Adatfeldolgozási szerződés
Adatfeldolgozási szerződés
Jelen adatfeldolgozási szerződés („Szerződés”) a Magyar Katolikus Püspöki Konferencia (székhely: 1071 Xxxxxxxx, Xxxxxxxxxxx xxxxx 00.; nyilvántartási szám: 00001/2012-027; adószám: 18181490-1-42) mint adatkezelő („MKPK”) és az egyházi jogi személy mint adatfeldolgozó („Adatfeldolgozó”) (a továbbiakban MKPK és Adatfeldolgozó külön-külön „Fél” és együttesen
„Felek”) között jött létre az alábbi feltételekkel:
A Felek az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) („Rendelet”), valamint az adatkezelésre vonatkozó jogszabályi előírásoknak való megfelelés érdekében az adatkezelési tevékenységek folytatása tekintetében az alábbiakban állapodnak meg:
1 Szerződés tárgya
1.1. Az MKPK a katolikus mobilflotta adminisztrációjának biztosítása érdekében mobilflotta tanúsítványkezelő-rendszert hozott létre. A mobilflotta tanúsítványkezelő-rendszerben elérhető valamennyi személyes adat tekintetében az MKPK jár el adatkezelőként.
1.2. Az MKPK és az Adatfeldolgozó között létrejött megállapodás alapján az Adatfeldolgozó a katolikus mobilflotta keretén belül történő szolgáltatás igénybevételéhez szükséges adminisztrációs feladatokat látja el.
2 Szerződés tárgyát képező adatkezelési tevékenységek
Az Adatfeldolgozó az MKPK által meghatározott célok elérése érdekében, az MKPK szakmai iránymutatása alapján a katolikus mobilflotta keretén belül történő szolgáltatás igénybevételéhez szükséges adminisztrációs feladatokhoz szükséges adatkezelési tevékenységeket látja el jelen Szerződés rendelkezései szerint.
3 Szerződés szerint kezelt személyes adatok
Az Adatfeldolgozó az Adatfeldolgozó által rögzített kapcsolattartó nevéhez, címéhez, személyazonosító igazolvány számához, e-mail címéhez és telefonszámához fér hozzá, valamint az Adatfeldolgozó által rögzített szolgálattevő nevéhez, anyja nevéhez, születési helyéhez és idejéhez, személyazonosító igazolvány számához, a szolgálattevőt foglalkoztató szervezet nevéhez, munkaköréhez/feladatköréhez és e-mail címéhez fér hozzá.
4 Érintettek
Az Adatfeldolgozó az MKPK által meghatározott célok elérése érdekében az alábbi személyek személyes adatához hozzáfér:
• az egyházi jogi személy kapcsolattartója,
• azon szolgálattevők, akik részére igazolás kerül kiállításra.
5 Utasítási jog
5.1. Az MKPK bármikor jogosult utasításokat adni az Adatfeldolgozó részére az Adatfeldolgozó részére személyesen, postai úton megküldött levélben vagy a mobilflotta tanúsítvány- kezelő rendszerben megadott e-mail címére kézbesítési visszaigazolással küldött e-mail útján az adatkezelés jellegét, hatókörét és az adatkezeléssel kapcsolatos eljárást illetően.
5.2. Az utasítás személyes átadás esetén az átvétellel, ajánlott-tértivevényes küldés esetén a tértivevényen feltüntetett kézbesítéssel, illetve a kézbesítési visszaigazolással küldött e-
mail esetében a levelezőrendszer kézbesítési visszaigazolása szerinti időpontban tekintendő közöltnek.
5.3. Az Adatfeldolgozó köteles az MKPK által adott utasításokat követni. Az Adatfeldolgozó köteles haladéktalanul értesíteni az MKPK-t, amennyiben az MKPK által adott bármely utasítás az Adatfeldolgozó álláspontja szerint jogszabályba ütközik. Az Adatfeldolgozó jogosult a jogszabályba ütköző utasítások teljesítését megtagadni, amíg azt az MKPK megerősíti vagy megváltoztatja.
5.4. Amennyiben bármely jogszabály (ideértve az Európai Unió vagy Magyarország alkalmazandó jogszabályait) az Adatfeldolgozó részére személyes adatok kezelését írja elő, akkor az Adatfeldolgozó köteles az MKPK-t e jogszabályról az adatkezelés megkezdését megelőzően értesíteni, kivéve, ha a jogszabály az MKPK értesítését tiltja.
