Személyes Adatok feldolgozására vonatkozó Megállapodás

Személyes Adatok feldolgozására vonatkozó Megállapodás

A Kereskedői Jelentkezési/Megállapodási Formanyomtatványban található hivatkozás szerinti Kereskedő (a „Kereskedő”) és a Borgun hf. /B-Payment (a „Borgun/B-Payment”) Kereskedői Keretmegállapodást kötöttek arra vonatkozóan, hogy a Borgun/B-Payment a Kereskedő tranzakcióinak egy részében részt vesz (a „Kereskedői Megállapodás”).

A jelen Személyes Adatok Feldolgozására vonatkozó megállapodás (a „Megállapodás”) azokat a további kikötéseket, követelményeket és feltételeket határozza meg, amelyeket a Kereskedő a Kereskedői Megállapodás alapján fennálló kötelezettségei teljesítésekor a Személyes Adatok feldolgozása során teljesíteni köteles. Ez a Megállapodás azokat a kötelező erejű rendelkezéseket tartalmazza, amelyeket az Általános Adatvédelmi Rendelet ((EU) 2016/679) az adatkezelők és az adatfeldolgozók közötti szerződésekre ír elő.

MEGÁLLAPODOTT FELTÉTELEK

1. MEGHATÁROZÁSOK ÉS ÉRTELMEZŐ RENDELKEZÉSEK

A jelen Megállapodásban az alábbiakban leírt meghatározások és értelmezési szabályok alkalmazandók. A Megállapodásban nem meghatározott nagybetűs kifejezések a Kereskedői Megállapodásban meghatározott jelentéssel bírnak.

1.1 Meghatározások:

Üzleti Célok: a Kereskedői Jelentkezési Lapon és a Kereskedői Alkalmazási Megállapodásban leírt szolgáltatásokat, illetve az A. mellékletben külön azonosított más célt jelentik.

Adatvédelmi Jogszabályok: a magánélet védelmére és az adatvédelemre vonatkozó valamennyi alkalmazandó jogszabályt jelentik, beleértve az Általános Adatvédelmi Rendeletet ((EU) 2016/679) és az időről időre hatályos, módosított, az adott országban alkalmazandó nemzeti végrehajtási és mögöttes jogszabályokat (ahogy azok meghatározása a Személyes Adatok feldolgozására és az elektronikus hírközlésre vonatkozó Kereskedői Megállapodásban található), beleértve a magánélet védelméről és az elektronikus hírközlésről szóló irányelvet (2002/58/EK), valamint a magánélet védelméről és az elektronikus hírközlésről szóló 2003. évi rendeletet (EK irányelv) (SI 2003/2426).

Érintett: azt a személyt jelenti, aki a Személyes Adatok alanya.

Személyes Adatok: az azonosított vagy azonosítható természetes személyre vonatkozó olyan információt jelenti, amelyet a Szolgáltató szolgáltatások nyújtása eredményeként vagy azzal kapcsolatban feldolgoz; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosítószám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Adatvédelmi Incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Feldolgozás/feldolgoz: jelentése vagy az olyan tevékenység, amely magában foglalja a Személyes

Adatok használatát, vagy az Adatvédelmi Jogszabályok által másként meghatározott feldolgozás. Ebbe beletartozik a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. A feldolgozásba beletartozik a Személyes Xxxxxx harmadik feleknek történő továbbítása is.

1.2 Ez a Megállapodást feltételezi a Kereskedői Megállapodás meglétét; így a Megállapodás a Kereskedői Megállapodás részét képezi. A Kereskedői Megállapodásban meghatározott értelmező rendelkezések és feltételek a jelen Megállapodás értelmezésére is alkalmazandók.

1.3 A Mellékletek a Megállapodás részét képezik, és ugyanolyan hatállyal bírnak, mintha magában a jelen Megállapodásban szerepelnének. A Megállapodásra való hivatkozások a Mellékletekre történő hivatkozásként is értelmezendők.

