Közös adatkezelői megállapodás
Közös adatkezelői megállapodás
amely egyrészről a
Xxxxxx Xxxxxxxxx E.V.
Székhely: 1135 Xxxxxxxx, Xxxxxx xxxx 0/X. fsz 8.
EV nyilvántartási szám: 50225215
Adószám: 67432626-1-41
valamint
Tűzhangya-Team KFT
Székhely: 4097 Tiszagyulaháza, Bartók u. 12.
Cégjegyzékszám: 09 09 022587
Adószám: 23811193-2-09
mint adatkezelő (a továbbiakban: Adatkezelők)
I. A megállapodás tárgya
1. Az Adatkezelők rögzítik, hogy felnőttképzési szolgáltatást, illetve e körben különböző tanfolyamokat, képzéseket szerveznek és tartanak, elsődlegesen az Adatkezelők weboldalán (xxxx://xxxxxxxx/) (a továbbiakban: Weboldal), illetve Facebook oldalán (xxxxx://xxx.xxxxxxxx.xxx/xxxxxxxx/) (a továbbiakban: Facebook oldal) keresztül, az arra jelentkezők, illetve azon résztvevők (a továbbiakban: Érintett(ek)) részére. Az Adatkezelők rögzítik továbbá, hogy a Weboldalt alapvetően Adatkezelő 1 kezeli, azonban alapvetően valamennyi Adatkezelő folytat tanfolyamok, képzések szervezésével és megtartásával kapcsolatos tevékenységet az Adatkezelők képzettsége és időbeosztásának, elérhetőségének figyelembevételével.
2. A 2018. május 25. napjától alkalmazandó, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (általános adatvédelmi rendelet) (a továbbiakban: GDPR) 26. cikke alapján amennyiben az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a GDPR szerinti kötelezettségek teljesítéséért fennálló, különösen az Érintett jogainak gyakorlásával és az Érintett tájékoztatásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását. Az Adatkezelők erre tekintettel, mint közös adatkezelők a jelen szerződésben foglalt megállapodást kötik.
3. Hangsúlyozandó, hogy az Adatkezelők elkészítették a fenti tevékenységükhöz kapcsolódó személyes adatkezelésre vonatkozó tájékoztatót (a továbbiakban: Tájékoztató) is, amelyet az Érintettek – GDPR 13. és 14. cikke szerinti – tájékoztatása céljából használnak. A tájékoztatásra sor kerül a Weboldalon, a Facebook oldalon és (élőben tartott képzések esetén) az adott képzés helyén is.
II. Közös adatkezelési cél
1. A jelen megállapodás értelmében az Adatkezelők a fenti X. xxxxxxx írt tevékenységüket közösen szervezik, illetve folytatják, e körben pedig közös adatkezelőként kezelik az Érintettek személyes adatait. Hangsúlyozandó, hogy előfordulhatnak olyan esetek is, amikor az adott Érintett(ek) személyes adatait kizárólag egy Adatkezelő vagy a fenti Adatkezelők közül csak kettő kezeli, és kizárólag ezen Adatkezelővel/Adatkezelőkkel áll kapcsolatban az adott Érintett. Ilyen eset merülhet fel különösen, ha az irányadó, Érintettel vagy az általa képviselt személlyel, szervezettel kötött megállapodás szerint kizárólag egy adott, vagy kettő Adatkezelő a másik fél, és a szerződést is kizárólag ezen Adatkezelő(k) teljesíti(k) (például: kizárólag egy vagy két Adatkezelő által szervezett és folytatott képzés, kizárólag egy vagy kettő Adatkezelő és saját szerződéses partnere/partnerük közötti szerződéses teljesítés és kommunikáció). Ilyen esetekben a
jelen Tájékoztatóban és az adott Adatkezelő(k) által esetlegesen adott további tájékoztatásban foglaltak azzal irányadók, hogy kizárólag ezen külön Adatkezelő vagy Adatkezelők járnak el, és minősül(nek) adatkezelőnek (egy Adatkezelő esetén önálló adatkezelőnek, két Adatkezelő esetén eltérő tájékoztatás hiányában közös adatkezelőnek).
III. A közös adatkezelési cél megvalósítása érdekében kezelt személyes adatok
1. A közös adatkezelési cél megvalósítása érdekében az Adatkezelők az Érintettek Tájékoztatóban meghatározott személyes adatait közösen kezelik, így különösen: egymással megosztják, egymás részére továbbítják, az azokkal kapcsolatos adatkezelési műveletekről (például: törlés, az adatkezelés korlátozása/zárolás) egymással lehetőség szerint előzetesen egyeztetnek.