6 Titoktartás
6.1. Az Adatfeldolgozó kötelesek titokban tartani és bizalmasan kezelni minden olyan személyes adatot és információt, amit az MKPK az Adatfeldolgozó részére a jelen Szerződés szerinti adatkezelési tevékenységek végzése céljából adott át vagy tett hozzáférhetővé.
6.2. Az Adatfeldolgozó köteles a személyes adatok harmadik személy (ide nem értve az Adatfeldolgozó által igénybe vett további adatfeldolgozót, amire az alábbi 8. pont szerinti rendelkezések irányadók) részére történő átadását, illetve hozzáférhetővé tételét megelőzően az MKPK-t a személyes adatok átadásáról, illetve hozzáférhetővé tételéről tájékoztatni.
6.3. Az Adatfeldolgozó köteles azon személyekkel, akik az MKPK mint adatkezelő által és az Adatfeldolgozó mint adatfeldolgozó által kezelt személyes adatok megismerésére jogosultak és adatkezelési tevékenységet végeznek, olyan megállapodást kötni, amelyben e személyek a megismert személyes adatok tekintetében titoktartási kötelezettséget vállalnak.
7 Adatbiztonság
7.1. Az Adatfeldolgozó köteles a tevékenységét és a működési folyamatait úgy kialakítani, hogy azok az MKPK által a fenti adatkezelési célok elérése érdekében átadott személyes adatok védelmét az Adatfeldolgozó által folytatott adatkezelési tevékenységek időtartama alatt a szükséges mértékben biztosítsák. Az Adatfeldolgozó köteles biztosítani, hogy a személyes adatok harmadik személyek részére ne legyenek hozzáférhetők.
7.2. Az Adatfeldolgozó az MKPK kérésére köteles a személyes adatok biztonsága érdekében tett lépéseikről az MKPK kérésétől számított 5 (öt) munkanapon belül írásban tájékoztatást nyújtani.
7.3. Az Adatfeldolgozó továbbá köteles az MKPK-t a jelen Szerződés alapján kezelt személyes adatok biztonsága érdekében szükséges lépések megtételében segíteni az MKPK által meghatározott mértékben.
8 További adatfeldolgozók igénybevétele
8.1. Az Adatfeldolgozó kijelenti, hogy jelen Szerződés hatályba lépése napján a mobilflotta tanúsítványkezelő-rendszerrel kapcsolatos feladatok ellátásához nem vesz igénybe további adatfeldolgozót.
8.2. Az MKPK jelen Szerződésben felhatalmazza az Adatfeldolgozót, hogy további adatfeldolgozókat vegyen igénybe a jelen Szerződés szerinti adatkezelési tevékenységek folytatásához.
8.3. Az Adatfeldolgozó köteles a további adatfeldolgozót gondosan kiválasztani és a további adatfeldolgozó igénybevételét megelőzően ellenőrizni, hogy az Adatfeldolgozó és az MKPK közötti megállapodásnak megfelelő tartalmú megállapodás betartására képes-e.
8.4. Az Adatfeldolgozó köteles az MKPK-t valamennyi további adatfeldolgozó tervezett igénybevételéről vagy igénybe vett adatfeldolgozó tervezett cseréjéről tájékoztatni. Az MKPK az igénybevételére kerülő további adatfeldolgozó tekintetében kifogás emelésére jogosult a jelen pont szerinti tájékoztatás kézhezvételtől számított 5 (öt) munkanapon belül.
8.5. Az Adatfeldolgozó köteles a további adatfeldolgozóval adatfeldolgozásra vonatkozó szerződést kötni, amely a GDPR 28. cikkének megfelel és amiben a további adatfeldolgozó megfelelő garanciákat nyújt a megfelelő technikai és szervezési intézkedések végrehajtására és e szerződésben az igénybe vett további adatfeldolgozóra legalább azokat az adatvédelmi kötelezettségeket telepíteni, amelyek a jelen Szerződésben szerepelnek.