1.4 Az „írásos” vagy „írásban” szavak az e-mailekre is vonatkoznak.

1.5 Ha ellentmondás vagy kétértelműség áll fenn:

a) a Megállapodás szövegében levő valamely rendelkezés és a Mellékletekben meghatározott

valamely rendelkezés között, akkor a Megállapodás rendelkezése az irányadó;

b) valamely kísérő számla vagy a Megállapodáshoz csatolt más okmány és a Mellékletekben található rendelkezések között, akkor a Mellékletek rendelkezései az irányadók;

c) a Megállapodás bármely rendelkezése és a Kereskedői Megállapodás bármely rendelkezése

között, akkor a Megállapodás rendelkezései az irányadók.

2. A SZEMÉLYES ADATOK TÍPUSA ÉS A FELDOLGOZÁS CÉLJA

2.1 A Borgun/B-Payment és a Kereskedő elismeri, hogy az Adatvédelmi Jogszabályok céljából és a Kereskedő által a Kártyatulajdonosokról a Kereskedői Megállapodás alapján fennálló kötelezettségek teljesítése érdekében gyűjtött adatokra tekintettel a Borgun/B-Payment az adatkezelő és a Kereskedő az adatfeldolgozó. A Kereskedő azonban minden olyan esetben adatkezelő, amely a Kereskedő áruinak és/vagy termékeinek eladásával kapcsolatos.

2.2 A Borgun/B-Payment ellenőrzi a Személyes Adatokat és továbbra is felelős az alkalmazandó Adatvédelmi Jogszabályok alapján fennálló kötelezettségei teljesítéséért, beleértve a szükséges értesítések megadását és a szükséges beleegyezések megszerzését, valamint felelős azokért az adatfeldolgozásra vonatkozó utasításokért, amelyeket a Kereskedőnek ad.

2.3 Az A. Melléklet tartalmazza az adatfeldolgozás tárgyát, időtartamát, jellegét és célját, valamint a Személyes Adatok kategóriáit és az Érintettek típusait, amelyekkel kapcsolatban a Borgun/B- Payment a Kereskedői Megállapodás Üzleti Céljai teljesítése érdekében adatfeldolgozást végezhet.

3. A KERESKEDŐ KÖTELEZETTSÉGEI

3.1 A Kereskedő a Személyes Adatokat csak olyan mértékben és olyan módon dolgozhatja fel, ahogy arra a Borgun/B-Payment írásos utasításainak megfelelően az Üzleti Célok eléréséhez szükség van. A Kereskedő a Személyes Adatokat nem dolgozhatja fel sem más célra, sem pedig oly módon, ami nem felel meg a jelen Megállapodásnak, illetve az Adatvédelmi Jogszabályoknak. A Kereskedő haladéktalanul köteles Borgun/B-Paymentt értesíteni, ha – véleménye szerint – a Borgun/B-Payment utasításai nem felelnének meg az Adatvédelmi Jogszabályoknak.

3.2 A Kereskedő késedelem nélkül köteles a Borgun/B-Payment kérését vagy utasítását teljesíteni,

amelyben a Borgun/B-Payment a Kereskedőt arra kéri, hogy a Személyes Adatokat módosítsa, továbbítsa, törölje vagy azokat más módon dolgozza fel, illetve a jogosulatlan adatfeldolgozást szüntesse meg, mérsékelje vagy orvosolja.

3.3 A Kereskedő köteles a Személyes Adatok bizalmas jellegét fenntartani, és a Személyes Adatokat csak akkor adhatja ki harmadik félnek, ha a Borgun/B-Payment vagy a jelen Megállapodás valamely rendelkezése a Személyes Adatok kiadását kifejezetten engedélyezi, vagy ha törvény azt előírja. Ha törvény, bíróság, szabályozó vagy felügyeleti hatóság a Személyes Adatok feldolgozását vagy kiadását a Kereskedőtől megköveteli, a Kereskedő először is köteles a Borgun/B-Paymentt a jogi vagy szabályozói követelményről tájékoztatni, és lehetőséget köteles a Borgun/B-Payment részére biztosítani arra, hogy a követelmény ellen tiltakozzon vagy azt vitassa, kivéve, ha jogszabály az ilyen értesítést tiltják.

