Adatfeldolgozási szerződés

Adatfeldolgozási szerződés

- általános rész -

a Szentkirályi Magyarország Kft. (székhely: 0000 Xxxxxxxx, Xxxxx Xxxxx xxxx 0. INFO PARK

„C” Épület 5. emelet.) – a továbbiakban: Adatkezelő által az Európa Parlament és az Európai Unió Tanácsa (EU) 2016/679. számú Adatvédelmi Rendelete (továbbiakban „GDPR”) 28. cikke szerint létrejött Adatfeldolgozási szerződések a jelen dokumentumra, mint Általános részre történő hivatkozással tartalmazzák az általános tartalmi elemeket az alábbiak szerint:

1. Időtartam és megszűnés

1.1. Jelen Adatfeldolgozási szerződés az Alapszerződés fennállásával azonos időtartamra köttetik. A szerződő Xxxxx – tekintettel arra, hogy adatfeldolgozási szerződés megkötésére kötelesek mindaddig, amíg a közöttük köttetett Alapszerződés alapján létrejött együttműködés fennáll – a jelen Adatfeldolgozási szerződés önálló megszüntetésének jogát kizárják. Jelen Adatfeldolgozási szerződés megszűnik, amennyiben az Alapszerződés bármely okból megszűnik.

1.2. Jelen Adatfeldolgozási szerződés érvényesen kizárólag írásban módosítható és egészíthető ki. Az alakiságról való lemondás is kizárólag írásban lehetséges.

1.3. Ha a jelen Adatfeldolgozási szerződés bármely rendelkezése részben vagy egészben érvénytelen vagy azzá válik, vagy jogi okokból a továbbiakban nem hajtható végre a Felek szándékának megfelelően, ez a jelen Adatfeldolgozási szerződés többi rendelkezésének érvényességét nem érinti. Ennek megfelelően a felek kötelesek együttműködni az érvénytelen rendelkezést felváltó olyan érvényes szabályozás kidolgozása érdekében, amely alkalmas az érvénytelen rendelkezéssel elérni kívánt cél elérésére, amennyiben a Xxxxx szándéka a megváltozott körülmények ellenére továbbra is erre irányul.

1.4. Adatkezelő és Xxxxxxxxxxxxxx megállapodnak abban, hogy az adatfeldolgozás megszüntetését követően az Adatfeldolgozó az Adatkezelő által megjelölt időpontban, de legkésőbb 24 órán belül visszaszolgáltatja a számára megküldött valamennyi személyes adatot és azok másolatait Adatkezelő részére, és megsemmisíti, helyreállíthatatlanul törli az összes birtokában lévő adatot, másolatot, továbbá ennek megtörténtét hitelt érdemlően igazolja az Adatkezelő felé.

2. Az Adatkezelőre vonatkozó rendelkezések

2.1. Adatkezelő az Adatfeldolgozó számára átadja, vagy hozzáférhetővé teszi a Alapszerződésben rögzített feladatok teljesítéséhez szükséges és elégséges mértékű és mennyiségű adatokat különösen, de nem kizárólagosan személyes adatokat, illetve különleges személyes adatoknak minősülő egészségügyi adatokat és a kapcsolódó gazdasági, szervezeti, technikai információkat.

2.2. Adatkezelő felelősséget vállal azért, hogy az Adatfeldolgozó számára átadott, vagy elérhetővé tett adatok felvétele jogszerűen történt, azok kezelésére, valamint adatfeldolgozásba adására jogosult.

2.3. Az Adatfeldolgozónak átadott adatok tekintetében a mindenkori adatminőség-biztosítási kötelezettség az Adatkezelőt terheli.

2.4. Az Adatkezelő köteles az Adatfeldolgozót az adatkezeléssel kapcsolatos utasítással ellátni. Utasítást az Alapszerződés, illetve az Adatkezelő írásbeli instrukciói tartalmazhatnak.