8.6. Az Adatfeldolgozó felel az általa igénybe vett további adatfeldolgozó kötelezettségeinek teljesítéséért az MKPK-val szemben, amennyiben a további adatfeldolgozó az adatvédelmi kötelezettségeit nem teljesíti.
9 Érintetti jogok gyakorlásával kapcsolatos eljárás
9.1. Az Adatfeldolgozó köteles az MKPK mint adatkezelő által és az Adatfeldolgozó mint adatfeldolgozó által kezelt személyes adatok tekintetében benyújtott érintetti jog gyakorlására vonatkozó kérelmek teljesítését elősegíteni és kérelmek megválaszolásában a szükséges mértékben közreműködni.
9.2. Az Adatfeldolgozó köteles a jelen Szerződés alapján kezelt személyes adatok tekintetében az Adatfeldolgozóhoz érkezett, érintetti jog gyakorlására vonatkozó kérelmeket az MKPK részére haladéktalanul, de legkésőbb a kérelem beérkezésétől számított 3 (három) munkanapon belül továbbítani.
10 Adatvédelmi incidensek kezelése
10.1. Az Adatfeldolgozó késedelem nélkül, de legfeljebb a személyes adatokat érintő adatvédelmi incidensről való tudomásszerzéstől számított 6 (hat) órán belül köteles tájékoztatni az MKPK-t az adatvédelmi incidens bekövetkezéséről, amennyiben az adatvédelmi incidens olyan személyes adatokat érint, amiket az MKPK mint adatkezelő és az Adatfeldolgozó mint adatfeldolgozó kezel.
10.2. Az adatvédelmi incidens tekintetében az Adatfeldolgozó legalább az alábbiakról nyújt tájékoztatást:
• az adatvédelmi incidens jellegéről (érintettek kategóriái, hozzávetőleges száma, az incidenssel érintett személyes adatok kategóriái és hozzávetőleges száma);
• az adatvédelmi incidens tekintetében kapcsolattartóként eljáró személy neve és elérhetősége;
• az adatvédelmi incidensből eredő, valószínűsíthető következmények;
• az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések.
10.3. Az Adatfeldolgozó a fenti 10.2. pont szerinti tájékoztatáson túl köteles az MKPK-val az adatvédelmi incidens hatásainak megszüntetése, az adatvédelmi incidens felderítése és kivizsgálása során együttműködni és az MKPK-t az adatvédelmi incidenssel kapcsolatos teendők ellátása során a lehetséges mértékben segíteni.
11 Adatvédelmi hatásvizsgálat és előzetes konzultáció
11.1. Az Adatfeldolgozó köteles a jelen Szerződés szerint folytatott adatkezelési tevékenységek tekintetében lefolytatásra kerülő adatvédelmi hatásvizsgálatok lefolytatásához szükséges információkat az MKPK rendelkezésére bocsátani és az MKPK-t az adatvédelmi hatásvizsgálat lefolytatása során a lehetséges mértékben segíteni.
11.2. Amennyiben előzetes konzultáció lefolytatása szükséges, akkor az Adatfeldolgozó köteles az előzetes konzultáció során az MKPK-val együttműködni és az előzetes konzultációban a szükséges mértékben közreműködni.
12 Együttműködési kötelezettség
12.1. Az Adatfeldolgozó köteles az MKPK rendelkezésére bocsátani valamennyi információt, amely a Rendelet 28. cikkében foglalt kötelezettségei teljesítésének igazolásához szükséges.
12.2. Az Adatfeldolgozó köteles haladéktalanul értesíteni az MKPK-t az adatvédelmi rendelkezések vagy a vonatkozó szerződéses megállapodások és/vagy az MKPK utasításai Adatfeldolgozó vagy más az adatkezelésbe bevont személyek általi megszegése esetén.
12.3. Az Adatfeldolgozó köteles a felügyeleti hatóság által az MKPK-val szemben kezdeményezett ellenőrzés vagy eljárás esetén a szükséges tájékoztatást az MKPK részére megadni és az illetékes felügyeleti hatóság számára a helyszíni ellenőrzést lehetővé tenni.
13 Ellenőrzési jog
13.1. Az MKPK vagy az MKPK megbízásából eljáró személy jogosult bármikor ellenőrizni, hogy az Adatfeldolgozó betartja-e az adatvédelmi rendelkezéseket és/vagy a jelen Szerződés rendelkezéseit és/vagy az MKPK utasításait.