3.4 A Kereskedő minden segítséget köteles a Borgun/B-Paymentnak megadni ahhoz, hogy a Borgun/B-Payment az Adatvédelmi Jogszabályok alapján fennálló kötelezettségeit teljesíteni tudja, figyelembe véve a Személyes Adatok Kereskedő általi kezelésének jellegét és a Kereskedő számára elérhető információkat, beleértve azokat, amelyek az Érintett jogaival, az adatvédelmi hatásvizsgálatokkal és az Adatvédelmi Jogszabályok alapján felügyeleti hatóságoknak történő jelentésekkel és ezen hatóságokkal való konzultációkkal kapcsolatosak.

3.5 A Kereskedő haladéktalanul köteles a Borgun/B-Paymentt értesíteni arról, ha az Adatvédelmi Jogszabályokban olyan változás következett be, amely a Kereskedői Megállapodás Kereskedő által történő teljesítését kedvezőtlenül befolyásolhatja.

4. A KERESKEDŐ ALKALMAZOTTAI

4.1 A Kereskedő biztosítani köteles, hogy alkalmazottai:

a) tájékoztatást kapjanak a Személyes Adatok bizalmas jellegéről, és hogy a Személyes Adatok tekintetében titoktartási kötelezettség és felhasználási korlátozásra vonatkozó kötelezettség alá essenek;

b) vállalják az Adatvédelmi Jogszabályokkal kapcsolatos betanítást a Személyes Adatok kezelésére és arra vonatkozóan, hogy azok hogyan használhatók fel az egyes feladataikhoz; és

c) legyenek tudatában mind a Kereskedő feladatainak, mind pedig saját személyes feladataiknak és kötelezettségeiknek, amelyek az Adatvédelmi Jogszabályok és a jelen Megállapodás alapján állnak fenn.

5. BIZTONSÁG

5.1 A Kereskedő mindenkor köteles megfelelő műszaki és szervezeti intézkedéseket végrehajtani a Személyes Adatok jogosulatlan vagy törvénytelen feldolgozása, azokhoz való jogosulatlan vagy törvénytelen hozzáférés, azok jogosulatlan vagy törvénytelen nyilvánosságra hozatala, másolása, módosítása, tárolása, azokról másolatkészítés, azok megjelenítése vagy terjesztése ellen, valamint a Személyes Adatokat véletlenen ért kár, azok megsemmisülése, megváltoztatása, nyilvánosságra hozatala vagy károsodása ellen, a teljesség igénye nélkül beleértve a B. mellékletben meghatározott biztonsági intézkedéseket.

5.2 A Kereskedő olyan intézkedéseket köteles megvalósítani, amelyek a fennálló kockázatnak megfelelő biztonsági szintet biztosítanak, értelemszerűen beleértve:

a) a személyes adatok álnevesítését és titkosítását;

b) a feldolgozó rendszerek és szolgáltatások folyamatos bizalmas jellege, integritása, elérhetősége

és rugalmassága biztosításának képességét;

c) váratlan fizikai vagy műszaki esemény esetén a személyes adatok elérhetőségének és azokhoz

való hozzáférésnek megfelelő időn belül történő biztosítását; és

d) olyan eljárást, amelynek célja a biztonsági intézkedések hatékonyságának rendszeres vizsgálata, felmérése és értékelése.

6. ADATVÉDELMI INCIDENS

6.1 A Kereskedő haladéktalanul és indokolatlan késedelem nélkül köteles a Borgun/B-Paymentt értesíteni, ha bármely Személyes Adat elveszik, megsemmisül, megsérül, meghibásodik vagy használhatatlanná válik. A Kereskedő ezeket a Személyes Adatokat saját költségén köteles helyreállítani.

