ÁLTALÁNOS ADATFELDOLGOZÁSI SZERZŐDÉS
ÁLTALÁNOS ADATFELDOLGOZÁSI SZERZŐDÉS
az alábbi felek között:
Bisnode D&B Magyarország Kft., cégj. sz.: 00-00-000000 (mint „Adatfeldolgozó”), cím: 1093 Xxxxxxxx, Xxxxxxxxx xxxx 00-00.; és
Ügyfél (mint „Adatkezelő”), a xxxxx://xxx.xxxxxxx.xx/xxxx oldalon elérhető Bisnode Magyarország Kft Általános Szerződési Feltételei I. pontjában meghatározottak szerint.
A felek elnevezése az alábbiakban: együtt mint „Felek”, vagy külön-külön mint „Fél”.
1. Háttér
1.1. A Felek jelen adatfeldolgozási megállapodással (a „Megállapodás”) összefüggésben szolgáltatásnyújtásra vonatkozó megállapodást kötöttek az Adatfeldolgozó általános szerződési feltételeiben meghatározott rendelkezéseire tekintettel („Szolgáltatásnyújtásra vonatkozó Megállapodás”).
1.2. A Szolgáltatásnyújtásra vonatkozó Megállapodás szerződési feltételei értelmében az Adatfeldolgozó az Adatkezelő nevében személyes adatokat dolgozhat fel.
1.3. A jelen Megállapodás meghatározza azon személyes adatok Adatfeldolgozó általi feldolgozásának és azokhoz történő hozzáférésének feltételeit, amelyekért az Adatkezelő felelős. Ez a Megállapodás a Felek között létrejött valamennyi megállapodásra vonatkozik, továbbá arra az időszakra, amely alatt Szolgáltatásnyújtásra vonatkozó Megállapodás értelmében az Adatfeldolgozó az Adatkezelő nevében személyes adatokat dolgoz fel.
2. Fogalom meghatározások és értelmezés
2.1. Hacsak a körülményekből nyilvánvalóan más nem következik, azok a fogalmak, amelyek a jelen Megállapodásban előfordulnak, de nincsenek definiálva, ugyanolyan jelentéssel bírnak, mint ahogy azt az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („Általános adatvédelmi rendelet”, vagy „GDPR”) meghatározza.
2.2. Jelen Megállapodás értelmezése során a Feleknek figyelembe kell venniük a GDPR-t és más, az adatvédelemre vonatkozó adott időpontban hatályos törvényeket, rendeleteket, valamint iránymutatásokat és magatartási kódexeket.
2.3. A GDPR 85. cikke úgy rendelkezik, hogy az alkotmányosan védett adatbázisok kivételt képeznek a GDPR rendelkezéseinek hatálya alól. Az Adatkezelő tudomásul veszi, hogy az Adatfeldolgozó az ilyen alkotmányosan védett adatbázisokban adatfeldolgozást végezhet, és hogy – ennek következtében – a GDPR rendelkezései az ilyen személyes adatfeldolgozásra nem vonatkoznak.
3. Személyes adatok feldolgozása
3.1. Az Adatkezelő, adatkezelői minőségében, felelős azon személyes adatfeldolgozásért, amelyet a Szolgáltatásnyújtásra vonatkozó Megállapodás hatálya alatt végez.
3.2. Az Adatfeldolgozó az Adatkezelő nevében a jelen Megállapodással összhangban, beleértve az Adatfeldolgozónak adott dokumentált utasításokat is, és az Adatkezelő által időről-időre adott dokumentált, specifikus utasításoknak megfelelően személyes adatokat dolgoz fel. A személyes adatok kategóriáit és az érintettek kategóriáit, valamint a célt, amelyért a személyes adatokat feldolgozzák, az 1. sz. melléklet határozza meg.
