ADATFELDOLGOZÓI MEGÁLLAPODÁS SZERZŐDÉS ADATFELDOLGOZÓ ÁLTAL VÉGZETT ADATKEZELÉSI TEVÉKENYSÉGRE

	azonosító IG0605	készítés dátuma 2023-06-19	oldal 7 /7
	15. melléklet	hatályos 2023-07-01

ADATFELDOLGOZÓI MEGÁLLAPODÁS

SZERZŐDÉS

ADATFELDOLGOZÓ ÁLTAL VÉGZETT ADATKEZELÉSI TEVÉKENYSÉGRE

Jelen szerződés (a továbbiakban: „Szerződés”) az alulírott helyen és napon jött létre az alábbi felek között:

… (székhely:…; nyilvántartva a … Cégbírósága által Cg. … cégjegyzékszámon) mint Adatkezelő és az

… (székhely:…; nyilvántartva a … Cégbírósága által Cg. … cégjegyzékszámon) mint Adatfeldolgozó (a továbbiakban külön-külön, illetve együtt: „Fél”, illetőleg „Felek”).

1. Az adatkezelésre irányadó jogszabályok:

1.1. Az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (a továbbiakban: „Rendelet”), a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, továbbá a [azon magyar jogszabályok felsorolása, amely még releváns lehet, pl. az 1997. évi CLIV. törvény az egészségügyről].

2. A Szerződés háttere¹

2.1. A Rendelet hatálya alatt szükséges a […]-án (időpont) a Felek között kötött […] (tárgyú) szerződés/megállapodás (a továbbiakban: „Alapszerződés”) kiegészítése a személyes adatok kezelésére tekintettel. Amennyiben az Alapszerződés adatkezelésre vonatkozó rendelkezései ellentétesek az e Szerződésben foglaltakkal, e Szerződés rendelkezései az irányadók.

3. Általános rendelkezések

3.1. E Szerződés célja, hogy az Adatfeldolgozó az Adatkezelő utasításai alapján, az irányadó jogszabályoknak, e Szerződésnek és az Alapszerződésnek (amennyiben ilyen megkötésre kerül) megfelelően végezze az adatkezelési tevékenységet.

3.2. Az Adatkezelő és az Adatfeldolgozó együttműködnek az adatkezelés jogszerű, a személyes adatok kezelésére vonatkozó jogszabályok figyelembevételével történő ellátása érdekében.

3.3. A Felek a jelen Szerződésben megadott személyes adatokat a másik Féllel történő kapcsolattartás, valamint a szerződésben foglalt jogok és kötelezettségek teljesítése céljából szerződés teljesítése jogcímén kezelik, és a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.) szerinti általános elévülési időn belül őrzik meg. A Felek kijelentik, hogy az érintetteket az adatkezelésről és az őket ezzel kapcsolatosan megillető jogokról teljes körűen tájékoztatták és a személyes adatoknak a másik Fél részére történő átadására jogosultak. A Felek tudomásul veszik, hogy a jelen kötelezettségük megszegéséért vagy elmulasztásáért a másik Fél felé felelősséggel tartoznak.

4. A Szerződés tárgya

4.1. Az Adatkezelő a Rendelet 28. cikkében meghatározottaknak megfelelően jelen Szerződés aláírásával megbízza az Adatfeldolgozót e Szerződés 1. sz. mellékletében részletezett adatkezelési feladatok elvégzésével.

5. Az Adatkezelő feladatai és kötelezettsége

5.1. Az Adatkezelő a személyes adatok kezelésének céljait és eszközeit maga határozza meg, szavatolja, hogy az adatkezelés megfelelő jogalappal és jogszerű célból történik.

5.2. Az Adatkezelő – adatkezelésre vonatkozó döntéseinek végrehajtására – utasításokat ad az Adatfeldolgozó részére, e Szerződésben foglalt feladatok megfelelő ellátásának biztosítása érdekében. Az Adatkezelő az adatkezelésre vonatkozó utasításait az 1. mellékletben megadott kapcsolattartó útján elektronikus levélben írásban juttatja el az Adatfeldolgozónak. A Felek megállapodnak, hogy ebben a körben az e-mailben megküldött utasításokat írásbelinek ismerik el. Az utasítás kézhezvételét a kézbesítésről szóló üzenet megérkezése igazolja.