6.2 A Kereskedő indokolatlan késedelem nélkül, 12 órán belül köteles a Borgun/B-Paymentt értesíteni, ha:

a) Személyes Adatok véletlen, jogosulatlan vagy törvénytelen kezeléséről; vagy

b) Adatvédelmi Incidensről

szerez tudomást.

6.3 Ha a Kereskedő a fenti (a) és/vagy (b) pontban említettekről tudomást szerez, indokolatlan

késedelem nélkül köteles a Borgun/B-Payment részére a következő információkat megadni:

a) a fenti (a) és/vagy (b) pontban említettek jellegének leírását, beleértve mind az Érintettek, mind

a Személyes Xxxxxx nyilvántartásának kategóriáit és hozzávetőleges számát;

b) a valószínű következmények felmérését; és

c) a fenti (a) és/vagy (b) pontban említett problémák kezelése érdekében megtett vagy megtenni javasolt intézkedések, beleértve a lehetséges kedvezőtlen hatások mérsékléséhez szükséges intézkedések leírását.

6.4 A Felek közvetlenül a Személyes Adatok jogosulatlan vagy törvénytelen feldolgozása, illetve az Adatvédelmi Incidens után kötelesek egymással az ügy kivizsgálása érdekében koordinálni. A Kereskedő a Borgun/B-Paymentnal megfelelő mértékben köteles együttműködni, amikor a Borgun/B-Payment az ügyet kezeli, többek között köteles:

a) a vizsgálatoknál segítséget nyújtani;

b) a Borgun/B-Payment részére fizikai hozzáférést biztosítani az érintett eszközökhöz és

műveletekhez;

c) elősegíteni a Kereskedő alkalmazottaival, korábbi alkalmazottaival és más, az ügyben érintett személyekkel történő beszélgetéseket;

d) elérhetővé tenni a megfelelő nyilvántartásokat, naplókat, fájlokat/dossziékat, adatjelentéseket és más anyagokat, amelyek az Adatvédelmi Jogszabályok vagy a Borgun/B-Payment ésszerű kérése teljesítése érdekében szükségesek; és

e) megfelelő és azonnali lépéseket tenni az Adatvédelmi Incidens vagy a Személyes Adatok törvénytelen feldolgozása hatásainak enyhítése és az abból eredő károk lehető legkisebbre csökkentése érdekében.

6.5 A Kereskedő kizárólag a Borgun/B-Payment előzetes írásos beleegyezése birtokában tájékoztathat harmadik feleket az Adatvédelmi Incidensről, hacsak törvény másként nem rendeli.

6.6 A Kereskedő köteles fedezni a 6.2 és 6.4 pontok alapján fennálló kötelezettségek teljesítésével összefüggésben felmerülő ésszerű mértékű költségeket, kivéve, ha az ügy a Borgun/B-Payment kifejezett utasítása, hanyagsága, szándékos mulasztása vagy a jelen Megállapodás megszegése miatt merül fel, és a Borgun/B-Payment ebben az esetben köteles az összes vonatkozó költséget viselni.

7. SZEMÉLYES ADATOK HATÁROKON ÁTNYÚLÓ TOVÁBBÍTÁSA

7.1. A Kereskedő (illetve alvállalkozója) a Személyes Adatokat a Borgun/B-Payment előzetes írásos beleegyezése nélkül az Európai Gazdasági Térségen (EGT) kívülre nem továbbíthatja, illetve más módon sem kezelheti.

7.2 Amennyiben a Borgun/B-Payment és a Kereskedő között a Személyes Adatok továbbításához az Európai Bizottság személyes adatok Európai Unióból harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, később módosított 2010/87/EU Bizottsági Határozata végrehajtására van szükség az Adatvédelmi Jogszabályoknak való megfelelés érdekében, a Felek kötelesek az említett általános szerződési feltételeket végrehajtani, és kötelesek minden más olyan intézkedést megtenni, ami az említett adattovábbítás legitimálásához szükséges.