4. További (harmadik személy) feldolgozó alkalmazása
4.1. Jelen Megállapodás aláírásával az Adatkezelő hozzájárul ahhoz, hogy az Adatfeldolgozó az Adatkezelő nevében a jelen Megállapodás értelmében a személyes adatfeldolgozás során további feldolgozókat vegyen igénybe. Az Adatfeldolgozó köteles az Adatkezelőt bármely olyan módosítási szándékáról értesíteni, melynek során további feldolgozót kíván igénybe venni, vagy egy további feldolgozót mással kíván helyettesíteni. Az Adatkezelő, adott esetben, jogosult az ilyen változás ellen tiltakozni, feltéve, hogy a tiltakozás ésszerű indokon alapul, mint például az adatvédelem hiánya vagy a biztonság. Ilyen esetben az Adatkezelő jogosult a Megállapodást és a Szolgáltatásnyújtásra vonatkozó Megállapodást megszüntetni a további feldolgozó személyében bekövetkezett tényleges változás időpontjától kezdődő hatállyal. Ugyanakkor az Adatkezelő nem jogosult ilyen idő előtti megszüntetésre, ha az Adatfeldolgozó ehelyett a tervezett új további feldolgozót egy másik további feldolgozóval helyettesíti, amelyet az Adatkezelőnek ésszerűen el kell fogadnia az alapján, hogy a további feldolgozó teljesíti a hatályos adatvédelmi követelményeket és biztonsági előírásokat.
4.2. Az Adatfeldolgozónak naprakész listát kell vezetnie az általa időről-időre igénybevett további feldolgozókról („Aktuális Lista”), és az Adatkezelő kérésére köteles az Adatkezelőt az Aktuális Lista egy másolatával ellátni.
4.3. Amennyiben az Adatfeldolgozó az Adatkezelő nevében speciális feldolgozási tevékenységek elvégzésére további feldolgozót vesz igénybe, az Adatfeldolgozó köteles biztosítani, hogy a további feldolgozó szerződésben vállalja, hogy megfelel az ugyanazon adatvédelmi kötelezettségeknek, illetőleg ugyanazon szintű adatvédelmet biztosító követelményeknek, mint amelyeket a jelen Megállapodás, illetőleg a jelen Megállapodás vagy a Szolgáltatásnyújtásra vonatkozó Megállapodás értelmében az Adatkezelő által adott utasítások meghatároznak. Az Adatfeldolgozó felelősséggel tartozik az általa az Adatkezelő vonatkozásában igénybevett további feldolgozó által végzett valamennyi személyes adatfeldolgozásért.
5. Adattovábbítás az EU-n/EGT-n kívül
5.1. Az Adatfeldolgozó jogosult személyes adatot az EU-n/EGT-n kívüli országba továbbítani, beleértve a Brexit hatálybalépésétől kezdve az Egyesült Királyságot is (ún. „harmadik ország”), feltéve, hogy legalább az egyik, alábbi jogalap fennáll (megfelelőségi határozat vagy megfelelő biztosítékok);
a) az Európai Bizottság döntése értelmében az adott harmadik országban, ahová a személyes adatot továbbítják, a biztonsági szint megfelelő. Ezen országok listája az Európai Bizottság honlapján található;
b) az Adatfeldolgozó, az Adatkezelő nevében, kötelező erejű megállapodást kötött, mely magában foglalja az Európai Bizottságnak az adott időszakban hatályos azon adatvédelmi rendelkezéseit, amelyek a személyes adatoknak harmadik országok számára történő továbbítására vonatkoznak, amikor a további adatfeldolgozó a harmadik országban található;
c) az adattovábbítás a GDPR 47. cikkének megfelelő kötelező erejű vállalati szabályokon
alapul; vagy
d) az harmadik országban található fogadó fél csatlakozott az USA Privacy Shield (Xxxxxxxxxxx Xxxxx) egyezményéhez.
5.2. Az 5.1. szakaszban meghatározott jogalapok fennállása nem szükséges, amennyiben a személyes adatok harmadik országba történő továbbítását olyan uniós vagy tagállami jog írja elő, amelynek az Adatfeldolgozó jogalanya. Ilyen esetben az Adatfeldolgozónak erről a jogi követelményről még az adatfeldolgozás előtt értesítenie kell az Adatkezelőt, kivéve, ha ilyen információ megosztását a jog fontos közérdekből megtiltja.
6. Az Adatfeldolgozó kötelezettségei
Általános jogok és az érintettek jogai
6.1. Az Adatfeldolgozó vállalja, hogy a személyes adatok feldolgozását a jelen Megállapodás rendelkezéseivel összhangban végzi. Adatfeldolgozó így a személyes adatok feldolgozását az Adatkezelő dokumentált utasításainak megfelelően és kizárólag a Szolgáltatásnyújtásra vonatkozó Megállapodásban és a jelen Megállapodásban meghatározott célból végezheti.