5.3. A Szerződésben meghatározott feladatokkal kapcsolatos utasításai jogszerűségéért az Adatkezelőt terheli felelősség, ugyanakkor – a 6.4. pontban foglaltakkal összhangban – az Adatfeldolgozó köteles haladéktalanul – a szükséges részletezettségű indokolás mellett – jelezni az Adatkezelőnek, amennyiben az Adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne.

5.4. Az Adatkezelő bármikor jogosult ellenőrizni az Adatfeldolgozónál e Szerződés szerinti tevékenység végrehajtását abból a szempontból, hogy az Adatfeldolgozó a tevékenysége során megfelel-e a jogszabályban, e Szerződésben rögzített rendelkezéseknek, valamint az Adatkezelő írásbeli utasításaiban foglaltaknak. Az Adatkezelő a vizsgálat megállapításait közli az Adatfeldolgozóval. Az Adatfeldolgozó vállalja, hogy az Adatkezelő rendelkezésére bocsát minden olyan, számára rendelkezésre álló információt, amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

5.5. Az adatkezeléssel kapcsolatban az érintettektől érkező kérelmekkel vagy bármely hatóságtól érkező megkeresésekkel kapcsolatos döntéseket az Adatkezelő hozza meg, ezzel kapcsolatban az Adatkezelő az Adatfeldolgozót utasíthatja.

6. Az Adatfeldolgozó feladatai és kötelezettsége

6.1. Az Adatfeldolgozó az érintettek személyes adatait az Adatkezelő nevében, kizárólag e Szerződés és az Adatkezelő írásbeli, dokumentált utasításai alapján kezeli. Az Adatfeldolgozó kizárólag a megbízás tárgyát képező technikai adatkezelési műveletek végrehajtására jogosult. Az Adatfeldolgozó a kezelt adatok tekintetében az Adatkezelő erre vonatkozó írásbeli, dokumentált utasításának hiányában saját maga nem járhat el adatkezelőként, az adatokat harmadik fél felé nem továbbíthatja és az adatokat harmadik fél, mint Adatkezelő helyett és nevében nem kezelheti. Az Adatfeldolgozó biztosítja, hogy az e megállapodás alapján végzett adatkezelés az általa végzett egyéb adatkezeléstől megfelelően elkülönül.

6.2. Az Adatfeldolgozó a személyes adatokat e Szerződésben meghatározott cél(ok)ból kezelheti. Az Adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatkezelési műveletet nem végezhet, valamint az Adatkezelő rendelkezései szerint köteles az adatokat tárolni, illetve megőrizni. Az adatok e cél(ok)on kívüli kezelése, az adatok Adatfeldolgozó általi saját célra történő kezelése vagy harmadik félnek nyújtott adatkezelési tevékenység során való kezelése, felhasználása a Szerződés súlyos megszegésének minősül.

6.3. A 6.1 és 6.2. pont rendelkezései nem alkalmazhatók, ha valamely adatkezelési műveletet az Adatfeldolgozóra alkalmazandó jogszabály írja elő. Ebben az esetben az alkalmazandó jogszabályi rendelkezésről az Adatfeldolgozó az Adatkezelőt az adatkezelési műveletet megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály tiltja.

6.4. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy véli, hogy az Adatkezelő valamely utasítása jogszabályba ütközik. Jogszabályba ütköző utasítás esetén az Adatfeldolgozó az Adatkezelő utasításait megtagadhatja.

6.5. Az Adatfeldolgozó a Szerződésben meghatározott feladatok ellátása érdekében megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles igénybe venni. Köteles továbbá gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi, adatbiztonsági rendelkezésekről, a jelen Szerződésben foglalt kötelezettségekről, valamint az adatkezelés céljáról és módjáról. Az Adatfeldolgozó gondoskodik arról, hogy bármely, irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy az 1. sz. melléklet szerinti adatokat kizárólag az Adatkezelő utasításának megfelelően kezelje, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jogszabály kötelezi. Az Adatfeldolgozó gondoskodik továbbá arról, hogy az 1. sz. melléklet szerinti adatokhoz kizárólag, azon irányítása alatt eljáró személyek férjenek hozzá, akik arra felhatalmazást kaptak.

6.6. Az Adatfeldolgozó biztosítja, hogy az adatkezelésben résztvevő személyek/munkavállalók megfelelő adatvédelmi oktatásban részesültek, így különösen az Adatfeldolgozó szavatolja, hogy az általa a Szerződés teljesítéséhez igénybe vett munkavállalók és más személyek megfelelő ismeretekkel rendelkeznek a személyes adatokhoz kapcsolódó kockázatokról, valamint a Rendelet kötelező előírásairól. Az oktatás megtörténte megfelelően dokumentált és az erre vonatkozó dokumentációt az Adatfeldolgozó bármikor az Adatkezelő számára be tudja mutatni/rendelkezésre bocsátja.