2.5. Az Adatkezelő által adott utasítások jogszerűségéért az Adatkezelő felel. Adatfeldolgozó köteles Adatkezelő figyelmét haladéktalanul, még az utasítás végrehajtása előtt felhívni, ha azt észleli, hogy Adatkezelő célszerűtlen vagy szakszerűtlen utasítási ad, valamint ha úgy véli, hogy az utasítás GDPR előírásaiba ütközik vagy sérti az Adatfeldolgozóra vonatkozó adatvédelmi rendelkezéseket. Az Adatkezelő utasításaitól eltérő, vagy Adatkezelő utasítása nélküli eljárásból fakadó jogsértésekért – amennyiben erre az Adatkezelő figyelmét nem hívta fel – a felelősség az Adatfeldolgozót terheli.

2.6. Az Adatkezelő köteles Adatfeldolgozót haladéktalanul, de legkésőbb 3 (három) munkanapon belül értesíteni, amennyiben a személyes adatok kezelésére jogalapja megszűnt.

3. Az Adatfeldolgozóra vonatkozó rendelkezések

3.1. Adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat. Adatfeldolgozó kizárólag Adatkezelő utasításai alapján járhat el, Adatkezelőtől az átvett adatokat kizárólag a jelen mellékletben meghatározott célra használhatja, azokkal kizárólag olyan műveleteket végezhet, amelyek jelen mellékletben rögzítettek. Adatkezelő előzetes írásbeli utasítása nélkül azokat harmadik személyeknek át nem adhatja, ideértve a harmadik személyekkel kötendő további adatfeldolgozásra történő megbízást is.

3.2. Adatfeldolgozó a hatályos jogszabályoknak megfelelően:

3.2.1.a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja,

3.2.2.biztosítja azt, hogy a személyes adatok feldolgozására feljogosított személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak. Adatkezelő utasításai szerint meghozza az adatbiztonságot érintő technikai és szervezési intézkedéseket,

3.2.3.bizalmas adatkezelést ír elő az Alapszerződés keretében végzett adatfeldolgozás során a személyes adatokat az Adatfeldolgozó és az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személyek számára,

3.2.4.feladatkörében segíti az Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében

3.2.5.szolgáltatás nyújtásának befejezését követően az Adatkezelő döntésének megfelelően megsemmisíti, vagy, ha ez alkalmazható, visszajuttatja a személyes és egészségügyi adatokat tartalmazó adathordozókat Adatkezelő részére kivéve, ha uniós vagy tagállami jog a személyes adatok tárolását írja elő,

3.2.6.Adatkezelő rendelkezésére bocsát minden olyan információt, amely az e szerződésben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által végzett auditokat, beleértve a helyszíni vizsgálatokat is

3.2.7.kijelenti, hogy az adatkezelés során automatizált adatkezelésen alapuló döntést -

ideértve a profilalkotást is – nem alkalmaz.

3.2.8.segíti az adatkezelőt a GDPR 2. szakasz 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat,

3.2.9.a GDPR 30. cikk (2) bekezdésében foglalt tartalommal nyilvántartásokat vezet az adatkezeléssel kapcsolatosan, ezeket naprakész állapotban tartja és Adatkezelő számára elérhetővé teszi.

3.2.10. köteles haladéktalanul, de legkésőbb 1 (egy) munkanapon belül tájékoztatni az Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR rendelkezéseit vagy a tagállami, vagy egyéb uniós adatvédelmi rendelkezéseket.

3.3. Adatfeldolgozó nem köteles vizsgálni, hogy Adatkezelő kizárólag olyan adatokhoz engedett-e hozzáférést, amelyeknek a feldolgozása az Alapszerződés teljesítéséhez elengedhetetlenül szükséges. Az ilyen adatokkal összefüggésben Adatfeldolgozót semmilyen addicionális adatfeldolgozási kötelezettség nem terheli. Az ezzel kapcsolatos minden felelősséget Adatkezelő viseli.