6.2. Amennyiben az érintett a GDPR III. fejezetének értelmében a személyes adatainak feldolgozásával kapcsolatban bármely jogát gyakorolni kívánja, az Adatfeldolgozó köteles, az adatfeldolgozás természetét figyelembe véve, amennyire ez lehetséges, megfelelő technikai és szervezeti intézkedésekkel segíteni az Adatkezelőt, hogy ez utóbbi teljesíteni tudja azon kötelezettségét, miszerint az érintettek ilyen jellegű kérelmére válaszolni tudjon.
6.3. Amennyiben egy érintett az Adatfeldolgozóval közvetlenül veszi fel a kapcsolatot személyes adatainak feldolgozására vonatkozó panasszal, vagy jogainak gyakorlásával összefüggő kérdéssel kapcsolatban, az Adatfeldolgozó köteles az ilyen kérést indokolatlan késedelem nélkül, a kérelem tárgyára vonatkozó világos információt magában foglalva továbbítani az Adatkezelőnek. Az Adatfeldolgozó az Adatkezelő előzetes utasítása nélkül nem kezelheti az ilyen jellegű kérelmet.
Az Adatfeldolgozó értesítési kötelezettségei
6.4. Ha az Adatfeldolgozó úgy ítéli meg, hogy egy, az Adatkezelőtől származó, személyes adatok feldolgozására vonatkozó utasítás ellentétes a GDPR-ral, vagy más hatályos adatvédelmi szabályozással, az Adatfeldolgozó köteles erről az Adatkezelőt haladéktalanul értesíteni. Ilyen esetben az Adatfeldolgozó jogosult várni a megfelelő utasítás alapján történő eljárással, amíg az Adatkezelő azt megerősíti vagy módosítja.
6.5. Amennyiben a jelen Megállapodás szerinti személyes adatokat érintő személyes adatok megsértése az Adatfeldolgozó tudomására jut, az Adatfeldolgozónak, miután tudomást szerzett a személyes adatok megsértéséről, indokolatlan késedelem nélkül értesítenie kell erről az Adatkezelőt.
6.6. Az Adatfeldolgozó köteles továbbá az Adatkezelőt segíteni a GDPR 33-34. cikkei szerinti kötelezettségeknek való megfelelés biztosításában, figyelembe véve a feldolgozás természetét és az Adatfeldolgozó rendelkezésére álló információt.
Ellenőrzések
6.7. Adatkezelő jogosult ellenőrizni, hogy jelen Megállapodás értelmében az Adatfeldolgozó által, az Adatkezelő nevében feldolgozott személyes adatok feldolgozása a jelen Megállapodásnak és az Adatkezelő által adott utasításoknak megfelelően történik. Ennek során az Adatfeldolgozó köteles az Adatkezelő rendelkezésére bocsátani valamennyi olyan információt, amely szükséges az ilyen megfelelés igazolásához. Az Adatfeldolgozónak szintén meg kell hoznia azokat az intézkedéseket, amelyekkel lehetővé teszi és hozzájárul az ellenőrzések, beleértve a vizsgálatokat is, az Adatkezelő vagy az általa kijelölt harmadik fél által történő lefolytatásához. Az ilyen harmadik fél nem lehet az Adatfeldolgozó közvetlen versenytársa, és vállalnia kell, hogy legalább a Szolgáltatásnyújtásra vonatkozó Megállapodásban meghatározott szintű titoktartási követelményeknek megfelel.
6.8. Az Adatkezelő köteles a tervezett vizsgálatot megelőzően legalább tíz (10) munkanappal az Adatfeldolgozót erről értesíteni. Bármely más ellenőrzés esetén az Adatfeldolgozónak legalább 14 munkanap áll rendelkezésére, hogy a 6.7. szakaszban meghatározott lényeges információt összeállítsa és az Adatkezelő rendelkezésére bocsássa.
Technikai és szervezeti intézkedések
6.9. Az Adatfeldolgozó köteles megfelelő technikai és szervezeti intézkedéseket hozni annak érdekében, hogy az általa a GDPR 32. cikkének (ld. 2. sz. melléklet) megfelelő Megállapodás alapján feldolgozott személyes adatok védelmét biztosítani tudja.