6.7. Az Adatfeldolgozó – a 7. fejezetnek megfelelően – köteles gondoskodni az általa kezelt, papíron, illetve elektronikusan tárolt adatok megfelelő védelméről. Az Adatfeldolgozó az e kötelezettsége megsértéséből eredő kárért teljes körű felelősséggel tartozik.

6.8. Az adatkezeléssel kapcsolatban az érintettektől érkező kérelmeket vagy bármely hatóságtól az Adatfeldolgozóhoz érkezett megkereséseket az Adatfeldolgozó köteles a beérkezéstől számított [3] munkanapon belül továbbítani az Adatkezelő részére. Az Adatkezelő válaszának előkészítéshez az Adatfeldolgozó – az Adatkezelő kérésére és az általa megszabott határidőn belül – köteles a szükséges információt és támogatást megadni. Az Adatfeldolgozó együttműködik az Adatkezelővel a hatósági megkeresésekkel kapcsolatos intézkedések végrehajtásában.

6.9. Abban az esetben, ha az Adatkezelőnek adatvédelmi hatásvizsgálatot kell elvégeznie, az Adatfeldolgozó minden szükséges információt megad, együttműködik az Adatkezelővel a hatásvizsgálat elvégzése céljából.

6.10. Amennyiben Adatfeldolgozónál a Szerződés teljesítése során bármikor olyan körülmény áll elő, mely akadályozza az időben történő teljesítést, úgy az Adatfeldolgozó haladéktalanul, de legkésőbb [3] munkanapon belül írásban értesíti az Adatkezelőt a késedelemről, annak várható időtartamáról és okairól. A Felek egyeztetnek az Adatfeldolgozónál felmerült körülményről és megállapodnak a késedelem orvoslására rendelkezésre álló időtartamról. Ha az időtartam eredménytelenül telik el, az Adatkezelő indoklás nélkül azonnali hatállyal a jelen Szerződést felmondhatja.

7. Adatbiztonság

7.1. Felek rögzítik, hogy az adatbiztonsági követelményrendszer a személyes adatok védelmének – a Rendelet 32. cikkének megfelelő – technikai és szervezési intézkedésekkel, valamint fizikai és informatikai megoldásokkal történő támogatását jelenti a kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés megakadályozása érdekében; továbbá a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása érdekében.

7.2. Az Adatfeldolgozó köteles betartani az Adatkezelőnél alkalmazott adatbiztonsági előírásokat. Az adatbiztonsági előírásokat a 3. sz. melléklet tartalmazza. Amennyiben a Szerződés hatálya alatt az Adatkezelő a 3. sz. melléklet szerinti adatbiztonsági előírásoktól el kíván térni, azt írásban jelzi az Adatfeldolgozó részére (változáskérés). Az Adatfeldolgozó a változáskérésben foglaltak teljesíthetőségét [15] napon belül megvizsgálja, és ajánlatot tesz az Adatkezelőnek a változáskérés teljesítéséhez szükséges többletdíjazásról, valamint a változáskérés teljesítésének ütemezéséről.

7.3. Az Adatfeldolgozó köteles az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást kialakítani és folyamatosan működtetni.

7.4. Az Adatfeldolgozó a fentieknek megfelelően

1. gondoskodik arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra feljogosított személyek és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá,

2. gondoskodik a felhasznált eszközök szükséges, rendszeres karbantartásáról, fejlesztéséről,

3. az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helyiségben helyezi el, gondoskodik a helyiség fizikai védelméről is.