8. ALVÁLLALKOZÓK

8.1 A Kereskedő harmadik felet (alvállalkozót) csak akkor bízhat meg a Személyes Adatok

feldolgozásával, ha;

a) a Borgun/B-Payment az egyes alvállalkozók kinevezése ellen 30 napon belül tiltakozhat azt követően, hogy a Kereskedő a Borgun/B-Paymentnak az érintett alvállalkozó részletes adatait megadja;

b) A Kereskedő az alvállalkozóval olyan írásos szerződést köt, amely lényegében ugyanolyan feltételeket tartalmaz, mint amelyeket a jelen Megállapodás meghatároz, különösen a megfelelő műszaki és szervezeti adatvédelmi intézkedések megkövetelésével kapcsolatban, és a szerződések másolatát a Borgun/B-Payment írásos kérésére átadja;

c) A Kereskedői Megállapodásban illetve Szerződési Feltételekben szereplő, alvállalkozók

igénybevételére vonatkozó feltételek teljesülnek

d) A Kereskedő az alvállalkozóra bízott összes Személyes Adat feletti ellenőrzést fenntartja; és

(e) az alvállalkozói szerződés a jelen Megállapodás bármilyen okból történő megszűnése esetén automatikusan megszűnik.

8.2 Ha az alvállalkozó az említett írásos szerződés alapján fennálló kötelezettségeit nem teljesíti, a Kereskedő a Borgun/B-Paymentnak teljes felelősséggel tartozik a szerződéses kötelezettségei alvállalkozó által történő teljesítéséért.

8.3 A Kereskedő a Borgun/B-Payment írásos kérésére köteles megvizsgálni, hogy az alvállalkozó teljesítette-e a Borgun/B-Payment-Személyes Adatokra vonatkozó kötelezettségeit, és a vizsgálat eredményeit a Borgun/B-Payment részére köteles haladéktalanul átadni.

9. PANASZOK, AZ ÉRINTETTEK KÉRELMEI ÉS HARMADIK FELEK JOGAI

9.1 A Kereskedő köteles a megfelelő műszaki és szervezeti intézkedéseket megtenni és az információkat a Borgun/B-Payment kérésére a Borgun/B-Paymentnal haladéktalanul közölni – anélkül, hogy a Borgun/B-Payment részére ez további költségekkel járna – ahhoz, hogy a Borgun/B- Payment:

a) az Érintettek Adatvédelmi Jogszabályok alapján fennálló jogait teljesíteni tudja, beleértve az Érintettek hozzáféréshez való jogát, a személyes adatok helyesbítéséhez és törléséhez való jogot, a személyes adatok feldolgozása és az automatizált adatfeldolgozás elleni tiltakozás jogát, valamint a személyes adatok feldolgozásának korlátozásához való jogot; és

b) eleget tudjon tenni a felügyeleti hatóság által az Adatvédelmi Jogszabályok alapján a Borgun/B- Payment részére kézbesített információs vagy vizsgálati értesítéseknek.

9.2 A Kereskedő a Borgun/B-Paymentt azonnal köteles értesíteni, ha a Személyes Adatok

kezelésével közvetlenül vagy közvetve összefüggő panaszt, értesítést vagy más közlést kap.

9.3 A Kereskedő a Borgun/B-Paymentt három (3) munkanapon belül köteles értesíteni, ha egy Érintettől a Személyes Adataihoz való hozzáférés vagy az Adatvédelmi Jogszabályok alapján fennálló kapcsolódó jogai gyakorlása céljából kérelmet kap.

9.4 A Kereskedő a Borgun/B-Paymentnal teljes mértékben köteles együttműködni és a Borgun/B- Paymentnak minden segítséget megadni a panaszok, értesítések, más közlések, illetve az Érintett kérelmei megválaszolása érdekében.

9.5 A Kereskedő a Személyes Adatokat nem adhatja ki harmadik félnek, kivéve, ha azt a Borgun/B- Payment a jelen Megállapodásban előírtak szerint vagy törvény előírása alapján kéri vagy arra utasítást ad.