6.10. Az Adatfeldolgozó köteles az Adatkezelőt segíteni a GDPR 32. és 35-36. cikkei szerinti kötelezettségeknek való megfelelés biztosításában, figyelembe véve a feldolgozás természetét és az Adatfeldolgozó rendelkezésére álló információt.
7. Kompenzáció
7.1. Az Adatfeldolgozó az általa a fenti 6.2., 6.6. és 6.10. szakaszokkal összhangban nyújtott ilyen segítségért ésszerű kompenzációra jogosult, ha az ilyen segítség azt eredményezi, hogy az Adatfeldolgozónak rendszeresen nem elhanyagolható mértékű erőforrásokat kell biztosítania. Az Adatfeldolgozó az Adatkezelő (vagy az Adatkezelő által meghatalmazott harmadik személy) által végzett ellenőrzések során, beleértve a vizsgálatokat is, a fenti 6.7. szakasszal összhangban
nyújtott segítségéért is ésszerű kompenzációra jogosult, amennyiben arra gyakrabban kerül sor, mint évente. Ha azonban az ellenőrzés eredménye azt mutatja, hogy az Adatfeldolgozó nem teljesítette a Megállapodásból fakadó kötelezettségeit, az Adatfeldolgozó nem jogosult ilyen további kompenzációra.
7.2. A fenti 7.1. szakaszban meghatározottakon kívül az Adatfeldolgozó a megváltoztatott utasítások alapján is kompenzációra jogosult, ha azok az Adatfeldolgozónál többletköltségeket vagy pluszmunkát eredményeztek, és amelyek a hatályos adatvédelmi szabályozás követelményein túlmutatnak.
7.3. Amennyiben az Adatfeldolgozó a 7.1.-7.2. szakaszok alapján külön kompenzációra jogosult, az Adatfeldolgozó adott időpontban hatályos időre és tárgyi munkára vonatkozó árlistáját kell alkalmazni.
8. Felelősség
8.1. Amennyiben egy érintett, egy felügyeleti hatóság vagy más harmadik fél az Adatkezelő ellen bármely követeléssel vagy keresettel lép fel, melynek eredményeképpen az Adatkezelőnél kár merül fel (beleértve az érintetteknél felmerülő károkat és a felügyeleti hatóságoknak fizetendő közigazgatási bírságokat is), amelynek oka az, hogy az Adatfeldolgozó (vagy annak további feldolgozója) a személyes adatok feldolgozását az Adatkezelő utasításaival, jelen Megállapodással vagy hatályos adatvédelmi jogszabályokkal ellentétesen, vagy azok be nem tartásával végezte, az Adatfeldolgozó köteles az Adatkezelőt az ilyen károkért kártalanítani és őt vétlennek minősíteni.
8.2. Amennyiben egy érintett, egy felügyeleti hatóság vagy más harmadik fél az Adatfeldolgozó ellen bármely követeléssel vagy keresettel lép fel, melynek eredményeképpen az Adatfeldolgozónál kár merül fel (beleértve az érintetteknél felmerülő károkat és a felügyeleti hatóságoknak fizetendő közigazgatási bírságokat is), amelynek oka az Adatkezelő nem megfelelő vagy jogellenes utasítása, illetőleg a jelen Megállapodás vagy hatályos adatvédelmi jogszabályok megsértése, az Adatkezelő köteles az Adatfeldolgozót az ilyen károkért kártalanítani és őt vétlennek minősíteni.
8.3. Mindkét fél felelőssége, a 8.1. illetőleg a 8.2. szakaszok értelmében szerződési évenként a Szolgáltatásnyújtásra vonatkozó Megállapodás éves szerződéses értéke legfeljebb 100%-ig terjedő közvetlen károkra korlátozódik.
8.4. A kétségek elkerülése érdekében, a Xxxxx soha nem vonhatók felelősségre a közvetett károkért, beleértve, de nem kizárólag az elmaradt hasznot és/vagy bevételt, kivéve, ha az ilyen károkat szándékosan vagy súlyos gondatlansággal okozták.
9. A Megállapodás megszüntetése és lejárata
9.1. A Szolgáltatásnyújtásra vonatkozó Megállapodás megszüntetése esetén a jelen Megállapodást, a Szolgáltatásnyújtásra vonatkozó Megállapodás feltételeivel összhangban, automatikusan megszűntnek kell tekinteni.