2. Az Adatkezelők hangsúlyozzák, hogy amennyiben kizárólag egy vagy két Adatkezelő kezeli adatkezelőként az adott Érintett(ek) személyes adatait, úgy ezen Adatkezelő(k) az adott Érintetteket egyértelműen tájékoztatják arról, hogy kizárólag ők járnak el Adatkezelőként.
IV. Az adatkezelés jogalapja és egyéb jellemzői
1. Az adatkezelés jogalapja, valamint az Adatkezelők által folytatott adatkezelések egyéb jellemzői a Tájékoztatóban kerültek ismertetésre. Az Adatkezelők vállalják, hogy a Tájékoztatóban foglaltakat folyamatosan figyelemmel kísérik, és amennyiben annak szükségessége merülne fel (különösen az adatkezelések megváltozása vagy új adatkezelés végzése esetén), úgy a Tájékoztatóban írtakat módosítják vagy kiegészítik, illetve áttekintik tájékoztatási gyakorlatukat is. Az Adatkezelők vállalják továbbá, hogy a Tájékoztatóban írt adatkezelés időtartamának leteltét követően az érintett személyes adatokat haladéktalanul és visszaállíthatatlan módon törlik (ideértve különösen: elektronikus dokumentumok végleges és helyreállíthatatlan törlése, papíralapú dokumentumok ledarálása).
V. Adatfeldolgozó igénybevétele
1. Az Adatkezelők vállalják, hogy a közös adatkezelésük kapcsán igénybe vett adatfeldolgozókról előzetesen egyeztetnek, és áttekintik az adott adatfeldolgozó által nyújtott adatbiztonsági intézkedéseket. Az Adatkezelők kizárólag olyan adatfeldolgozót vehetnek igénybe, aki vagy amely megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfelelését és az Érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
2. Az Adatkezelők a fentiek szerinti közös adatkezelésük kapcsán igénybe vett adatfeldolgozó személyéről, illetve az adatfeldolgozó személyét érintő minden változásról mind a további Adatkezelőket, mind az Érintettet tájékoztatni kötelesek (elsődlegesen a Tájékoztató útján).
3. Az Adatkezelők kötelesek az általuk igénybe vett adatfeldolgozóval a GDPR 28. cikk (3) bekezdése alapján – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az Érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó
– írásbeli szerződést kötni, ezáltal garantálni azt, hogy az adatfeldolgozó tevékenysége a GDPR rendelkezéseinek megfelel. Az Adatkezelők kötelezhetik egymást az adatfeldolgozóval kötött szerződés megkötésének a további Adatkezelők részére való igazolására (például: az adott szerződés bemutatásával). Az Adatkezelők egymással szemben az adatfeldolgozó tevékenységéért úgy felelnek, mintha maguk látnák el az adatfeldolgozó által végzett tevékenységet.
4. Hangsúlyozandó, hogy az Adatkezelők a saját, önállóan végzett adatkezelésük kapcsán igénybe vett adatfeldolgozókért kizárólagos felelősséggel tartoznak, és ezen adatfeldolgozóról önállóan kötelesek tájékoztatni az ezen adatkezelésük által érintetteket. Amennyiben azonban az önállóan igénybe vett adatfeldolgozó tevékenységét a közösen folytatott adatkezeléshez is
felhasználják, úgy ezen adatfeldolgozó vonatkozó adatkezelése kapcsán a jelen V. pontban
írtak irányadónak tekintendők.
VI. Adattovábbítás harmadik országba
1. Az Adatkezelők a személyes adatok Európai Unión kívüli harmadik országbeli továbbítására kizárólag egymással való közös egyeztetés után jogosultak, a harmadik országbeli esetleges adattovábbításról pedig – elsődlegesen a Tájékoztató útján – kötelesek az Érintetteket is tájékoztatni.
VII. Adatbiztonság
1. Az Adatkezelők gondoskodnak a jelen megállapodással érintett személyes adatok biztonságáról, megteszik továbbá azokat a technikai és szervezési intézkedéseket és kialakítják azokat az eljárási szabályokat, amelyek biztosítják, hogy a felvett, tárolt, illetve egyéb módon kezelt személyes adatok védettek legyenek, illetőleg megakadályozzák azok megsemmisülését, jogosulatlan felhasználását, megváltoztatását, az esetleges sérülését, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válását.
2. Az Adatkezelők a személyes adatok kezelésével, illetve tárolásával érintett számítástechnikai eszközeiket úgy helyezik el, hogy a személyes adatokhoz csak arra jogosult személyek legyenek képesek fizikailag is hozzáférni. Ezzel összefüggésben biztosítják a számítástechnikai eszközeik folyamatos, szakszerű karbantartását, továbbá az adathordozókat biztonságos környezetben tárolják, azok selejtezését biztonságos módon, dokumentáltan hajtják végre.