8. Titoktartás

8.1. A Felek az Alapszerződés (amennyiben ilyen megkötésre kerül) és a jelen Szerződés során a másik Féllel, annak működésével kapcsolatban tudomásukra jutott üzleti titkot időbeli korlátozás nélkül bizalmasan kezelik. Üzleti titoknak minősül a gazdasági tevékenységhez kapcsolódó bármely olyan tény, tájékoztatás, információ, megoldás vagy egyéb adat (beleértve az adatból levonható következtetéseket és az azokból készült összeállításokat is), függetlenül annak megjelenési formájától, amelyet a Fél a tevékenységével összefüggésben a másik Félnek átad vagy amely az Alapszerződés (amennyiben ilyen megkötésre kerül) és a jelen Szerződés teljesítése során egyébként a másik Fél tudomására jut. Üzleti titoknak minősülnek különösen a szabályzatok, a védett ismeretek, az informatikai és fizikai hozzáférés ellenőrzését biztosító adatok (felhasználónevek és jelszavak), üzleti vagy üzemi folyamatok és módszerek, tervek, specifikációk, pénzügyi, marketing és értékesítési adatok, ügyféllisták, szoftverek és adatbázisok, valamint az Adatkezelő által kezelt személyes adatok. Nem minősül üzleti titoknak az az információ, amely az adott felhasználási területen közismert vagy nyilvánosan, bárki számára közvetlenül hozzáférhető. Nem üzleti titok az sem, amit a jogosult Fél kifejezetten „nyilvánosként” vagy „nem bizalmasként” megjelölve adott át a másik Félnek. Az üzleti titok átadására vagy nyilvánosságra hozatalára egyik Fél sem jogosult, kivéve:

1. ha az üzlet titok nyilvánosságra hozatalát vagy meghatározott harmadik személlyel való közlését a Felek vonatkozásában jogszabály írja elő;

2. a Fél az üzleti titkot az Alapszerződésben (amennyiben ilyen megkötésre kerül) vagy a jelen Szerződésben foglaltaknak megfelelően igénybe vett közreműködőjének továbbítja, feltéve, hogy ha a továbbítás az Alapszerződés (amennyiben ilyen megkötésre kerül), illetőleg a jelen Szerződés teljesítéséhez szükséges;

3. a Felet az üzleti titok továbbítására vagy nyilvánosságra hozatalára hatósági vagy bírósági határozat, illetve intézkedés kötelezi, feltéve, hogy a Fél e kötelezettségéről – jogi lehetőségeihez mérten – haladéktalanul értesítette a másik Felet.

8.2. Az Adatfeldolgozó biztosítja, hogy az 1. sz. melléklet szerinti személyes adatok kezelésére feljogosított személyek legalább az Alapszerződésben (amennyiben ilyen megkötésre kerül), illetőleg a jelen Szerződésben foglaltakkal azonos terjedelmű titoktartási kötelezettséget vállalnak vagy igazolja, hogy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak. A titoktartási kötelezettség nem vonatkozik az érintett számára, a Szerződésben vagy az adott Félre kötelező jogszabályban foglaltaknak megfelelően nyújtott tájékoztatásra. Az Adatfeldolgozó a titoktartási kötelezettség vállalását megfelelően dokumentálja és az erre vonatkozó dokumentációt bármikor az Adatkezelő számára be tudja mutatni/rendelkezésére bocsátja.

8.3. Adatfeldolgozó kötelezettséget vállal arra, hogy az Alapszerződés (amennyiben ilyen megkötésre kerül), illetőleg a jelen Szerződés teljesítése során, azzal összefüggésben a birtokába jutott, az 1. sz. melléklet szerinti személyes adatot tartalmazó iratokról, dokumentumokról másolatot, kivonatot csak Adatkezelő előzetes engedélyével készít, és ezen iratokba harmadik személy részére – az Alapszerződés (amennyiben ilyen megkötésre kerül), illetőleg a jelen Szerződés kifejezett eltérő rendelkezése hiányában – betekintést nem ad, illetve semmilyen más módon nem hozza harmadik személy tudomására azok tartalmát.

8.4. A titoktartási kötelezettség Adatfeldolgozót a Szerződés teljesítésére, illetőleg megszűnésére tekintet nélkül, határidő nélkül terheli. A titoktartási kötelezettség megsértésével okozott kár megtérítéséért a károkozó Felet teljes körű kártérítési felelősség terheli. Ha az Adatfeldolgozó által a személyes adatok kezelésére feljogosított személy a titoktartásra vonatkozó kötelezettségét megszegi, úgy kell tekinteni, mintha a titoktartási kötelezettséget az Adatfeldolgozó sértette volna meg.

8.5. Amennyiben bármely harmadik fél az 1. sz. melléklet szerinti személyes adatok jogellenes kezelése vagy az érintetti jogok megsértése miatt az Adatkezelő ellen keresetet indít, az Adatfeldolgozó köteles az Adatkezelő pernyertessége érdekében az Adatkezelő perbehívására beavatkozóként a perben csatlakozni.