10. A MEGÁLLAPODÁS IDŐTARTAMA, FELMONDÁS

10.1 A jelen Megállapodás addig marad teljes mértékben hatályban és érvényben, amíg:

a) a Kereskedői Megállapodás érvényben van, vagy

b) a Kereskedő a Kereskedői Megállapodással összefüggő Személyes Adatokat birtokában vagy ellenőrzése alatt tartja (Időtartam).

10.2 Továbbra is teljes mértékben hatályban és érvényben marad a jelen Megállapodás azon rendelkezése, amely a Kereskedői Megállapodás megszűnésekor vagy azt követően a Személyes Adatok védelme érdekében kifejezetten vagy hallgatólagosan érvénybe lép vagy továbbra is érvényben marad.

10.3 Ha az Adatvédelmi Jogszabályok változása valamelyik felet a Kereskedői Megállapodásban meghatározott összes kötelezettsége vagy azok egy része teljesítésében akadályozza, a Felek a Személyes Adatok feldolgozását kötelesek felfüggeszteni addig, amíg a feldolgozás meg nem felel az új követelményeknek. Amennyiben az egyik Fél három (3) hónapon belül nem tudja a Személyes Adatok feldolgozását az Adatvédelmi Jogszabályoknak megfeleltetni, a másik Fél a Kereskedői Megállapodást a másik Félnek küldött írásos értesítéssel felmondhatja.

11. AZ ADATOK VISSZASZOLGÁLTATÁSA ÉS MEGSEMMISÍTÉSE

11.1 A Kereskedő köteles a Borgun/B-Payment kérésére a birtokában vagy ellenőrzése alatt levő Borgun/B-Payment- Személyes Adatok másolatát a Borgun/B-Payment által ésszerűen meghatározott formátumban és eszközön a Borgun/B-Paymentnak átadni vagy az azokhoz való hozzáférést a Borgun/B-Payment részére biztosítani.

11.2 A Kereskedő a Kereskedői Megállapodás bármilyen okból történő megszűnésekor/felmondásakor vagy a Kereskedői Megállapodás időtartama lejáratakor a birtokában vagy ellenőrzése alatt levő, jelen Megállapodással összefüggő valamennyi Személyes Adatot vagy azok egy részét a Borgun/B-Payment írásos utasítására köteles biztonságosan törölni vagy megsemmisíteni.

11.3 Ha törvény, jogszabály, illetve kormányzati vagy szabályozó testület a Kereskedőnek előírja, hogy olyan okmányt vagy anyagot őrizzen meg, amelyet a Kereskedőnek egyébként vissza kellene szolgáltatnia vagy meg kellene semmisítenie, a Kereskedő a Borgun/B-Paymentt köteles a megőrzési követelményről írásban értesíteni, megadva a megőrzendő okmányok vagy anyagok részletes adatait, a megőrzés jogalapját, valamint egy meghatározott időpontot megsemmisítés céljából arra az esetre, ha a megőrzési követelmény megszűnik.

12. NYILVÁNTARTÁS

12.1 A Kereskedő részletes, pontos és naprakész írásos nyilvántartást köteles vezetni a Személyes Xxxxxx Xxxxxx/B-Payment részére végzett feldolgozásáról, a teljesség igénye nélkül beleértve a Személyes Adatokhoz való hozzáférést, azok ellenőrzését és biztonságát, az engedélyezett alvállalkozókat és leányvállalatokat, a feldolgozás célját, a feldolgozási kategóriákat, a Személyes Adatok harmadik országba történő továbbítását és a kapcsolódó védelmet, valamint az 5.1. pontban hivatkozott műszaki és szervezeti biztonsági intézkedések általános leírását (Nyilvántartás).

