SAP TÁMOGATÁSRA ÉS PROFESSZIONÁLIS SZOLGÁLTATÁSOKRA VONATKOZÓ
SAP TÁMOGATÁSRA ÉS PROFESSZIONÁLIS SZOLGÁLTATÁSOKRA VONATKOZÓ
ADATFELDOLGOZÁSI SZERZŐDÉS
1. FOGALMAK
1.1. Jogosult felhasználó: bármely olyan személy, aki részére az Ügyfél hozzáférési jogosultságot ad egy SAP szoftverlicenccel összhangban az SAP Szolgáltatás használatához,
a) és aki az Ügyfél,
b) az Ügyfél kapcsolódó vállalatainak; vagy
c) az Ügyfél vagy az Ügyfél kapcsolódó vállalata Üzleti partnereinek alkalmazottja, megbízottja, szerződő fele vagy képviselője (a Szoftverlicenc és Támogatási szerződésben meghatározottak szerint).
1.2. Adatkezelő: az a természetes vagy jogi személy, hatóság, intézmény vagy más szerv, amely önállóan vagy másokkal együtt meghatározza a Személyes adatok feldolgozásának céljait és módját; a jelen Adatfeldolgozási szerződés értelmében amennyiben az Ügyfél valamely más Adatkezelő számára feldolgozást végez, akkor arra az SAP-hoz kapcsolódóan a jelen Adatfeldolgozási szerződés vonatkozó adatkezelői jogosultságaival és kötelezettségeivel rendelkező további, független Adatkezelőként kell tekinteni.
1.3. Adatvédelmi jogszabály: az egyének alapvető jogainak és szabadságjogainak és a magánélet tiszteletben tartásához való jogaiknak a Személyes adatok feldolgozásához kapcsolódó védelméről szóló vonatkozó jogszabály.
1.4. Érintett: valamely azonosított vagy azonosítható természetes személy, az Adatvédelmi jogszabályokban meghatározottak szerint.
1.5. Saját Trust Center: az SAP Support Portal-on (lásd: xxxxx://xxxxxxx.xxx.xxx/xx/xx- support/trust-center.html) vagy az SAP megállapodások weboldalon (lásd: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) vagy bármely más, az SAP által az Ügyfél számára rendelkezésre bocsátott weboldalon rendelkezésre álló információ.
1.6. Az új általános szerződéses feltételek szempontjából releváns adattovábbítás: olyan személyes adatok harmadik országba történő továbbítása (vagy továbbítása), amelyek a GDPR vagy az alkalmazandó adatvédelmi törvény hatálya alá tartoznak, és amelyek esetében a GDPR vagy az alkalmazandó adatvédelmi jogszabályok által előírt megfelelőségi eszköz az új általános szerződéses feltételek megkötésével biztosítható.
1.7. Új általános szerződéses feltételek: az Európai Bizottság által közzétett változatlan általános szerződéses feltételek, a 2021/914 sz. végrehajtási határozat, vagy azok bármely későbbi végleges változata, amelyek automatikusan alkalmazandók. A kétségek elkerülése érdekében a 2. és 3. modul a(z) 8 pont szerint alkalmazandó.
1.8. Személyes adatok: az Érintettekhez kapcsolódó bármely, az Adatvédelmi jogszabályok értelmében védett információ. Az Adatfeldolgozási szerződés értelmében ide tartoznak az SAP vagy annak Adatfeldolgozó alvállalkozói által a Szerződés szerinti SAP-támogatás vagy Professzionális szolgáltatások nyújtása érdekében biztosított vagy hozzáférhető személyes adatok.
1.9. Személyes adatokra vonatkozó előírások megsértése:a következők visszaigazolt esete:
a) a Személyes adatok véletlen vagy jogellenes megsemmisülése, elvesztése, megváltozása, jogosulatlan közlése vagy jogosulatlan harmadik fél általi hozzáférése; vagy
b) a Személyes adatokat érintő hasonló incidens, amely minden esetéről az érvényes adatvédelmi jogszabályoknak megfelelően az Adatkezelő köteles értesíteni az illetékes adatvédelmi hatóságokat vagy az Érintetteket.
1.10. Professzionális szolgáltatások: implementációs szolgáltatások, tanácsadási szolgáltatások vagy olyan szolgáltatások, mint pl. az SAP Premium Engagement támogatási szolgáltatások, innovatív üzleti megoldások fejlesztésével kapcsolatos szolgáltatások, innovatív üzleti megoldások fejlesztésével kapcsolatos támogatási szolgáltatások.
1.11. Adatfeldolgozó: az a természetes vagy jogi személy, hatóság, intézmény vagy más szerv, amely Személyes adatokat dolgoz fel az adatkezelő nevében, legyen az közvetlen, az Adatkezelő számára feldolgozást végző Adatfeldolgozó vagy közvetett, az Adatkezelő nevében Személyes adatok feldolgozását végző Adatfeldolgozónak az Adatfeldolgozó alvállalkozója.
1.12. Függelék: az Általános szerződéses feltételekre (2010) vonatkozó számozott Függelék és az Új általános szerződéses feltételekre vonatkozó számozott Melléklet.
1.13. Általános szerződéses feltételek (2010): az Európai Bizottság által közzétett Általános
szerződéses feltételek (feldolgozók), ill. a 2010/87/EU sz. határozat.