9. További adatfeldolgozó igénybevétele

9.1. Az Adatfeldolgozó az Adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az Adatkezelő a 2. sz. melléklet szerinti további adatfeldolgozók igénybevételét jóváhagyja. Az Adatfeldolgozó előzetesen írásban tájékoztatja az Adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét, vagy amely a további adatfeldolgozók személyében történő változást jelenti. A tájékoztatásban az Adatfeldolgozó megadja a megbízni kívánt további adatfeldolgozó megnevezését, székhelyét, az adatkezelés tényleges helyét, a további adatfeldolgozó által végzett adatkezelési tevékenységet és a további adatfeldolgozóra és az általa végzett tevékenységre vonatkozó minden egyéb releváns információt, különösen az általa kezelt és feldolgozott személyes adatok védelmét szolgáló biztonsági intézkedések leírását. Az Adatfeldolgozó a további adatfeldolgozóval az adatkezelési tevékenység végzése céljából – az e Szerződésben foglalt rendelkezésekkel azonos tartalommal – írásbeli szerződést köt.

9.2. A további adatfeldolgozónak vállalnia kell a szükséges technikai és szervezési intézkedések végrehajtását, így biztosítva a jogszabályokban előírt rendelkezéseknek való megfelelést.

9.3. Az Adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek teljesítéséért. Az Adatfeldolgozó a további adatfeldolgozó által okozott valamennyi kárért úgy felel, mintha a kár az ő tevékenysége során történt volna.

10. Adatkezelés harmadik országban

10.1. Amennyiben az Adatfeldolgozó által végzett adatkezelési műveleteket vagy azok egy részét harmadik országban végzik, az Adatfeldolgozó köteles a Rendelet V. fejezetében leírt rendelkezések szerint eljárni.

11. Eljárás az érintett jogainak gyakorlása során

11.1. Az érintettek személyes adataira vonatkozó jogainak gyakorlásával kapcsolatos megkeresések megválaszolása, az érintettek tájékoztatása az Adatkezelő kizárólagos feladata, melynek teljesítésében az Adatfeldolgozó minden támogatást megad az Adatkezelőnek.

11.2. Az érintettől érkezett, a személyes adatok kezelésére vonatkozó megkereséseket az Adatfeldolgozó – beérkezéstől számított [3] munkanapon belül – az Adatkezelő részére válaszadás céljából az érintett egyidejű értesítése mellett továbbítja az Adatkezelőnek.

11.3. Az Adatkezelő döntésének előkészítéshez az Adatfeldolgozó – az Adatkezelő kérésére és az általa megszabott határidőn belül – köteles a szükséges információt és támogatást megadni, beleértve azt is, ha az érintett az adatkezelés tárgyát képező személyes adatok másolatát kéri és a másolatot az Adatfeldolgozó tudja előállítani. Az Adatkezelő az érintettnek küldött válaszáról tájékoztathatja Xxxxxxxxxxxxxx kapcsolattartóját is.

11.4. Amennyiben az érintett a Rendelet 15. cikk (3) bekezdése szerinti másolatot kér az adatkezelés tárgyát képező személyes adatokról, a második másolattól számítva az Adatfeldolgozó a másolatért a Xxxxx által közösen megállapított, az Adatfeldolgozó költségein alapuló, ésszerű mértékű díjat számolhat fel, melyet az érintett az Adatkezelőnek fizet meg.

11.5. Az érintett adatainak helyesbítésére, törlésére, az adatkezelés korlátozására, az érintettnek az adatai kezelése elleni tiltakozására és az adathordozhatóságra vonatkozó kérelmének teljesítése a következőképpen történik: amennyiben az érintett kérelmét az Adatfeldolgozó tudja teljesíteni, az Adatkezelő a kérelem megalapozottságának megállapítását követően a kérelemnek megfelelő utasítással látja el az Adatfeldolgozót, aki azt indokolatlan késedelem nélkül teljesíti és erről az Adatkezelőt értesíti. Az érintett kérelmének teljesítéséről vagy annak elutasításáról az Adatkezelő tájékoztatja az érintettet.

11.6. További adatfeldolgozó igénybevétele esetén az Adatfeldolgozó az Adatkezelő érintett kérelmére vonatkozó utasítását továbbítja a további adatfeldolgozó felé. A további adatfeldolgozó az általa megtett intézkedésekről az Adatfeldolgozón keresztül tájékoztatja az Adatkezelőt. Szükség esetén a további adatfeldolgozó közvetlenül tájékoztatja az Adatkezelőt, az Adatfeldolgozó egyidejű értesítésével.