9.2. A Szolgáltatásnyújtásra vonatkozó Megállapodás megszüntetésekor az Adatfeldolgozó köteles valamennyi személyes adatot az Adatkezelőnek visszajuttatni, vagy amennyiben az Adatkezelő írásban így rendelkezik, köteles a jelen Megállapodás értelmében az általa feldolgozott valamennyi személyes adatot törölni.
10. Titoktartás
10.1. Az Adatfeldolgozó vállalja, hogy a jelen Megállapodás szerint személyes adatra, vagy annak feldolgozására vonatkozó információt harmadik személy számára nem tesz hozzáférhetővé, és semmilyen más módon nem ad át. Az Adatfeldolgozónak azt is biztosítania kell, hogy az adatfeldolgozásra feljogosított, vagy az adatokhoz másképp hozzáféréssel rendelkező személyek titoktartási kötelezettséget vállaltak, vagy megfelelő törvényes titoktartási kötelezettség alatt állnak. Ezeket a titoktartási rendelkezéseket nem kell alkalmazni, ha az Adatfeldolgozó olyan uniós vagy tagállami jog alapján köteles az információt hozzáférhetővé tenni, amelynek ő jogalanya. Ilyen esetben az Adatfeldolgozónak erről a jogi követelményről még az adatfeldolgozás előtt értesítenie kell az Adatkezelőt, kivéve, ha ilyen információ megosztását a jog fontos közérdekből megtiltja.
11. Alkalmazandó jog
11.1. Erre a megállapodásra a Szolgáltatásnyújtásra vonatkozó Megállapodásban meghatározott rendelkezések az irányadók és ezt azokkal összhangban kell értelmezni.
Jelen Megállapodás elfogadásáról Adatkezelő a Szolgáltatásnyújtásra vonatkozó Megállapodás megkötésekor nyilatkozik. A nyilatkozattétel az alábbi módok valamelyikén történik:
- nyomtatott megrendelőlap kitöltése esetén a megrendelőlap cégszerű aláírásával,
- elektronikus úton (online) történő megrendelés esetén külön pipálással,
- telefonon történő szerződéskötés esetén a telefonos szerződés létrejöttével.
1. sz. melléklet
EGYEDI RENDELKEZÉSEK
A kezelt személyes adatok kategóriái:
Azonosítási és kapcsolattartási adatok (név, cím, telefon, e-mail cím, adóazonosító jel, stb.) Pénzügyi jellemzők (jövedelem, pénzügyi tranzakciók, hitelinformációk, adózási információk, stb.) Foglalkozás és betöltött munkakör
Személyes jellemzők (életkor, nem, családi állapot, stb.)
Jogi információk (ítéletek, bírósági és hatósági döntések, stb.)
Különleges adatok
Különleges adatok kezelésére nem kerül sor.
Adatfeldolgozási célok kategóriái
Lásd az Adatfeldolgozó Általános Szerződési Feltételeiben
Érintettek kategóriái
Munkavállalók, tanácsadók és képviselőik Ügyfelek
Potenciális ügyfelek Beszállítók
Adatfeldolgozás kategóriái
Lásd az Adatfeldolgozó Általános Szerződési Feltételeiben
******
2. sz. melléklet
TECHNIKAI ÉS SZERVEZÉSI ADATVÉDELMI INTÉZKEDÉSEK
Tartalom
1. Alkalmazási kör
2. Fizikai belépés ellenőrzése
3. A rendszerekbe való belépés ellenőrzése
4. Hozzáférés ellenőrzése
5. Adattovábbítás ellenőrzése
6. Adatbevitel ellenőrzése
7. Szerződés ellenőrzése
8. Hozzáférhetőség ellenőrzése
9. Szétválasztási szabály
1. Alkalmazási kör
Az általános adatvédelmi rendelet (GDPR) értelmében bármely jogalany, amely akár saját maga részére, akár más részére személyes adatot gyűjt, dolgoz fel, vagy használ fel, köteles meghozni azokat a technikai és szervezeti intézkedéseket, amelyek szükségesek a törvényben foglalt adatvédelmi szabályok betartásának biztosításához. Jelen dokumentum felsorolja azokat a biztosítékokat, amelyek a Bisnode Csoporton („Bisnode”-on) belül a GDPR 28. Cikkének értelmében bevezetésre kerültek.
