ITS PROTECTION KFT.
ITS PROTECTION KFT.
ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK 1 .FÜGGELÉK ADATFELDOLOGZÁSI MEGBÍZÁS
az ITS nyomkövetési Szolgáltatás, ITS Kft. általi Bevallási Közreműködői Adatszolgáltatás („e-Útdíj”), és E-Parkolási Szolgáltatás igénybevételével az ITS Protection Kft. telematikai informatikai rendszerbe bekerülő személyes adatok feldolgozására
Jelen Függelék az ITS Protection Kft. által nyújtott Szolgáltatásokkal kapcsolatos és ITS Protection Kft. által a Szolgáltatás Megrendelője megbízásából ellátásra kerülő, az Európai Parlament és a Tanács (EU) a 2018 május 25-én hatályba lépő 2016/679 Általános Adatvédelmi Rendelete (továbbiakban: Rendelet, vagy GDPR) szerinti adatfeldolgozás tevékenységet szabályozza.
Preambulum:
Amennyiben a Megrendelő a Szolgáltatótól nyomkövetési (flottakövetési) telematikai szolgáltatást, és/vagy Útdíj törvény szerinti Bevallási Közreműködői Adatszolgáltatást, és/vagy E-parkolás szolgáltatást (továbbiakban együtt „Szolgáltatás” gyűjtőfogalom alatt) vesz igénybe, a Felek közt a szolgáltatásra irányulóan szerződéses jogviszony (továbbiakban együtt, gyűjtőfogalomként „Szolgáltatási Szerződés”) jön létre.
A Szolgáltató által a Megrendelő részére biztosított fenti szolgáltatások alapját egy olyan telematikai tervező, elemző, támogató informatikai megoldás képezi, amelynek használata során a Megrendelő, mint Adatkezelő által kezelt személyes adatok kerülhetnek a Szolgáltatást biztosító telematikai informatikai rendszerbe, vagy kerülhetnek megjelenítésre a felhasználói platformokon.
A Szolgáltató az adott Szolgáltatásra irányuló szerződés alapján, abban foglalt szerződéses kötelezettségei és vállalásai teljesítése keretében és érdekében, a Megrendelőtől, mint Adatkezelőtől kapott megbízás – adatfeldolgozói megbízás – alapján végzi a Megrendelő, mint Adatkezelő által kezelt és Szolgáltató informatikai rendszerébe bekerülő ezen személyes adatok kezelését, feldolgozását.
A Szolgáltató e tevékenysége során kizárólag a Megrendelővel kötött szolgáltatási szerződése keretében és annak alapján az ITS telematikai informatikai rendszerébe beérkező adatok feldolgozását végzi, melyek feldolgozására a Megrendelőtől a jelen szerződés útján kifejezett megbízást kap.
A fentiek alapján Megrendelő, mint Adatkezelő ezúton megbízza a Szolgáltatót, mint Adatfeldolgozót a szolgáltatási szerződésben – és kapcsolódó ÁSZF(ek)ben – meghatározott Szolgáltatói feladatok elvégzéséhez szükséges Adatfeldolgozói feladatok ellátásával, az alábbiak szerint.
1. Értelmező rendelkezések:
Személyes adat: azonosított vagy azonosítható természetes személyre (jelen dokumentumban: különösen, de nem kizárólagosan gépjárművezetőre, gépjármű természetes személy tulajdonosára/üzemeltetőjére, továbbiakban együtt „érintettre”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, jelen melléklet értelmezésében a Preambulumban jelzett telematikai informatikai megoldás végfelhasználója, aki/amely a rendszerbe a személyes adatokat felvezeti, beviszi, jelen Adatfeldolgozói megbízás értelmezésében a Megrendelő.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel, jelen melléklet értelmezésében a Szolgáltató.
További Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amelynek szolgáltatásait az Adatfeldolgozó veszi igénybe az adatkezelő nevében végzett egyes konkrét adatkezelési (adatfeldolgozói) tevékenységek ellátásához.