1.14. Adatfeldolgozó alvállalkozó: az SAP kapcsolódó vállalatok, az SAP SE, SAP SE kapcsolódó vállalatok és az SAP, az SAP SE vagy az SAP SE kapcsolódó vállalatai által az SAP Szolgáltatáshoz kapcsolódóan megbízott harmadik felek, melyek a jelen Adatfeldolgozási szerződésnek megfelelően Személyes adatok feldolgozását végzik.
1.15. Műszaki és szervezeti intézkedések: a saját Trust Centerben a vonatkozó SAP-támogatás és Professzionális szolgáltatások kapcsán közzétett technikai és szervezeti intézkedések
1.16. Harmadik ország: az Európai Unió által a GDPR 45. cikkének megfelelően biztonságos, megfelelő szintű adatvédelemmel rendelkező országként el nem ismert ország, szervezet vagy terület.
2. HÁTTÉR
2.1. Cél és alkalmazás
A jelen dokumentum („Adatfeldolgozási szerződés”) a Szerződés részét képezi, és az SAP és az Ügyfél közötti írásbeli (beleértve az elektronikus formátumot is) megállapodásnak minősül. A jelen Adatfeldolgozási szerződés az Ügyfél és minden egyes Adatkezelő által, a vonatkozó Szerződésben meghatározott SAP-szolgáltatások („SAP Szolgáltatás(ok)”) teljesítése kapcsán átadott Személyes adatokra érvényes a vonatkozó Szerződésben foglaltak szerint, amelyhez mellékelve van a jelen Adatfeldolgozási szerződés, amely tartalmazhatja a következőket:
a) a Szoftverlicenc és szoftvertámogatási szerződésben meghatározott SAP-támogatást; vagy
b) az SAP és az Ügyfél között létrejött szolgáltatási szerződésben („Szolgáltatási szerződés”)
meghatározott Professzionális szolgáltatásokat.
2.2. Szerkezet
Az 1. és 2. sz. függelék a jelen Adatfeldolgozási szerződésben benne foglaltatik, és annak részét képezi. Ezen dokumentumokhatározzák meg a megállapodás tárgyát, a feldolgozás jellegét és célját, a Személyes adatok típusát, az adatok kategóriáit, az adatvédelmi érintetteket és a vonatkozó műszaki és szervezeti intézkedéseket.
2.3. Projektirányítás
2.3.1. Az Adatfeldolgozási szerződés keretében az SAP az Adatfeldolgozó, az Ügyfél és azok az egységek, melyek számára az Ügyfél az SAP-támogatás és a Professzionális szolgáltatások használatát engedélyezi, az Adatkezelő szerepét töltik be.
2.3.2. Az Ügyfél egykapus kapcsolattartóként működik, és felelős minden, a Személyes adatoknak a jelen Adatfeldolgozási szerződés szerinti feldolgozására vonatkozó felhatalmazás, hozzájárulás és engedély megszerzéséért, beleértve szükség esetén az SAP Adatfeldolgozóként való alkalmazásának az Adatkezelők általi jóváhagyását is. Az Ügyfél által megadott felhatalmazásokat, hozzájárulásokat, utasításokat vagy engedélyeket az Ügyfél nem csak saját nevében adja meg, hanem minden más Adatkezelő nevében is. Amikor az SAP az Ügyfelet tájékoztatja vagy értesíti, az ilyen tájékoztatás vagy értesítés a Személyes adatokat az Ügyfél engedélyével használó Adatkezelők által is átvettnek tekintendő. Az Ügyfél köteles továbbítani minden ilyen információt és értesítést az érintett Adatkezelőknek.
3. A FELDOLGOZÁS BIZTONSÁGA
3.1. A technikai és szervezeti intézkedések alkalmazhatósága
3.1.1. Az SAP-nál a Technikai és szervezeti intézkedések bevezetésre kerültek és alkalmazásra kerülnek. Az Ügyfél az ilyen intézkedéseket áttekintette, és elfogadja, hogy az intézkedések megfelelőek, tekintettel a technika mindenkori állására és a végrehajtásuk költségeire, a Személyes adatok feldolgozásának jellegére, terjedelmére, összefüggéseire és céljaira.
3.1.2. A 2. sz. függelékben meghatározottak kizárólag akkor alkalmazandók, ha az ilyen SAP Szolgáltatásokat az SAP helyszínein vagy helyszíneiről teljesítik. Amennyiben az SAP az SAP Szolgáltatásokat az Ügyfél helyszínén nyújtja és az SAP hozzáférést kap az Ügyfél rendszereihez és adataihoz, az SAP köteles megfelelni az Ügyfélnek az ilyen adatok védelmére és az azokhoz való jogosulatlan hozzáférés megelőzésére vonatkozó, észszerűen elvárható adminisztratív, műszaki és fizikai feltételeinek. Az Ügyfél rendszeréhez és adataihoz való bármilyen hozzáférés kapcsán az Ügyfél felelős azért, hogy a saját rendszereihez való hozzáféréshez szükséges felhasználói jogosultságokat és jelszavakat az SAP-személyzet részére biztosítsa, és időről időre, az Ügyfél saját megítélése alapján ilyen jogosultságokat visszavonja, valamint a hozzáféréseket megszüntetesse. Az Ügyfél nem adhat hozzáférést a Licencvevő rendszereihez vagy (az Ügyfél vagy bármely harmadik fél) személyes adataihoz, kivéve, ha az ilyen hozzáférés az SAP Szolgáltatások teljesítéséhez elengedhetetlen. Az Ügyfél nem tárolhat semmilyen Személyes adatot nem-produktív környezetekben.