13. VIZSGÁLAT

13.1 A Kereskedő a Borgun/B-Payment és a Borgun/B-Payment által képviselőként kijelölt harmadik fél részére lehetővé teszi – a Megállapodás időtartama alatt legalább tíz (10) nappal korábban történő értesítéssel – annak vizsgálatát, hogy a Kereskedő teljesítette-e a Megállapodás szerinti kötelezettségeit. A Kereskedő a Borgun/B-Payment és a Borgun/B-Payment által képviselőként kijelölt harmadik fél részére a vizsgálatok elvégzéséhez minden szükséges segítséget köteles megadni. A segítségnyújtás – a teljesség igénye nélkül beleértve – az alábbiakat foglalja magában:

a) a Nyilvántartáshoz és minden olyan információhoz való fizikai hozzáférés, amely a Kereskedő helyiségeiben vagy a Személyes Adatokat tároló rendszerekben található, illetve azok távoli elektronikus elérése és azokról másolatkészítés;

b) a Kereskedő személyzetének elérése és a személyzettel történő találkozások, amelyekre magyarázatok megadásához és a vizsgálat hatékony elvégzéséhez ésszerű mértékben szükség van; és

c) valamennyi Nyilvántartás és a Személyes Adatok tárolására, feldolgozására vagy szállítására használt infrastruktúra, elektronikus adatok vagy rendszerek, eszközök, berendezések vagy felhasználói szoftverek ellenőrzése.

13.2 A 13.1. pontban szereplő értesítési követelmények nem alkalmazandók, ha a Borgun/B- Payment jogosan feltételezi, hogy Adatvédelmi Incidensre kerül vagy került sor, vagy a Kereskedő a jelen Megállapodás alapján fennálló kötelezettségeit vagy bármely Adatvédelmi Jogszabályt megszeg.

13.3 Ha Adatvédelmi Incidensre kerül vagy került sor, vagy ha a Kereskedő a jelen Megállapodás alapján fennálló bármely kötelezettségének vagy bármely Adatvédelmi Jogszabálynak a megszegéséről tudomást szerez, a Kereskedő:

a) azonnal köteles saját vizsgálatot végezni, hogy a kötelezettségszegés/a jogszabály megsértése okát kiderítse;

b) írásos jelentést köteles készíteni, amely a vizsgálat által azonosított hiányosságok orvoslására részletes tervvel szolgál;

c) a Borgun/B-Payment részére köteles az írásos vizsgálati jelentés másolatát megadni; és

d) 14 napon belül köteles a vizsgálat által feltárt hiányosságokat orvosolni.

13.4 A Kereskedő évente legalább egyszer köteles a helyszínen a Személyes Adatok feldolgozásának gyakorlatát megvizsgálni és a jelen Megállapodás alapján fennálló kötelezettségei teljesítéséhez használt valamennyi eszköz és rendszer információ-technológiai és információ- biztonsági ellenőrzését elvégezni, a teljesség igénye nélkül beleértve egy hálózati szintű sebezhetőségi felmérés elérését, amelyet egy elismert, független ellenőrző cég végez a legjobb elismert ipari gyakorlat alapján.

13.5 A Kereskedő a Borgun/B-Payment írásos felkérésére minden vizsgálati jelentést köteles felülvizsgálat céljából a Borgun/B-Payment rendelkezésére bocsátani, értelemszerűen beleértve: a Kereskedő utolsó Bankkártyapiaci (Payment Card Industry/PCI) Megfelelőségi Jelentését, és szükség szerint Megfelelőségi Tanúsítványt (Attestation of Compliance (AOC), Önértékelési Kérdőív jelentést

(Self-Assessment Questionnaire/SAQ), szkenneléseket egy Engedélyezett Szkenner Eladótól (Approved Scanning Vendor/ASV) és/vagy Megfelelőségi Jelentést (Report on Compliance/ROC).

13.6 A Kereskedő haladéktalanul köteles a vizsgálati jelentésekben leírt kivételekkel foglalkozni oly módon, hogy a vezetősége helyesbítő akciótervet készít és valósít meg.