3. Az Adatkezelők a különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítják, hogy a nyilvántartásokban tárolt adatok – kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók az Érintettel. Az Adatkezelők a papíralapú nyilvántartások védelme érdekében megteszik a szükséges intézkedéseket, különös tekintettel a jogosulatlan hozzáférés és tűzvédelem tekintetében.
4. Az Adatkezelők az általuk alkalmazott informatikai eszközöket úgy választják meg, hogy a kezelt adat az arra feljogosítottak számára hozzáférhető, hitelessége biztosított, változatlansága igazolható, valamint a jogosulatlan hozzáférés ellen védett legyen. Az Adatkezelők informatikai rendszere és hálózata egyaránt védett a számítógéppel támogatott csalás, kémkedés, szabotázs, vandalizmus, tűz és árvíz, továbbá a számítógépes vírusok, a számítógépes betörések és a szolgálatmegtagadásra vezető támadások ellen. Az Adatkezelők a biztonságról szerverszintű és alkalmazásszintű védelmi eljárásokkal gondoskodnak.
5. Az Adatkezelők az informatikai védelemmel kapcsolatos feladataik körében gondoskodnak különösen:
a) A jogosulatlan hozzáférés elleni védelmet biztosító intézkedésekről (szoftver és hardver eszközök védelme)
b) Az adatállományok vírusok elleni védelméről (vírusvédelem);
c) Az adatállományok, illetve az azokat hordozó eszközök fizikai védelméről (archiválás, tűzvédelem).
6. Az Adatkezelők egymással egyeztetnek továbbá egyéb lehetséges adatbiztonsági intézkedések (például: biztonsági mentések) alkalmazásának, valamint az Érintettek ezzel kapcsolatos tájékoztatásának szükségességéről.
7. Az Adatkezelők kötelesek minden, a jelen megállapodás szerinti személyes adathoz hozzáférő alkalmazottjukkal vagy alvállalkozójukkal titoktartási megállapodást aláíratni (ide nem értve a törvény alapján titoktartásra kötelezett személyeket). Az Adatkezelők biztosítják továbbá, hogy a személyes adatokhoz hozzáférő munkatársaik/alvállalkozóik szerződéses
jogviszonyának megszűnése esetén ezen személyek hozzáférési joga is megszűnik. Az Adatkezelők biztosítják a hozzáférés megszüntetését akkor is, ha az adathoz hozzáférő alkalmazottjuknak/alvállalkozójuknak feladatköre/szolgáltatási köre úgy változik, hogy többé már nem indokolt részére az adathoz való hozzáférést biztosítani.
8. Az Adatkezelők kötelezettséget vállalnak arra, hogy a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket alkalmaznak az adatkezelés teljes terjedelmére kiterjedően, valamint hogy ezen intézkedésekkel a lehető legteljesebb mértékben segítik egymást, hogy valamennyi Adatkezelő teljesíteni tudja a kezelt adatok Érintettek felé fennálló, az Érintettek információs önrendelkezési jogainak gyakorlásához kapcsolódó kötelezettségeit.
VIII. Jogok és kötelezettségek, az Érintettek tájékoztatása
1. A személyes adatok kezelésével kapcsolatban az Érintettektől érkező kérelmeket, megkereséseket vagy bármely hatóságtól érkezett megkereséseket az Adatkezelők kötelesek a beérkezéstől számított legkésőbb 1 munkanapon belül továbbítani a további Adatkezelők részére. Az Adatkezelők mindenkor kötelesek egymásnak megfelelő segítséget nyújtani az Érintettek jogai gyakorlásához kapcsolódó kérelmek megválaszolásában. Az Adatkezelő a további Adatkezelő(k) ilyen irányú kérése esetén, szükség szerint, 1 munkanapon belül köteles az adatkezeléssel kapcsolatos választ, tájékoztatást a további Adatkezelő (k) részére megadni.
2. Az Adatkezelők – különös tekintettel hatósági ellenőrzés, vagy adatvédelmi audit esetén - kötelesek az erre irányuló kérelem kézhezvételétől számított 1 munkanapon belül minden olyan információt a további Adatkezelő(k) rendelkezésére bocsátani, amely az adatkezelési tevékenység jogszerűségét és a jelen megállapodás betartását támasztja alá. Az Adatkezelők kötelesek továbbá a közös adatkezelés körében az ellenőrzés, illetve audit során a hatóságokkal kölcsönösen együttműködni.
3. Az Adatkezelők kötelesek az Érintettet a saját adatkezelési tevékenységükre vonatkozó, megfelelő tájékoztatással ellátni. A tájékoztatás során az Érintettel közölni kell, hogy az Adatkezelők a közös adatkezelési cél érdekében vagy önálló adatkezelőként járnak el, és közös adatkezelés esetén ismertetni kell vele a jelen megállapodás lényegi tartalmát, különös tekintettel az Érintett jogainak gyakorlására és kötelezettségeinek teljesítésére.