13.2. Az Adatfeldolgozó köteles tájékoztatást adni az MKPK részére, amennyiben az szükséges a
13.1. pont szerinti ellenőrzés lefolytatásához.
13.3. Az MKPK 5 (öt) munkanapos határidővel tett előzetes értesítést követően jogosult a 13.1. pont szerinti ellenőrzést az Adatfeldolgozó működési helyén a szokásos munkaidőben lefolytatni.
13.4. A Felek kötelesek biztosítani, hogy az ellenőrzésre kizárólag a szükséges mértékben kerüljön sor annak érdekében, hogy az Adatfeldolgozó működési folyamatait a szükséges mértéknél nagyobb mértékben ne zavarja.
14 Adatkezelési tevékenység megszűnése
14.1. Jelen Szerződés határozatlan időtartamra jön létre és a rendelkezései addig hatályban maradnak, amíg az Adatfeldolgozó az MKPK részére jelen Szerződés szerinti adatkezelési tevékenységek végzése céljából személyes adatokat kezel.
14.2. Amennyiben jelen Szerződés alapján az Adatfeldolgozó által adatfeldolgozóként folytatott adatkezelési tevékenység bármely okból megszűnik, akkor az Adatfeldolgozó köteles az MKPK választása szerint, valamennyi személyes adatot, ami jelen Szerződés teljesítése során vagy jelen Szerződés teljesítése érdekében folytatott adatkezelési tevékenységek végzése céljából a birtokába került, visszaadni vagy törölni.
14.3. Az Adatfeldolgozó a fenti 14.1. pont szerinti kötelezettségét nem köteles teljesíteni abban az esetben, ha a személyes adatok Adatfeldolgozó részéről történő tárolását jogszabály előírja.
15 Vegyes rendelkezések
15.1. Az Adatfeldolgozó köteles az MKPK részére adatfeldolgozóként végzett valamennyi adatkezelési tevékenységet nyilvántartásba venni.
15.2. Jelen Szerződés kizárólag írásban, mindkét Fél aláírásával módosítható.
15.3. Amennyiben jelen Szerződés bármely rendelkezése hatálytalan vagy végrehajthatatlan vagy a Szerződés megkötését követően hatálytalanná vagy végrehajthatatlanná válik, az a Szerződés fennmaradó rendelkezéseinek a hatályát nem érinti.
15.4. A Szerződésre a Rendelet, illetve a magyar jog irányadó.
16 Elektronikus szerződéskötés
16.1. Jelen Szerződés a jelölőnégyzet kipipálásával és a regisztráció véglegesítése gombra kattintással jön létre és magyar nyelvű, írásbeli szerződésnek minősül.
16.2. Az MKPK a megkötött Szerződést minden naptári év utolsó napjával az egyházi jogi személy nevének, székhelyének, elérhetőségének, adatvédelmi tisztviselője nevének, elérhetőségének és a szerződés hatályba lépése napjának megjelölésével iktatja és az MKPK iktatórendszerében a megkötött Szerződés bármikor elérhető. Jelen Szerződés az egyházi jogi személy részére továbbá elérhető a mobilflotta tanúsítványkezelő-rendszerben az egyházi jogi személy regisztrált fiókjában.
16.3. A regisztrációs fiók létrehozása során megadott adatok javítását bármikor kérheti az MKPK-tól elektronikus levélben. Az MKPK az adatmódosítás alátámasztása céljából ellenőrzi azon közhiteles nyilvántartást, amelyben az egyházi jogi személy szerepel, illetve az adatmódosítás alátámasztásához szükséges dokumentumokat bekéri az egyházi jogi személytől.
16.4. E jogviszony tekintetében a felek „egyházi jogi személy” kifejezés alatt az egyházi jogi személyeket illetve az olyan jogi személyiséggel rendelkező szervezeteket értik, amelyekben a Magyar Katolikus Egyház, vagy annak bármely belső egyházi jogi személye legalább 50 %-os tulajdonrésszel rendelkezik.
16.5. Az MKPK a Szerződés tárgya, illetve az elektronikus szerződéskötés lehetővé tétele tekintetében magatartási kódexhez nem csatlakozott.