14. GARANCIAVÁLLALÁS

14.1 A Kereskedő kijelenti és szavatolja, hogy:

a) alkalmazottai, alvállalkozói, ügynökei és a Személyes Adatokhoz a Kereskedő nevében hozzáférő minden más személy megbízható és tisztességes, továbbá, hogy a Személyes Adatokkal kapcsolatos Adatvédelmi Jogszabályokról a szükséges betanítást megkapta;

b) ő és a nevében eljáró személyek az Adatvédelmi Jogszabályok és egyéb törvények, jogszabályok, rendelkezések, rendeletek, szabványok és más hasonló okmány rendelkezéseit/előírásait betartva kezelik a Személyes Adatokat;

c) nincs oka feltételezni, hogy az Adatvédelmi Jogszabályok megakadályozzák őt abban, hogy a Kereskedői Megállapodásban meghatározott bármely szolgáltatást teljesítse; és

d) a mindenkori technológiai környezetvédelmi és megvalósítási költségek figyelembe vételével megteszi azokat a megfelelő műszaki és szervezeti intézkedéseket, amelyekkel a Személyes Adatok jogosulatlan vagy törvénytelen feldolgozását és azok véletlen elvesztését, megsemmisülését vagy károsodását megakadályozza, és biztosítja az olyan biztonsági szintet, amely megfelel:

I. annak a kárnak, amely a jogosulatlan vagy törvénytelen adatfeldolgozásból vagy

véletlen adatvesztésből, megsemmisülésből származik;

II. a védett Személyes Adat jellegének; és

III. az alkalmazandó Adatvédelmi Jogszabályoknak, valamint információs és biztonsági politikájának, beleértve az 5.1. pontban előírt biztonsági intézkedéseket.

14.2 A Borgun/B-Payment kijelenti és szavatolja, hogy a Személyes Adatok Üzleti Célokra és a Borgun/B-Payment kifejezett utasításai szerint a Kereskedő által történő várható felhasználása megfelel az Adatvédelmi Jogszabályoknak.

15. ÉRTESÍTÉSEK

15.1 A jelen Megállapodás alapján vagy azzal kapcsolatban a Kereskedői Megállapodás feltételeinek megfelelően a Felek értesítéseiket egymásnak írásban kötelesek megadni, illetve egymással írásban kötelesek kommunikálni.

A. MELLÉKLET

A SZEMÉLYES ADATOK FELDOLGOZÁSÁNAK CÉLJA ÉS RÉSZLETEI

Az adatfeldolgozás tárgya: A Kártyatulajdonosra és a tranzakciókra vonatkozó információk és más olyan információ, amelyre a szolgáltatások Kereskedői Megállapodás alapján történő teljesítéséhez a Borgun/B-Paymentnak szüksége van.

A feldolgozás időtartama: a Kereskedői Megállapodás időtartama.

A feldolgozás jellege, Üzleti Célok: a feldolgozás célja az, hogy a Kereskedő egy kényelmes eszközt bocsásson vevői rendelkezésére áruk és/vagy szolgáltatások vásárlásához a Card Scheme Marks kártyaprogram alapján kibocsátott Kártyák használatával. A Kereskedő a Kereskedői Megállapodás alapján a megfelelően bemutatott Kártyákat fizetési eszközként elfogadhatja, és a tranzakciókat a Borgun/B-Paymentnak jóváhagyás, kiegyenlítés és elszámolás céljából benyújtja, mint ahogy azt a Kereskedői Megállapodás tartalmazza.

A Személyes Adatok kategóriái: A Kártyatulajdonossal és a tranzakciós információkkal kapcsolatos adatok, amelyek az Adatvédelmi Jogszabályokban meghatározottak szerint bizonyos körülmények között speciális adatkategóriákat foglalnak magukban.

Az Érintettek típusai: Kártyatulajdonosok.

B. MELLÉKLET

BIZTONSÁGI INTÉZKEDÉSEK

A Kereskedő köteles a PCI-DSS szabvány aktuális verziójának megfelelni. A PCI-DSS és a kísérő

dokumentáció a xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/xxxxxxxx_xxxxxxx címen érhetők el.