4. Az Adatkezelő a fentiek szerint kötelesek a GDPR. 13, illetve 14. cikkében írtak szerint tájékoztatni az Érintetteket.
IX. Az Érintett jogainak gyakorlása
1. Az Érintett a GDPR 15-22. cikkében megnevezett jogait valamennyi Adatkezelővel szemben közvetlenül gyakorolhatja azzal, hogy az Adatkezelők az Érintett kérelméről – különös tekintettel annak tárgyáról, valamint a kérelem kapcsán tervezett intézkedésekről – minden esetben kötelesek egymást haladéktalanul, de legkésőbb 1 munkanapon belül értesíteni, és a kérelmet érintő intézkedés megtétele érdekében kölcsönösen együttműködni. Az érintett jogainak gyakorlásával kapcsolatos értesítési címeket a Tájékoztató tartalmazza, ezt az Adatkezelők rendszeresen felülvizsgálják, szükség esetén pedig haladéktalanul módosítják, illetve kiegészítik.
X. Intézkedések adatvédelmi incidens esetén
1. Az Adatkezelők a bekövetkezett adatvédelmi incidensről haladéktalanul, de legkésőbb az arról való tudomásszerzéstől számított 24 órán belül – legalább az incidens bekövetkeztének időpontjáról, az incidens jellegéről, az érintett személyek és személyes adatok számáról, az
érintett adatok kategóriájáról, az incidensből eredő (valószínűsíthető) következményekről és az incidens orvoslására megtett vagy tervezett intézkedésekről – értesítik egymást. Adatvédelmi incidens esetén az Adatkezelők az incidens kezelésével kapcsolatban kötelesek együttműködni és minden olyan intézkedést megtenni, amely az incidens következményeinek enyhítését vagy megszüntetését célozza. Az Adatkezelők az incidens kezelése körében kötelesek egymásnak megadni mindazt a támogatást és információt, amely az incidens eredményes kezeléséhez vezethet.
XI. Felelősség
1. Az Adatkezelők az általuk közösen folytatott adatkezelésért közösen felelnek, az Érintett pedig mindegyik Adatkezelő vonatkozásában és mindegyik Adatkezelővel szemben gyakorolhatja a GDPR szerinti jogait. Az önállóan végzett adatkezelésük vonatkozásában az Adatkezelők önállóan felelnek, és az Érintetteket is önállóan tájékoztatják ezen adatkezelésekről, adatvédelmi jogaikról és jogorvoslati lehetőségeikről.
XII. Titoktartási kötelezettség
1. Az Adatkezelők vállalják, hogy a jelen megállapodással kapcsolatban vagy annak teljesítése során akár közvetlenül, akár közvetetten, bármilyen formában tudomásukra jutott valamennyi információt titokban tartják. A titoktartási kötelezettség a jelen megállapodás megszűnését követően is időbeli korlát nélkül kötelezi az Adatkezelőket. Hangsúlyozandó, hogy nem jelenti a titoktartási kötelezettség megsértését jogszabály vagy bírósági, illetve hatósági határozat kötelező rendelkezésének megsértése, az ilyen rendelkezésekről azonban az Adatkezelők lehetőség szerint, annak teljesítését megelőzően kötelesek egymást tájékoztatni, kivéve, ha jogszabály vagy bírósági, illetve hatósági határozat kötelező rendelkezése ezt megtiltja. A fentiekre tekintettel ugyancsak nem minősül a titoktartási kötelezettség megsértésének az Érintettek tájékoztatása személyes adataik kezeléséről, jogaikról és jogorvoslati lehetőségeikről, valamint a jelen megállapodás lényegéről.
XIII. Kapcsolattartás
1. Az Adatkezelők a jelen megállapodásban foglaltak betartásának ellenőrzése, valamint a kölcsönös együttműködés biztosítása érdekében a jelen megállapodásban fentebb jelölt kapcsolattartási adataikon tartanak egymással kapcsolatot. Az Adatkezelők vállalják továbbá, hogy bármely kapcsolattartási adat változása esetén egymással haladéktalanul egyeztetnek, és azokról szükség szerint az Érintetteket is haladéktalanul tájékoztatják. Az Adatkezelők mindemellett bármely egyéb elérhetőségük, adatváltozásuk (például: cégváltozások) esetén szükség szerint tájékoztatják az Érintetteket.
XIV. Hatály
1. Jelen megállapodás határozatlan időtartamra szól, és kiterjed az Adatkezelők által folytatott fentiek szerinti közös adatkezelésekre.
Az Adatkezelők a jelen megállapodást kölcsönösen elolvasták és értelmezték, és mint akaratukkal
mindenben egyezőt, jóváhagyólag írták alá.
Kelt: Budapest, 2022. 08. 01.