3.4. Adatfeldolgozó a hozzá beérkezett a GDPR III. fejezetével kapcsolatos érintetti megkereséseket késedelem nélkül, de legkésőbb 1 (egy) napon belül továbbítja az Adatkezelő felé a számára rendelkezésre álló információkkal kiegészítve.

4. További adatfeldolgozók igénybevétele

4.1. Adatfeldolgozó garantálja, hogy amennyiben az Adatkezelő előzetes írásbeli engedélye alapján további adatfeldolgozó szolgáltatásait is igénybe veszi, erre a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíti, mint amelyeket Adatkezelő és Adatfeldolgozó között jelen melléklet rögzít, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, Adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.

4.2. Adatfeldolgozó köteles tájékoztatni az Adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti. Adatfeldolgozó az Adatkezelő által közölt végleges döntés alapján köteles eljárni a további adatfeldolgozók igénybevételével vagy azok cseréjével kapcsolatban.

5. Adatbiztonság

5.1. Adatkezelő kizárólagos felelőssége az adatkezelési műveleteket úgy megtervezni, hogy a GDPR, és az Infotv., valamint az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa a személyes adatok védelmét.

5.2. Adatkezelő és Adatfeldolgozó közös felelőssége Adatfeldolgozó számára előírni azokat a technikai és szervezési intézkedéseket, amelyek a tudomány és technológia állására, a megvalósítás költségeire, valamint a feldolgozandó személyes adatokat fenyegető valós veszélyekre tekintettel az adatok megfelelő szintű védelmét garantálják különösen a GDPR

32. cikk (1) bekezdése szerint.

6. Személyes adatok továbbítása

6.1. Felek kölcsönösen vállalják a kapcsolattartóik elérhetőségeinek használatát a szerződéses együttműködés során történő adattovábbítás céljára. Az adattovábbítási eljárás során előírt intézkedéseknek biztosítania kell a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit.

6.2. Nem elektronikus (online) csatorna használata esetén, adathordozón történő adatátadás esetén

6.2.1.kellő intézkedéseket hoznak az adathordozók biztonságos továbbítási eljárásához, és/vagy

0.0.0.xx adathordozón titkosított állományban továbbítanak, olyan módon, hogy a titkosításhoz használt jelszó külön csatornán kerül átadásra. Nyílt csatornán (pl. futárral, postai úton) történő adathordozó továbbítás esetén ez utóbbi feltétel kötelezően alkalmazandó.

6.3. Adatfeldolgozó kijelenti, hogy eljárása során nem továbbít adatokat harmadik országba, vagy nemzetközi szervezet felé.

6.4. Amennyiben felmerül a harmadik országokba, vagy nemzetközi szervezetek felé történő adattovábbítás szükségessége, erről az Adatfeldolgozó az Adatkezelőt előzetesen értesíti.

6.5. Adatfeldolgozó az adatok továbbítását kizárólag az Adatkezelő előzetes írásbeli jóváhagyásával végezheti el.

7. Adatvédelmi incidensek kezelése és bejelentése

7.1. Az Adatfeldolgozó vállalja, hogy a GDPR 33. cikk (2) bekezdése szerint, a szerződéses együttműködés során a tudomására jutott adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül, legkésőbb az észleléstől számított 24 órán belül bejelenti az Adatkezelőnek. Az Adatfeldolgozónak törekednie kell, hogy minden szükséges és tőle elvárható módon segítse az Adatkezelőt a GDPR 33. cikk

(3) a-d) pontja szerinti tartalmú bejelentés megtételében, azonban, ha az információk nem állnak teljes körűen rendelkezésre, emiatt a bejelentés nem szenvedhet késedelmet és a további információkat azok rendelkezésre állását követően kell biztosítania.

7.2. Szerződő felek rögzítik, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság, mint tagállami felügyeleti hatóság felé az Adatkezelő adatvédelmi tisztviselője útján kommunikálnak.