11.7. Az Adatfeldolgozó vállalja, hogy az Adatkezelő rendelkezésére bocsát minden olyan rendelkezésére álló információt, amely az érintetti jogok teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi.

11.8. Jelen fejezetben meghatározott panaszokat, kérelmeket Felek elektronikus úton továbbítják egymásnak.

12. Naplózás

12.1. Az Adatfeldolgozó elvégzi az adatfeldolgozási műveletek naplózását és egyúttal feljogosítja az Adatkezelőt vagy az általa megbízott ellenőrt az általa végzett adatkezelési műveletek ellenőrzésére. Az Adatfeldolgozó gondoskodik arról, hogy az általa igénybe vett adatfeldolgozók is elvégezzék az általuk végzett adatkezelési műveletek naplózását és biztosítsák annak ellenőrizhetőségét az Adatkezelő és az általa megbízott ellenőrök számára.

13. Ellenőrzés/audit

13.1. Az Adatkezelő – maga vagy harmadik fél bevonásával – bármikor ellenőrizheti, hogy az Adatfeldolgozó az Adatkezelő nevében végzett adatkezelési tevékenysége során betartja-e a vonatkozó jogszabályok előírásait, az adatvédelem alapelveit és e Szerződés rendelkezéseit.

13.2. A vizsgálatról az Adatkezelő az Adatfeldolgozót, illetve a további adatfeldolgozót a vizsgálatot megelőzően ésszerű időn belül írásban értesíti. Az Adatfeldolgozó, illetve a további adatfeldolgozó köteles együttműködni az Adatkezelővel a vizsgálat során. A vizsgálat során az Adatkezelő vagy az általa megbízott harmadik fél az Adatfeldolgozó, illetve a további adatfeldolgozó e Szerződéssel összefüggésben végzett adatkezeléssel érintett helyiségeibe beléphet, az adatkezelésre vonatkozó dokumentumokat, szabályzatokat, nyilvántartásokat és az informatikai rendszereket ellenőrizheti. A vizsgálatról készített jelentés megállapításairól az Adatkezelő tájékoztatja az Adatfeldolgozót, illetve a további adatfeldolgozót. Az Adatfeldolgozó, illetve a további adatfeldolgozó a jelentés megállapításaira azok közlésétől számított öt munkanapon belül észrevételt tehet, a vizsgálat során megállapított megteendő intézkedések elvégzésére vonatkozóan azok közlésétől számított ésszerű időn belül tájékoztatást köteles adni.

13.3. A vizsgálat költségét az Adatkezelő viseli, kivéve, ha a vizsgálat során megállapítást nyer, hogy az Adatfeldolgozó, illetve a további adatfeldolgozó mulasztásából eredően további vizsgálat elvégzése szükséges, vagy ha a vizsgálat megállapításai alapján valamilyen jogszabályi vagy szerződésben vállalt kötelezettségnek való megfeleléshez az Adatfeldolgozó részéről további intézkedésre van szükség.

13.4. Az Adatkezelő és az általa megbízott harmadik fél az Adatfeldolgozóra vonatkozó, a vizsgálat során a tudomására jutott üzleti titkot bizalmasan, a jelen Szerződés és az Alapszerződés titokvédelmi rendelkezéseinek megfelelően kezeli.

14. Adatvédelmi incidens

14.1. A Felek rögzítik, hogy – a Rendelet 33. cikkében foglaltaknak megfelelően – az Adatkezelő adatvédelmi incidens-nyilvántartást vezet.

14.2. A jogszabályban meghatározott adatkezelői kötelezettségek teljesítése érdekében az Adatfeldolgozó a Rendelet 4. cikk 12. pont szerinti adatvédelmi incidensekről, az azokról való tudomásszerzést követően indokolatlan késedelem nélkül köteles bejelenteni az Adatkezelőnek és az Adatkezelő adatvédelmi felelősének. Az incidenssel kapcsolatosan a következő információkat kell az Adatkezelővel megosztani:

• az adatvédelmi incidens leírása, jellege, időpontja, tartama, az érintettek és az érintett személyes adatok köre és száma;

• az incidensből eredő már bekövetkezett, vagy várható következmények;

• az incidens orvoslására tett intézkedések és az incidensből eredő esetleges negatív következmények enyhítését szolgáló intézkedések;

• az adatvédelmi incidenssel összefüggő minden egyéb releváns információ.

14.3. Az Adatfeldolgozó megtesz minden szükséges intézkedést, valamint együttműködik az Adatkezelő adatvédelmi tisztviselőjével és más közreműködő szervezeti egységgel az adatvédelmi incidens okának feltárásban, orvoslásában és az incidens esetleges negatív következményeinek felszámolásában.