3.2. Változások
3.2.1. Az SAP a műszaki és szervezeti intézkedéseket az ugyanabban az SAP Szolgáltatásban részesülő teljes SAP ügyfélkörre alkalmazza. Az SAP a Technikai és szervezeti intézkedéseket bármikor értesítés nélkül megváltoztathatja mindaddig, amíg hasonló vagy jobb biztonsági szintet tart. A Személyes adatokat védő biztonsági szint csökkenése nélkül az egyes intézkedéseket azonos célt szolgáló új intézkedésekkel fel lehet váltani.
3.2.2. Az SAP a Technikai és műszaki intézkedések frisített verzióit közzéteszi a Saját Trust Centerben, és ha rendelkezésre áll, az Ügyfél feliratkozhat a frissített verziókra vonatkozó e-mail- értesítésre.
4. AZ SAP KÖTELEZETTSÉGEI
4.1. Az Ügyfél utasításai
4.1.1. Az SAP a Személyes adatokat csak az Ügyféltől kapott, dokumentált utasításoknak megfelelően dolgozza fel. A Szerződés (beleértve a jelen Adatfeldolgozási szerződést) ilyen dokumentált, kezdeti utasításnak számít, és az SAP Szolgáltatás teljesítése során az Ügyfél további utasításokat adhat.
4.1.2. Az SAP minden észszerű erőfeszítést megtesz annak érdekében, hogy betartsa az Ügyfél bármely más utasítását, amennyiben azt az Adatvédelmi jogszabályok szükségessé teszik, az műszakilag megvalósítható, és nincs szükség hozzá az SAP Szolgáltatás teljesítésének módosítására. Az SAP azonnal értesíti az Ügyfelet (e-mail használata megengedett), ha a fent említett kivételek bármelyike bekövetkezik, vagy ha az SAP más okból nem tud valamely utasítást követni, vagy ha úgy véli, hogy valamely utasítás megszegi az Adatvédelmi jogszabályokat.
4.2. Feldolgozás jogi követelmény alapján
Az SAP olyan esetekben is feldolgozhat Személyes adatokat, ahol azt a vonatkozó jogszabályok követelik meg. Ilyen esetben az SAP köteles az Ügyfelet a feldolgozást megelőzően értesíteni az adott jogszabályi előírásról, hacsak a törvény az ilyen tájékoztatást fontos közérdekre alapozva meg nem tiltja.
4.3. Személyzet
Az SAP és annak Adatfeldolgozó alvállalkozói csak olyan jogosult személyzet számára adhatnak hozzáférést a Személyes adatok feldolgozásához, akik titoktartási kötelezettséget vállaltak. Az SAP és Adatfeldolgozó alvállalkozói az alkalmazandó adatbiztonsági és adatvédelmi intézkedésekről rendszeres képzésben részesítik a Személyes adatokhoz hozzáférő személyzetet.
4.4. Együttműködés
4.4.1. Az Ügyfél kérésére az SAP észszerű mértékben együttműködik az Ügyféllel és az Adatkezelőkkel az Érintettek vagy a szabályozó hatóságok olyan kéréseinek kezelésében, amelyek a Személyes adatok SAP általi feldolgozására vagy valamely Személyes adatokra vonatkozó előírás megszegésére vonatkoznak. Ha az SAP kérelmet kap egy Érintettül a Személyes adatok jelen dokumentum szerinti feldolgozása kapcsán, az SAP haladéktalanul értesíti az Ügyfelet (amennyiben az Érintett megadta az Ügyfél azonosításához szükséges adatokat) e-mail- üzenetben, és nem reagál maga az adott kérelemre, hanem megkéri az Érintettet a kérelem Ügyfélnek történő továbbítására.
4.4.2. Egy Érintettel a Személyes adatok SAP általi, jelen Adatfeldolgozás keretében történő feldolgozása vonatkozásában felmerülő vita esetén a Felek tájékoztatják egymást, és ha alkalmazandó, észszerűen együttműködnek a vita békés úton történő rendezése érdekében az Érintettel. Az SAP a tulajdonában lévő bármely személyes adatot (ha van ilyen) javít, eltávolít vagy anonimizál, ill. korlátozza a feldolgozását az Ügyfél utasításának és az Adatvédelmi jogszabályoknak megfelelően.
4.5. Értesítés a Személyes adatokra vonatkozó előírások megsértéséről
Az SAP haladéktalanul értesíti az Ügyfelet, amint bármely Személyi adatokra vonatkozó előírás megszegéséről tudomást szerez, és megadja a birtokában lévő indokoltan szükséges információkat ezzel segítve az Ügyfelet abban, hogy az teljesíthesse az Adatvédelmi jogszabályokban előírt kötelezettségét a Személyes adatokra vonatkozó előírások megszegése bejelentésére vonatkozóan. Az SAP az ilyen információkat megadhatja szakaszonként is, amint
azok számára elérhetővé válnak. Az ilyen értesítés nem értelmezhető vagy magyarázható az
SAP által bármilyen hiba vagy felelősség elismeréseként.