2. Fizikai belépés ellenőrzése
A belépés ellenőrzése arra szolgál, hogy meggátolja a jogosulatlan feleket abban, hogy hozzáférjenek olyan műszaki eszközökhöz, amelyekkel személyes adatok feldolgozása vagy felhasználása történik.
2.1. Fizikai belépés ellenőrzése a Bisnode operatív területein
A Bisnode épületeibe való bejutást belépési előírás szabályozza. A Bisnode alkalmazottainak részére ez lényegében elektronikus kulcsokat jelent, amelyek lehetővé teszik az operatív területekre való bejutást, az egyes kulcsokhoz rendelt belépési jogosultságoknak megfelelően. A belépési jogosultság mind idő (engedélyezett használat meghatározott munkanapokon, és meghatározott napszakokban), mind lokáció (az operatív területek meghatározott részein) tekintetében összhangban van az alkalmazottaknak adott jogkörökkel. A külsősök számára a belépés ellenőrzését a központi recepció, vagy portaszolgálat biztosítja, amely felveszi a látogató adatait és kiállítja számára az adott látogatás idejére szóló látogatói kártyát.
2.2. A Bisnode számítógépes központjába történő fizikai belépés ellenőrzése
A Bisnode IT rendszereit a Bisnode nevében különböző adatközpontok működtetik. Az adatközpontokat már tervezésükkor is zárt biztonsági területekként alakították ki. Itt strukturális és technikai belépés-ellenőrzés is történik. Az adatközpontok elektronikusan védettek, és a látogatók belépését csak úgy engedélyezik, ha van mellettük kísérő és nem maradnak felügyelet nélkül. A belépőkártyákat csak előzetes értesítés után, szigorú feltételek mellett adják ki. A használatuk naplózva van. Az adatközpontok videokamerás megfigyelés alatt állnak, valamint a telephely és az épület kritikus belső területeit ugyancsak napi huszonnégy órában biztonsági szolgálat felügyeli.
3. A rendszerekbe való belépés ellenőrzése
jogosulatlan felek az adatkezelő rendszereket használják (logikai védelem).
3.1. A rendszerekbe való belépés ellenőrzése a Bisnode operatív területein
A Bisnode vagy az adatközpont üzemeltetője által végzett adminisztratív munkát az alkalmazottak közül csak néhányan végezhetik, olyanok, akik speciális titoktartási megállapodást írtak alá, és akik átvilágítása még felvételük előtt megtörtént. A titoktartási megállapodás adat titkosságra vonatkozó kötelezettséget tartalmaz. Ahol az adminisztratív munka külső hozzáféréssel történik, az ún. VPN-kapcsolatok a legújabb technológia segítségével le vannak kódolva és további hitelesítést is megkövetelnek. A felhasználónévvel és jelszóval történő azonosítás kötelező. A Bisnode IT rendszere külső támadások ellen tűzfal technológiával is védett. A tűzfal működtetése központilag történik, arról a csoport anyavállalata, a Bisnode AB, Solna (Svédország) gondoskodik.
3.2. A rendszerekbe való belépés ellenőrzése az adatközpont üzemeltetőjénél
A Bisnode-nál futó rendszerek biztosítása érdekében az adatközpont üzemeltetője további korszerű tűzfal funkciókat telepített a hálózati rétegen belül és a beléptető termékekbe.
4. Hozzáférés ellenőrzése
A hozzáférés ellenőrzése azokat az intézkedéseket foglalja magában, amelyek biztosítják, hogy az adatfeldolgozó rendszerek használatára jogosult felek csak ahhoz az adathoz férhessenek hozzá, amelyek hozzáférésére jogosultsággal rendelkeznek, és hogy személyes adatot engedély nélkül sem az adatfeldolgozás vagy -felhasználás időtartama alatt, sem pedig az adat elmentése után ne lehessen olvasni, másolni, módosítani vagy törölni.
4.1. Hozzáférés ellenőrzése a Bisnode operatív területein
A Bisnode az engedélyek kezelésére belső szabályokat határozott meg és rögzített. Ezek határozzák meg az ügyfelek részére működtetett rendszerek feletti adminisztrátori jogosultságokat. Ezek tartalmazzák például a biztonságos jelszavakkal szemben támasztott követelményeket.