14.4. Ha az incidens az Adatfeldolgozó több megbízóját is érinti, az Adatfeldolgozó az incidens okainak feltárásánál és a következmények elhárításánál az Adatkezelőt előnyben részesíti.

14.5. Adatvédelmi incidensnek (Rendelet 4. cikk 12. pont) a biztonság olyan sérülése minősül, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

15. Kártérítés

15.1. Adatfeldolgozó köteles megtéríteni minden olyan kárt, amely az Adatkezelőnél, vagy harmadik félnél az Adatfeldolgozó mulasztásából, az Adatkezelő utasításainak figyelmen kívül hagyásából vagy megszegéséből, továbbá az adatvédelmi alapelvek, előírások, a vonatkozó jogszabályok és e Szerződés rendelkezéseinek megszegéséből erednek.

16. Az adatok a jelen Szerződés megszűnését vagy megszüntetését követően

16.1. A jelen Szerződés bármely okból való megszűnését vagy megszüntetését követően – az Adatkezelő döntésének megfelelően – az Adatfeldolgozó az adatkezelési tevékenység során birtokába került minden adatot vagy töröl, vagy az Adatkezelő által meghatározott struktúrában visszajuttat az Adatkezelőnek és törli a meglévő másolatokat, kivéve, ha az Adatfeldolgozóra kötelező jogszabály az adatok további tárolását írja elő. Az adattörlést úgy kell elvégezni, hogy az adatok helyreállítása a továbbiakban ne legyen lehetséges.

17. Utasítás kiadására jogosult(ak), kapcsolattartók

17.1. Az Adatkezelő jelen Szerződés teljesítésével kapcsolatos utasításainak kiadására az 1. sz. mellékletben meghatározott személy jogosult. Az Adatkezelő és az Adatfeldolgozó elektronikus úton az 1. sz. mellékletben meghatározott kapcsolattartókon keresztül tart kapcsolatot.

17.2. Az utasítás kiadására jogosult és a kapcsolattartó személyében bekövetkezett változásról a Felek haladéktalanul értesítik egymást.

18. A Szerződés hatálya, felülvizsgálata

18.1. A Szerződés aláírásának napján lép hatályba.

18.2. A Felek szükség esetén, de legalább [évente] / [két évente] felülvizsgálják e Szerződést és a Szerződés alapján végzett adatkezelési tevékenységet.

18.3. A Felek haladéktalanul tájékoztatják egymást a Szerződéssel érintett adatkezelési tevékenységet érintő bármilyen lényeges változásról.

19. A Szerződés felmondása/megszüntetése

19.1. A Szerződést a Felek a 2.1. pont szerinti szerződéssel megegyező időtartamra kötik.

19.2. A Szerződés megszűnése a titoktartási rendelkezések hatályát nem érinti.

19.3. Amennyiben valamelyik Fél észleli, hogy a másik Fél tevékenysége jogszabályba vagy e Szerződésbe ütközik, írásban haladéktalanul felhívja a másik Felet, hogy tevékenységét a jogszabályoknak és e Szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a felszólított Fél a tevékenységét továbbra is jogszabálysértő, illetve ismételten vagy súlyosan szerződésszegő módon végzi, a felszólítást küldő Fél jogosult a jelen Szerződést azonnali hatállyal felmondani. A követelmények súlyos megsértésének minősül különösen, ha az Adatfeldolgozó nem teszi meg, illetve megsérti a szükséges technikai és szervezési intézkedéseket, arra nem jogosult személyek férnek hozzá az adatokhoz, megtagadja az együttműködést az érintett jogainak gyakorlásával vagy az Adatkezelő által végzett audit vagy helyszíni vizsgálattal összefüggésben, elmulasztja értesíteni az Adatkezelőt a tudomására jutott adatvédelmi incidensről.

Felek kijelentik, hogy a jelen Szerződés tartalmát megismerték, és azt, mint akaratukkal mindenben megegyezőt felhatalmazott képviselőik útján aláírják.