4.6. Adatvédelmi hatásvizsgálat
Amennyiben az Adatvédelmi jogszabályok az Ügyfél (vagy Adatkezelői) számára előírják egy adatvédelmi hatásvizsgálat elvégzését, vagy a szabályozó szervekkel való előzetes konzultációt, az Ügyfél kérésére az SAP az ilyen dokumentumokat az SAP Szolgáltatásokra vonatkozóan általánosan elérhető formában biztosítja (mint pl. a jelen Adatfeldolgozási szerződést, a Szerződést, az auditjelentéseket vagy tanúsítványokat). Bármely további támogatásról a Feleknek közösen kell megállapodniuk.
5. ADATTÖRLÉS
Az Ügyfél ezúton utasítja az SAP-t, hogy az Adatvédelmi jogszabályoknak megfelelően észszerű időn belül (de hat hónapnál nem később) törölje az SAP-nál maradt Személyes adatokat (ha vannak ilyenek) azt követően, hogy azok a Szerződés teljesítéséhez már nem szükségesek, kivéve, ha ezeknek a Személyes adatoknak a megőrzését hatályos törvények írják elő.
6. TANÚSÍTVÁNYOK ÉS AUDITOK
6.1. Ügyfélaudit
Az Ügyfél vagy annak az SAP számára észszerűen elfogadható, független, harmadik fél auditora (nem tartoznak ide az olyan harmadik fél auditorok, melyek vagy az SAP versenytársai, vagy nem rendelkeznek megfelelő szakértelemmel, vagy nem függetlenek) az SAP-nak az SAP által feldolgozott Személyes adatokhoz kapcsolódó szolgáltatási és támogatási központját és informatikai biztonsági gyakorlatait csak akkor auditálhatja, ha:
a) Az SAP nem bizonyította kellőképpen, hogy megfelel a műszaki és szervezeti intézkedéseknek azáltal, hogy tanúsítja az ISO 27001 vagy más szabványoknak való megfelelőséget (a tanúsítványban meghatározottakra kiterjedően). A tanúsítványok elérhetők a saját Trust Centerben vagy kérésre online, ha a tanúsítvány nem elérhető; vagy
b) Valamely Személyes adatokra vonatkozó előírást megsértettek; vagy
c) az Ügyfél adatvédelmi hatósága hivatalosan auditot kért; vagy
d) kötelező érvényű adatvédelmi jogszabály közvetlen auditálási jogosultságot biztosít az Ügyfél számára, és azzal a feltétellel, hogy az Ügyfél 12 hónapos időszakon belül csak egyszer végezhet auditot, hacsak valamely kötelező érvényű adatvédelmi jogszabály nem ír elő ennél gyakoribb ellenőrzést.
6.2. Más Adatkezelő által végzett audit
Bármely más Adatkezelő auditálhatja az SAP ellenőrzési környezetét és az SAP által kezelt Személyes adatokra vonatkozó biztonsági gyakorlatát a(z) 6.1 szakasz által megengedett módon és mértékben, ha az közvetlenül vonatkozik az adott másik Adatkezelőre. Az ilyen audit végrehajtásának az Ügyfélen keresztül, az Ügyfél által kell megtörténnie, hacsak az adatvédelmi jogszabályok nem írják elő, hogy az auditot a másik Adatkezelőnek saját magának kell elvégeznie. Amennyiben több olyan Adatkezelő is auditot igényel, akiknek a Személyes adatait a Szerződés alapján az SAP dolgozza fel, az Ügyfél köteles az észszerűség határain belül mindent megtenni annak érdekében, hogy az auditokat összevonja, és elkerülje a többszörös auditálást.
6.3. Mire terjed ki az audit?
Az Ügyfél köteles 60 nappal előre értesítést küldeni minden auditról, hacsak a kötelező érvényű
adatvédelmi jogszabály vagy valamely illetékes adatvédelmi hatóság nem követel meg rövidebb
értesítési időt. Az auditok gyakoriságáról, időkeretéről és terjedelméről a feleknek észszerű, jóhiszemű, kölcsönös megállapodást kell kötniük. Az Ügyfélauditok a lehetőségek szerint távoli auditokra korlátozódnak. Amennyiben egy helyszíni audit elvégzése kötelező, az nem haladhatja meg az 1 munkanapot. Az ilyen megkötéseken túl a felek az ismételt auditok minimalizálása érdekében az aktuális tanúsítványokat vagy más auditjelentéseket fogják alkalmazni. Az Ügyfél minden audit eredményét köteles közölni az SAP-val.
6.4. Az auditok költsége
Minden audit költségét az Ügyfél viseli, hacsak az ilyen audit a jelen Adatfeldolgozási szerződés SAP általi súlyos megszegését nem fedi fel, mely esetben az SAP fizeti meg az audittal kapcsolatban felmerülő saját költségeit. Amennyiben egy audit olyan megállapítást tesz, miszerint az SAP megszegte az Adatfeldolgozási szerződés szerinti kötelezettségeit, az SAP az ilyen szerződésszegést azonnal, saját költségén orvosolja.
