irányadók.
9. ELJÁRÁS SZERZŐDÉS MEGSZŰNÉSE ESETÉN
Az alap szolgáltatási/megbízási szerződés megszűnése jelen adatfeldolgozási szerződés megszűnését is eredményezi. E szerződés megszűnését követően a Szolgáltató, mint Adatfeldolgozó, az Adatkezelőtől származó minden személyes adatot és ezt tartalmazó másolatot visszaad és/vagy töröl a nyilvántartásából (kivéve, ha azt uniós vagy a tagállami jogszabályok a személyes adatok tárolását írják elő (Rendelet 28. cikk 3,9)).
10. A 32-36. CIKKELLYEL ÖSSZEFÜGGŐ KÖTELEZETTSÉGEK
Az Adatfeldolgozó 48 órán belül értesíti az Adatkezelőt az adatkezelést érintő incidensekről, amennyiben az az Adatfeldolgozó által üzemeltetett és karbantartott rendszert érintő incidens történik, hogy az Adatkezelő eleget tehessen a Rendelet 33. cikkelyében meghatározott incidens bejelentési kötelezettségnek. Adatvédelmi incidens esetén az Adatfeldolgozó technikai és szervezési értelemben támogatja az Adatkezelőt az adat alanyok felé irányuló tájékoztatási kötelezettség teljesítésében. Ha az Adatkezelő erről dönt, az Adatfeldolgozó együttműködik az adatvédelmi hatásvizsgálat elvégzésében. Az Adatfeldolgozó, amennyiben az adatkezelés jellege megkívánja, a 37. cikkelyben meghatározottak szerint adatvédelmi tisztviselőt nevezhet ki.
11. ZÁRÓ ÉS EGYÉB RENDELKEZÉSEK
A jelen szerződésben nem szabályozott kérdésekben a Polgári Törvénykönyvről szóló 2013.évi V. törvény (Ptk.) valamint AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELET (2016. április 27.) és az Információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. törvényt kell alkalmazni.
A jelen szerződésben használt szavakat, kifejezéseket a GDPR alapján kell értelmezni.
A Megbízó (Adatkezelő) és az Adatfeldolgozó aláírásával igazolja, hogy szerződéses feltételeket aláírása előtt teljes terjedelemben megismerte és elfogadta.
Kelt: Budapest, 2018.05.07.
…..……………………………….. …..….…………………………. Adatkezelő részéről Adatfeldolgozó részéről