Kelt: …

[cégnév] Adatkezelő [aláíró neve, beosztása] [cégnév] Adatfeldolgozó [aláíró neve, beosztása]

Adatkezelési tevékenység

A Szerződés tárgya:

Az adatkezelés célja:

Az adatkezeléssel érintettek:

A kezelt adatok:

Az adatkezelési tevékenység végzésének helye:

További Adatfeldolgozó:

Utasítás kiadására jogosult, kapcsolattartó, adatvédelmi tisztviselő (ha van)

Az Adatkezelő utasításainak kiadására jogosult:név; elérhetősége:

Kapcsolattartók:

Adatkezelő kapcsolattartójának a neve, elérhetősége:

Adatfeldolgozó kapcsolattartójának a neve, elérhetősége:

Adatvédelmi tisztviselők (ha van):

Adatkezelő adatvédelmi tisztviselőjének a neve: elérhetősége:

Adatfeldolgozó adatvédelmi tisztviselőjének a neve: elérhetősége:

A kapcsolattás módja: elektronikus levélben vagy írásban

Adatbiztonsági előírások

Az Adatfeldolgozó kockázat arányos műszaki intézkedéseket alkalmaz az 1. sz. melléklet szerinti személyes adatok védelme érdekében az alábbiak figyelembe vételével:

(a) a személyes adatokat tároló és kezelő informatikai rendszerekhez való hozzáférés kontrollja a hatályos jogszabályok szerinti követelményeknek és az iparági legjobb gyakorlatnak megfelel;

(b) a személyes adatokat tároló és kezelő informatikai rendszerekhez való hozzáférés kapcsán a legkisebb jogosultság elvét alkalmazza, gondoskodik a felelősségek szétválasztásáról és rendszeresen ellenőrzi a hozzáférésre jogosultak körét;

(c) a személyes adatokat tároló és kezelő informatikai rendszer megfelelő hálózati határvédelemmel és szegmentációval védett, valamint a hálózati kommunikáció védelme is biztosított;

(d) a személyes adatokat tároló és kezelő informatikai rendszer rendszeres mentése és tárolása szabályozott és megfelel az iparági legjobb gyakorlatnak;

(e) a személyes adatokat tároló és kezelő informatikai rendszerek üzemmenet-folytonosságának biztosítása érdekében a rendszerek redundáns működéséről gondoskodik;

(f) gondoskodik a személyes adatok kezelésével kapcsolatos minden egyes tevékenység teljes körű naplózásáról, valamint a naplók bizalmasságáról, rendelkezésre állásáról, sértetlenségéről és letagadhatatlanságáról;

(g) a személyes adatokat tároló és kezelő informatikai rendszer tekintetében megfelelő biztonsági események kezelésére alkalmas képességet kell kialakítania, amely magában foglalja a megfelelő előkészítést, észlelést, elemzést, behatárolást, helyreállítást és a felhasználói válaszok kezelése tevékenységeket;

(h) kártékony kódok elleni védelem bevezetése, üzemeltetése, naprakészen tartása;

(i) a felhasználó azonosítása, hitelesítése, jelszómenedzsmentje szabályozott és ellenőrzött, figyelemmel az iparági legjobb gyakorlatra;

(j) a fenti intézkedések megfelelő szinten dokumentáltak, amely átlátható módon biztosítja az adatbiztonsági követelmények megvalósulásának nyomon követhetőségét.

Az Adatfeldolgozó a személyes adatok védelméről a következő szervezési intézkedésekkel gondoskodik:

(a) az adatvédelmi követelményeket már a személyes adatokat tároló és kezelő informatikai rendszer bevezetésének, a rendszer üzemeltetéséhez kapcsolódó folyamatok tervezési szakaszában is érvényesítette, vagy a rendszeren és a folyamatokon adatvédelmi felülvizsgálatot végzett;

(b) adatvédelmi tisztviselőt alkalmaz, akinek feladata az adatvédelmi elveknek az Adatfeldolgozó üzleti és műszaki folyamataiba való integrálása, a Rendeletben meghatározott és az adatkezelésre, adatbiztonságra vonatkozó más jogszabályok, követelmények, belső utasítások rendelkezéseinek megtartásának ellenőrzése, valamint felügyeli az adatvédelmi előírások betartását a számítástechnikai és informatikai rendszerek működése során;

(c) biztosítja, hogy munkatársai a személyes adatok védelmével kapcsolatos követelményekről megfelelő ismeretekkel rendelkezzenek, e munkavállalóknak rendszeres adatvédelmi és információbiztonsági oktatást tart;

(d) a személyes adatokhoz hozzáférésre jogosultak körét jogosultságkezeléssel korlátozza;

(e) információbiztonsági irányítási rendszert (IBIR) alakít ki, vezet be, tart fenn illetve folyamatosan nyomon követi és fejleszti az információbiztonsági tevékenységét.

1