7. ADATFELDOLGOZÓ ALVÁLLALKOZÓK
7.1. Megengedett használat
Az SAP általános felhatalmazást kap a Személyes adatok feldolgozásának Adatfeldolgozó
alvállalkozók számára történő alvállalkozásba adására, feltéve, hogy:
a) Az adatfeldolgozó alvállalkozókat az SAP-nak vagy az SAP SE-nek saját nevében kell bevonnia, a jelen Adatfeldolgozási szerződés feltételeinek megfelelő, a Személyes adatoknak az Adatfeldolgozó alvállalkozó általi feldolgozására vonatkozó írásbeli (az elektronikus forma is elfogadott) szerződés keretében. A jelen Szerződés értelmében minden az Alvállalkozó által elkövetett szerződésszegésért az SAP felel;
b) A kiválasztást megelőzően az SAP értékeli az Adatfeldolgozó alvállalkozó biztonsági, adatvédelmi és titoktartási gyakorlatait, hogy megállapítsa, hogy az képes-e biztosítani a Személyes adatoknak a jelen Adatfeldolgozási szerződés által megkövetelt védelmi szintjét;
c) Az SAP-támogatás esetében az SAP-nak a Szerződés hatályba lépésének napján érvényes Adatfeldolgozó alvállalkozói listáját az SAP a Saját Trust Center-en közzéteszi, vagy azt az Ügyfél kérésére számára elérhetővé teszi, beleértve az SAP Service biztosításához igénybe vett minden egyes Adatfeldolgozó alvállalkozó nevét, címét és szerepkörét; és
d) A Professzionális szolgáltatások esetében a vonatkozó SAP Szolgáltatások elindítását megelőzően az SAP az Ügyfél kérésére a listát elérhetővé teszi vagy az ilyen adatfeldolgozó alvállalkozókat azonosítja.
7.2. Új Adatfeldolgozó alvállalkozók
7.2.1. Az SAP saját belátása szerint dönthet új Adatfeldolgozó alvállalkozók igénybe vételéről, azzal a
feltétellel, hogy:
a) Az SAP előzetesen tájékoztatja az Ügyfelet az Adatfeldolgozó alvállalkozók listájának bármely tervezett bővítéséről vagy változtatásáról, beleértve a neveket, címeket és az új Adatfeldolgozó alvállalkozók szerepkörét (i) az SAP támogatásra vonatkozóan a Saját Trust Center-en, vagy e-mailben történő közzététellel az Ügyfél Saját Trust Center-en való regisztrációjakor és (ii) a Professzionális szolgáltatások esetén a Saját Trust Center-en vagy e-mailben vagy egyéb írásos formában történő hasonló közzététellel;
b) Az Ügyfél az ilyen módosításokat a 7.2.2 pontban leírtaknak megfelelően kifogásolhatja.
7.2.2. Az új Adatfeldolgozó alvállalkozók kifogásolása
7.2.2.1. SAP-támogatás
Ha az Ügyfélnek az Adatvédelmi jogszabályok értelmében jogos indoka van arra, hogy kifogást emeljen az ellen, hogy a Személyes adatok feldolgozását az új Adatfeldolgozó alvállalkozók végezzék, akkor az Ügyfél jogosult az SAP-támogatást az SAP írásbeli értesítésével felmondani, amely értesítést attól a naptól számított 30 napon belül kell megküldeni az SAP részére, hogy az SAP az Ügyfelet tájékoztatta az új Adatfeldolgozó alvállalkozóról. Amennyiben az Ügyfél az ilyen 30 napos időszakon belül nem küld a felmondásról értesítést az SAP részére, akkor úgy kell tekinteni, hogy az Ügyfél elfogadta az új Adatfeldolgozó alvállalkozót. Az SAP által az Ügyfél számára az Ügyfelet az új Adatfeldolgozó alvállalkozóról történő értesítésétől számított 30 napos időszakon belül az Ügyfél kérheti, hogy a felek a kifogásra vonatkozóan jóhiszeműen megtárgyalják a lehetséges megoldást. Az ilyen tárgyalások nem haladhatják meg a felmondási értesítés SAP részére történő megküldésének időtartamát, és nem befolyásolják az SAP jogosultságát arra, hogy a 30 napos időszak elteltével alkalmazza az új Adatfeldolgozó alvállalkozó(ka)t.
7.2.2.2. Professzionális szolgáltatások
Amennyiben a Személyes adatok feldolgozására vonatkozóan az Ügyfélnek az Adatvédelmi jogszabályok értelmében valamely Adatfeldolgozó alvállalkozóhoz kapcsolódóan jogos indoka van arra, akkor az Ügyfél az Adatfeldolgozó alvállalkozó SAP általi alkalmazását úgy kifogásolhatja, ha az SAP-t arról az értesítéstől számított 5 munkanapon belül írásban értesíti. Amennyiben az Ügyfél megtagadja az Adatfeldolgozó alvállalkozó használatát, akkor a felek jóhiszeműen megtárgyalják a lehetséges megoldást. Az SAP dönthet úgy: (i) hogy nem alkalmazza az Adatfeldolgozó alvállalkozót, vagy (ii) hogy megteszi az Ügyfél által a kifogásában kért javító intézkedéseket és alkalmazza az Adatfeldolgozó alvállalkozót, vagy (iii) ha ez nem lehetséges, alkalmazza az Adatfeldolgozó alvállalkozót. Ha ezeknek a lehetőségeknek egyike sem valósítható meg észszerűen, és az Ügyfél továbbra is jogos indok alapján kifogással él, akkor az érintett szolgáltatásokat a felek bármelyike 5 napos felmondási határidővel írásban felmondhatja. Ha az Ügyfél az értesítés kézhez vételét követő 3 napon belül nem él kifogással, akkor úgy kell tekinteni, hogy az Ügyfél elfogadta az Adatfeldolgozó alvállalkozót. Amennyiben az Ügyfél kifogása a kifogás emelésétől számított 30 napon belül nem kerül megoldásra, és az SAP nem kapott felmondási értesítést, akkor úgy kell tekinteni, hogy az Ügyfél elfogadta az Adatfeldolgozó alvállalkozót.