4.2. Hozzáférés ellenőrzése az adatközpont üzemeltetőjénél
Amennyiben az adatközpont üzemeltetője a Bisnode-dal kötött szerződése értelmében alkalmazás szinten átveszi a felhasználók létrehozása és jogosultság-beállítás feladatait, akkor őt alapvetően ugyanazok a biztonsági szabályok kötik, amelyek magán a Bisnode operatív területein is érvényesülnek. Ettől való eltérés csak akkor engedélyezett, ha erre a Bisnode írásos utasítást ad. A Bisnode határozza meg azokat az irányelveket is, amelyek arra vonatkoznak, hogy az adatközpont üzemeltetője hogyan alakítsa ki az alkalmazás-specifikus jogosultságok tervezetét.
5. Adattovábbítás ellenőrzése
Az adattovábbítás ellenőrzése azokat az intézkedéseket foglalja magában, amelyek biztosítják, hogy személyes adatot se olvasni, se másolni, se módosítani, se törölni ne lehessen engedély nélkül elektronikus továbbítás vagy adathordozóra történő mentés során, és hogy megállapítható és ellenőrizhető legyen, hogy az adatkommunikációs eszközzel hova kell továbbítani a személyes adatot.
5.1. Adattovábbítás ellenőrzése a Bisnode operatív területein
A Bisnode általános adatfeldolgozására vonatkozóan (alkalmazottak adatai, beszállítók adatai, ügyfél adatbázis) az adattovábbítás ellenőrzését (adattranszfer, szállítás, kommunikáció ellenőrzése) megfelelő technikai intézkedések biztosítják. Ezek közé tartozik a tűzfal, a vírusvédelem, a VPN csatorna, az adattitkosítás (különösen https/SSL általi továbbítás vagy VPN csatorna esetében) és a jelszavas védelem az egyes dokumentumok esetében. Csak azok az adathordozók használhatók bizalmas adatok elektronikus továbbítására, amelyek lehetővé teszik az adatok titkosítását. Az adatok logisztikai továbbításába csak erre alkalmas szolgáltatókat vonnak be.
A Bisnode-nál a kereskedelmi célú adatkezelés tekintetében – különösen a Bisnode információs üzleti tevékenysége során az ügyfelek adatainak fogadása és rendelkezésre bocsátása esetén – az adattovábbítás ellenőrzését az adatfeldolgozás valamennyi állomásának naplózása biztosítja. Azokban az esetekben, amikor erről az ügyféllel megállapodás születik, a
továbbíthatók legyenek.
5.2. Adattovábbítás ellenőrzése az adatközpont üzemeltetőjénél
Az adatközpont üzemeltetőjére adattovábbítás tekintetében ugyanazok a kötelezettségek vonatkoznak, amelyek magára a Bisnode-ra. A működési szempontból alapvető fontosságú másolatok (backup-ok) esetében, és különösen az alapvető fontosságú adatok biztonságával összefüggésben csak szabványosított és dokumentált folyamatokat használnak. Minden backup létrehozása naplózott.
6. Adatbevitel ellenőrzése
Az adatbevitel ellenőrzése azokat az intézkedéseket foglalja magában, amelyek lehetővé teszik, hogy folyamatosan megállapítható és ellenőrizhető legyen, hogy a személyes adatokat az adatkezelő rendszerbe ki vitte be, ki módosította vagy törölte azokat.
A bevitelt az alkalmazottak közül csak az végezheti, aki az adathoz hozzáféréssel rendelkezik (lásd a hozzáférés ellenőrzésére vonatkozó rendelkezéseket a 3. pontban).
A „meghatározott folyamatlépések” naplózása ugyancsak automatikusan történik a rendszerekben. A „meghatározott folyamatlépések” naplózása olyan folyamatokra utal, amelyek az üzleti folytonosság biztosítását, könyvelési célokat és a törvényileg előírt adatmegőrzési kötelezettségek teljesítését szolgálják.
7. Szerződés ellenőrzése
A szerződés ellenőrzése azokat az intézkedéseket foglalja magába, amelyek biztosítják, hogy egy adott szerződés hatálya alatt történő személyes adatfeldolgozás csak az ügyfél utasítása alapján történhessen.