7.2.3. A jelen pont szerinti bármely felmondás a felek hibáján kívüli felmondásnak minősül, és arra a Szerződés feltételeit kell alkalmazni.
7.3. Vészhelyzeti csere
8. NEMZETKÖZI ADATFELDOLGOZÁS
8.1. A nemzetközi adatfeldolgozás feltételei
Az SAP a jelen Adatfeldolgozási szerződésnek megfelelően, az adatvédelmi jogszabályok által megengedettek szerint jogosult a Személyes adatoknak az Ügyfél helyszínén kívüli országban való feldolgozására, és ez a jogosultsága az Adatfeldolgozó alvállalkozók bevonására is kiterjed.
8.2. Az Általános Szerződéses Feltételek (2010) dokumentum alkalmazhatósága
8.2.1. Amennyiben a 2021. szeptember 26-ig bezárólag tartó időszakban egy Adatkezelő GDPR hatálya
alá tartozó Személyes adatait Harmadik országban kezelik, vagy amennyiben egy svájci vagy
egyesült királyságbeli székhelyű Adatkezelő vagy más Adatkezelő személyes adatait Harmadik országban kezelik, és az ilyen nemzetközi adatkezeléshez az Adatkezelő országának joga szerinti megfelelőségi eszközre van szükség, és az előírt megfelelőségi eszköz az Általános szerződéses feltételek (2010) megkötésével biztosítható, akkor:
a) az SAP és az Ügyfél megállapodik az Általános Szerződéses Feltételekben;
b) az Ügyfél az SAP vagy az SAP SE és az Adatfeldolgozó alvállalkozó közötti Általános
Szerződéses Feltételekhez (2010), mint független jogosult és kötelezett csatlakozik; vagy
c) a Szerződés értelmében az Ügyfél által Személyes adatok hozzáadására feljogosított egyéb Adatkezelők is az Ügyféllel azonos módon megköthetik az SAP-val és/vagy a vonatkozó Adatkezelő alvállalkozókkal az Általános Szerződéses Feltételeket (2010), a fenti 8.2.1 a) és
b) pontoknak megfelelően. Ilyen esetben a más Adatkezelő nevében az Ügyfél köti meg az
Általános Szerződéses Feltételekre (2010) vonatkozó megállapodást.
8.2.2. Az Általános Szerződéses Feltételekre (2010) az adott Adatkezelő bejegyzett székhelye szerinti
ország joga az irányadó.
8.3. Az új Általános Szerződéses Feltételek alkalmazhatósága
8.3.1. 2021. szeptember 27-től az alábbiak alkalmazandók, kizárólag az Új általános szerződéses
feltételek szempontjából releváns adattovábbítás tekintetében:
8.3.1.1. Amennyiben az SAP nem egy Harmadik országban található, és adatátadóként jár el, az SAP (vagy a nevében az SAP SE) minden egyes Alvállalkozó adatfeldolgozóval mint adatátvevővel megkötötte az Új Általános szerződéses feltételeket. Az új Általános szerződéses feltételek 3. modulja (Adatfeldolgozótól adatfeldolgozónak) alkalmazandó az ilyen, Új általános szerződéses feltételek szempontjából releváns adattovábbítás tekintetében.
8.3.1.2. Amennyiben az SAP Harmadik országban található:
Az SAP és az Ügyfél ezennel megkötik az Új általános szerződéses feltételeket, amelyekben az Ügyfél az adatátadó, az SAP pedig az adatátvevő, és amelyek az alábbiak szerint alkalmazandók:
a) 2. modul (Az adatkezelőtől az Adatfeldolgozónak) alkalmazandó, ha az Ügyfél az
Adatkezelő; és
b) 3. modul (Az Adatfeldolgozótól az Adatfeldolgozónak) alkalmazandó, ha az Ügyfél az Adatkezelő. Amennyiben az Ügyfél Adatfeldolgozókéntjár el az új Általános szerződéses feltételek 3. modulja (Adatfeldolgozótól az Adatfeldolgozónak) szerint, az SAP tudomásul veszi, hogy az Ügyfél az Adatkezelő(k) utasításai alapján Adatfeldolgozóként jár el.
8.3.2. Más Adatkezelők vagy Adatfeldolgozók, akiknek a Felhőszolgáltatások használatát az Ügyfél a Szerződés szerint engedélyezte, szintén megköthetik az Új általános szerződéses feltételeket az SAP-val, az Ügyféllel azonos módon, a fenti 8.3.1.2 pont szerint. Ilyen esetben a más Adatkezelő vagy Adatfeldolgozó nevében az Ügyfél köti meg az új Általános szerződéses feltételeket.
8.3.3. Az új Általános szerződéses feltételek szempontjából releváns adattovábbítás tekintetében, az Ügyfél és az SAP között létrejött új Általános szerződéses feltételek 2. vagy 3. moduljának egy példányát (beleértve a vonatkozó függelékeket is) az Érintett kérésére az Ügyfél az Érintettek rendelkezésére bocsáthatja.
8.3.4. Az új Általános szerződéses feltételekre irányadó jog a magyar jog.
8.4. Az Általános Szerződéses Feltételek viszonya a Szerződéshez
A Szerződésben semmi nem értelmezendő az Általános szerződéses feltételek (2010) vagy az Új általános szerződées feltételek esetlegesen ellentmondó rendelkezéseivel szemben irányadónak. A kétségek elkerülése érdekében, ahol a jelen adatvédelmi nyilatkozat további, az auditra és az Alvállalkozó adatfeldolgozókra vonatkozó szabályokat határoz meg, az ilyen előírások az Általános szerződéses feltételek (2010) és az Új általános szerződéses feltételek tekintetében is alkalmazandók.
8.5. Harmadik fél kedvezményezetti jog az Új általános szerződéses feltételek szerint
8.5.1. Amennyiben az Ügyfél Harmadik országban tartózkodik és az Új általános szerződéses feltételek
2. vagy 3. modulja szerint adatátvevőként jár el, és az SAP az Ügyfél alvállalkozó adatfeldolgozójaként jár el az adott Modul értelmében, az érintett adatátadó a következő harmadik fél kedvezményezetti joggal rendelkezik:
8.5.2. Abban az esetben, ha az Ügyfél ténylegesen megszűnt, jogilag megszűnt vagy fizetésképtelenné vált (minden esetben olyan jogutód nélkül, amely szerződéssel vagy a törvény erejénél fogva átvette volna az Ügyfél jogi kötelezettségeit), az érintett adatátadó jogosult az érintett Szolgáltatás megszüntetésére kizárólag az adatátadó Személyes adatainak feldolgozása mértékéig. Ebben az esetben az érintett adatexportőr a Személyes adatok törlésére vagy visszaadására is utasítja az SAP-t.
9. DOKUMENTÁCIÓ; FELDOLGOZÁSI ADATOK
Minden egyes fél felelős azért, hogy betartsa dokumentációs kötelezettségeit, különös tekintettel a feldolgozási adatok nyilvántartására, amennyiben azt az adatvédelmi jogszabályok megkövetelik. Minden egyes fél köteles az észszerűség keretein belül együttműködni a másik féllel a dokumentációs kötelezettségeinek teljesítésében, beleértve a másik fél számára szükséges információknak a másik fél által indokoltan kért módon (pl. egy adott elektronikus rendszer használatával) történő biztosítását, ezzel lehetővé téve a másik fél számára a feldolgozáshoz kapcsolódó adatok nyilvántartására vonatkozó bárminemű kötelezettsége teljesítését.
1. függelék Az Adatdelfolgozás leírása
Ez az 1. sz. függelék a Személyes adatok feldolgozásának leírására vonatkozik az Általános szerződéses feltételek, az új Általános szerződéses feltételek és az alkalmazandó Adatvédelmi jogszabályok értelmében.
1. A. A FELEK LISTÁJA
1.1. Az Általános szerződéses feltételek (2010) értelmében
1.1.1. Adatátadó
Az adatátadó olyan Ügyfél, aki Szoftverlicenc és -támogatási szerződést és/vagy Szolgáltatási szerződést kötött az SAP-val, amelynek értelmében a vonatkozó Szerződésben leírtak szerinti előnyökhöz jut az SAP Szolgáltatással. Az adatátadó engedélyezi más Adatkezelők számára is, hogy használják az SAP Szolgáltatást, mely esetben ezek a más Adatkezelők szintén adatátadók.
1.1.2. Adatátvevő
Az SAP és Adatfeldolgozó alvállalkozói az SAP Szolgáltatást az adatátadó által megkötött vonatkozó Szerződésben meghatározottak szerint nyújtja, amely az Általános szerződéses feltételeket (2010) tartalmazza.
1.2. Az új Általános szerződéses feltételek értelmében
1.2.1. 2. modul: Az Adatkezelőtől az Adatfeldolgozónak történő adattovábbítás
Ha az SAP egy Harmadik országban található, az Ügyfél az Adatkezelő és az SAP az Adatfeldolgozó, akkor az Ügyfél az adatátadó és az SAP az adatátvevő.
1.2.2. 3. modul: Az Adatfeldolgozótól az Adatfeldolgozónak történő adattovábbítás
Ha az SAP egy Harmadik országban található, az Ügyfél Adatfeldolgozó és az SAP
Adatfeldolgozó, akkor az Ügyfél az adatátadó és az SAP az adatátvevő.
2. B. AZ ADATTOVÁBBÍTÁS LEÍRÁSA
2.1. Érintettek
Amennyiben az adatátadó arról másként nem rendelkezik, az átadott Személyes adatok az Érintett személyek következő kategóriáihoz kapcsolódnak: munkavállalók, szerződéses partnerek, Üzleti Partnerek vagy más magánszemélyek, akik Személyes adatait tárolják, az adatátvevő számára átadják, elérhetővé teszik, vagy amelyekhez az adatátvevő hozzáfér, illetve más módon feldolgozza.