Azokban az esetekben, amikor a Bisnode egy szerződés alapján személyes adatokat dolgoz fel, a szerződéses adatfeldolgozásra vonatkozóan mindig írásba foglalt megállapodás jön létre, a GDPR által megkövetelt törvényes tartalommal. Ilyen esetekre rendelkezésre állnak a Bisnode saját szerződésmintái is, amelyet az ügyfél a fenti célra használhat. A szerződéses kötelezettségek biztosítják, hogy a Bisnode az ügyfél adatait csak az ő utasításainak megfelelően dolgozza fel, hogy az adatok bizalmas kezelése garantálva van, és legfőképp, hogy az ügyfél kifejezett ellentétes tartalmú utasításának hiányában az ügyfél adatai nem kerülnek be a Bisnode általános információs adatbázisába.
Mindezen felül a Bisnode-nál hatályban levő technikai és szervezeti biztonsági intézkedések részletei minden, Bisnode-dal kötött szerződéses adatfeldolgozási megállapodás részét képezik, melynek következtében ez a dokumentum az ilyen szerződéses adatfeldolgozási megállapodások elfogadott mellékletét képezi.
8. Hozzáférhetőség ellenőrzése
A hozzáférhetőség ellenőrzése azokat az intézkedéseket foglalja magában, amelyek biztosítják a személyes adatok védelmét a véletlenszerű adatvesztéssel vagy adatsérüléssel szemben.
A hozzáférhetőség ellenőrzésének alapja az IT eszközök üzemeltetésének kiszervezése az adatközpont-üzemeltető nagy biztonságú adatközpontjába. Ez utóbbi mindenek előtt redundáns rendszerekkel, szünetmentes áramellátással és vészhelyzeti generátor egységgel rendelkezik (például redundáns dízelgenerátort használ). Az adatközpont saját transzformátorállomásán keresztül közvetlen kapcsolatban van a középfeszültségű hálózattal (vagy ezzel egyenértékű kapcsolattal rendelkezik), melyen keresztül összeköttetésben áll a Bisnode operatív területeivel. Az adatközpont korai tűzjelző rendszerrel is felszerelt, amely automatikusan beindítja az oltási folyamatot.
Az adat hozzáférhetősége, különösen az üzemzavarból vagy akaratlan törlésből adódó adatvesztéssel szembeni védelem szintén biztosítva van a releváns adatbázisok és rendszerek állandó adatvédelme és mentése (backup) által. Így meghibásodás esetén az adatok legalább havi szinten visszaállíthatók.
9. Szétválasztási szabály
adatokat egymástól szétválasztva tudják feldolgozni.
9.1. Szétválasztási szabály a Bisnode operatív területein
A Bisnode általános adatfeldolgozására vonatkozóan (alkalmazottak adatai, beszállítók adatai, ügyfél adatbázis) a szétválasztási szabály például fizikai szétválasztás útján valósul meg, a tárolás szétválasztott rendszerekben vagy adathordozókon történik, az IT rendszerek és alkalmazások, megfelelő engedélyezési elvek, valamint adatbázis jogosultságok tekintetében pedig szét vannak választva a produktív-, a teszt- és a fejlesztési környezetek. Ezen felül a szoftveres oldalon logisztikai ügyfél-szétválasztási rendszer is működik.
A Bisnode-nál a kereskedelmi célú adatkezelés tekintetében – különösen a Bisnode információs üzleti tevékenysége során az ügyfelek adatainak fogadása és szolgáltatása esetén – az adatvédelmi szempontú szétválasztás elsősorban alkalmazás alapon valósul meg. Minden adatcsomagot egymástól teljesen elkülönítve továbbítanak és dolgoznak fel, így az ügyféladatok közti bárminemű átfedés kizárt. A megfelelő óvintézkedések ezen a területen (hardver és szoftver tekintetében egyaránt) megtörténtek.
9.2. Szétválasztási szabály az adatközpont üzemeltetőjénél
Az adatközpont üzemeltetője minden adatot mind fizikailag, mind IT-szempontból legalább ügyfélszinten szétválaszt. Ahol a Bisnode szintet az adatközpont üzemeltetőjéhez szervezték ki, ott rendszertől és adatbázistól függően általában további szétválasztott interfészek is elérhetők.
.