2.2. Adatkategóriák
Az átadott Személyes adatok az alábbi adatkategóriákba tartoznak:
Az Ügyfél a vonatkozó Szerződésben foglaltak szerint meghatározza az SAP Szolgáltatásonként átadható adatok és/vagy adatmezők kategóriáit. Az átadott Személyes adatok általában az alábbi adatkategóriákhoz kapcsolódnak: név, telefonszámok, e-mail címek, címadatok, rendszer-hozzáférési /használati/ jogosultság adatok, cégnév, szerződésadatok, számlázási adatok, valamint bármilyen olyan alkalmazásspecifikus adat, amelyet a Jogosult felhasználók átadnak, és olyan pénzügyi adatokat is tartalmazhatnak, mint bankszámlaadatok, hitel- vagy betéti kártya adatok.
2.3. Speciális adatkategóriák (ha van ilyen)
2.3.1. A továbbított Személyes adatok a speciális adatkategóriába tartozó személyes adatokat is tartalmazhatnak a jelen Szerződés értelmében („Érzékeny adatok”). Az SAP megfelelő Technikai és szervezeti intézkedéseket tett a 2. függeléknek megfelelően az Érzékeny adatok védelme szempontjából is megfelelő szintű biztonság érdekében.
2.3.2. Az Érzékeny adatok továbbítása a következő további korlátozások vagy óvintézkedések alkalmazását vonhatja maga után, amennyiben ez az adatok jellegének, valamint a természetes személyek jogaira és szabadságaira vonatkozó, változó valószínűségű és súlyosságú kockázatnak a figyelembevételéhez szükséges (adott esetben):
a) a személyzet képzése;
b) a továbbított és tárolt adatok titkosítása;
c) a rendszer-hozzáférés, valamint az általános adathozzáférés naplózása.
2.4. Az adattovábbítás és további feldolgozás céljai; a feldolgozás jellege
2.4.1. Az átadott Személyes adatokra érvényesek a Szerződésben meghatározott alapvető
adatfeldolgozási tevékenységek, amelyeknek része lehet:
a) az SAP Szolgáltatás nyújtásához szükséges Személyes adatok használata;
b) a Személyes adatok tárolása;
c) a Személyes adatok számítógépes feldolgozása adatátvitel céljából;
d) az SAP-támogatás vagy Professzionális szolgáltatások részeként nyújtott szolgáltatásjellemzők és funkciók folyamatos fejlesztése, beleértve az automatizálást, a tranzakciófeldolgozást és a gépi tanulást; és
e) az Ügyfél utasításainak végrehajtása a Szerződéssel összhangban.
2.4.2. A Szoftverlicenc és -támogatási szerződés szerint: az SAP vagy Adatfeldolgozó alvállalkozói akkor nyújtanak támogatást, amikor az Ügyfél egy Szoftver nem elérhetősége vagy nem elvárt működése kapcsán támogatási jegyet. Fogadják a telefonhívásokat, elvégzik az alapvető hibakeresési lépéseket és kezelik a támogatási jegyeket egy nyomon követési rendszerben.
2.4.3. A vonatkozó, Professzionális szolgáltatásokra érvényes Szolgáltatási szerződés szerint: az SAP vagy Adatfeldolgozó alvállalkozói Szolgáltatásokat nyújtanak a Megrendelőlap szolgáltatások és a vonatkozó Terjedelemdokumentum függvényében.
2.5. Az új Általános szerződéses feltételeket érintő további leírás:
Az új Általános Szerződéses Feltételek alkalmazandó moduljai
a) 2. modul: Az Adatkezelőtől az Adatfeldolgozónak történő adattovábbítás
b) 3. modul: Az Adatfeldolgozótól az Adatfeldolgozónak történő adattovábbítás
2.6. Az adattovábbítás gyakorisága (pl. az adattovábbításra egyszeri vagy folyamatos alapon kerül sor?).
Az adattovábbításnak folyamatos alapon kell történnie.
2.7. A személyes adatok megőrzésének időszaka, vagy ha ez nem lehetséges, az időszak
meghatározásához használt kritériumok:
A Személyes adatokat a Szerződés időtartamára, valamint az Adatfeldolgozási szerződés 5
pontjának megfelelően kell megőrizni.
2.8. Az (alvállalkozó) adatfeldolgozóknak történő továbbítások esetén meg kell adni a feldolgozás tárgyát, jellegét és időtartamát is
Az új Általános szerződéses feltételek vonatkozásában az Alvállalkozó adatfeldolgozóknak történő továbbításnak az Adatfeldolgozási szerződésben leírt alapokon kell nyugodnia.
3. C. ILLETÉKES FELÜGYELETI HATÓSÁG
3.1. Az új Általános szerződéses feltételek tekintetében:
3.1.1. 2. modul: Az Adatkezelőtől az Adatfeldolgozónak történő adattovábbítás
3.1.2. 3. modul: Az Adatfeldolgozótól az Adatfeldolgozónak történő adattovábbítás
3.2. Amennyiben az Ügyfél az adatátadó, a felügyeleti hatóság az az illetékes felügyeleti hatóság, amely felügyeleti joggal rendelkezik az Ügyfél felett az új Általános szerződéses feltételek 13. pontja értelmében.
2. sz. függelék – Műszaki és szervezeti intézkedések
Ez a 2. függelék az alkalmazandó műszaki és szervezeti intézkedések leírására vonatkozik az Általános szerződéses feltételek, az új Általános szerződéses feltételek és az alkalmazandó Adatvédelmi jogszabályok értelmében.
Az SAP alkalmazza és karbantartja a Technikai és szervezeti intézkedéseket.