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel, vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
Harmadik fél: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az Adatkezelővel, az Adatfeldolgozóval vagy További Adatfeldolgozóval, vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
2. Vonatkozó jogszabályok
A jelen Adatfeldolgozói Megbízás rendelkezéseinek meghatározása során a GDPR Rendelet mellett különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”) rendelkezései az irányadóak.
3. Az Adatfeldolgozási Megbízás hatálya
Jelen Adatfeldolgozási Megbízás a Szolgáltatás igénybevétele során az Szolgáltató informatikai rendszerébe a Megrendelő (Adatkezelő) rendelkezése alapján bekerülő személyes adatok kezelésére, és a Szolgáltatás biztosításával összefüggő, Szolgáltatói kötelezettségek teljesítéséhez szükséges adatkezelésekre terjed ki.
4. A szerződés tárgya, az adatfeldolgozási tevékenység
4.1. A jelen, adatfeldolgozási szerződés alapján kifejezetten, de nem kizárólagosan Szolgáltató arra kap utasítást, hogy biztosítsa:
- a Szolgáltatás üzemeltetését a Szerződésben és irányadó ÁSZF(ek)ben foglaltaknak megfelelően
- a szolgáltatásban elérhető funkciók működését,
- az abban elérhető funkciók működtetését,
- az adatok megfelelő szintű tárolását, rendelkezésre állását.
4.2. A feldolgozással érintett adatok főbb típusai:
a) gépjárművek adatait, jellemzően útvonal adatokat, ide értve de nem kizárólagosan a jármű pillanatnyi tartózkodási helyét, a megtett útvonalát, a jármű mozgási adatait (ide értve a megállási adatokat is), sebesség adatokat.
b) a Szolgáltatáshoz kapcsolódó informatikai megoldásban elérhető egyes funkcionalitások használata során az Adatkezelő által a rendszerbe bevitt járművezetői adatok (ide értve, de nem kizárólag a járművezető nevét, egyéb azonosítóját.)
c) a Szolgáltatáshoz kapcsolódó informatikai megoldásban elérhető egyes funkcionalitások használata során az Adatkezelő által a rendszerbe bevitt gépjárrmű tulajdonosi/üzemeltetői adatok (ide értve, de nem kizárólag a gépjármű természetes személy tulajdonosának/üzemeltetőjének nevét, egyéb azonosítóját.)
d) a Megrendelő vagy a vele szerződött harmadik személy végfelhasználók (adatkezelők) által létrehozott alfelhasználók adatait (felhasználó nevek, személynevek, egyéb személyes adat).
Megrendelő tudomásul veszi, hogy a Szolgáltató a Szolgáltatás mögötti informatikai megoldását folyamatosan fejleszti, amely azt is eredményezi, hogy a rendszerben rögzíthető, megjeleníthető személyes adatok köre a fejlesztése során módosulhat. A személyes adatok kezelésének bővülése esetében azonban az adatfeldolgozás csak akkor valósulhat meg, ha az adatkezelő a rendszer arra szolgáló felületén és mezőiben az adatokat rögzíti.
Szolgáltató tájékoztatja a Megrendelőt, hogy a Szolgáltatáshoz kapcsolódó informatikai megoldásban az adatkezelés/adatfeldolgozás az alábbi adatfeldolgozási technikai feltételek mellett valósul meg:
- a használata során a szolgáltatási felület kifejezetten utal minden olyam mezőre – és ekként nevesíti őket –, ahova rendeltetésszerű használat mellett természetes személyek személyes adatait lehet rögzíteni. Ezen adatok felvitele az Adatkezelő által közvetlenül valósulhat meg.
- a járműadat automatizált módon kerül a telematikai informatikai rendszerbe
i) ITS nyomkövetési (flottakövetési) szolgáltatás és e-útdíj bevallási közreműködői adatszolgáltatás során az Adatkezelő általa megvásárolt, vagy más módon az Adatkezelő részére biztosított és a járműbe szerelt jármű fedélzeti egység segítségével, amennyiben az üzemszerű működési feltételek biztosítottak, és a fedélzeti egység rendelkezik az adattovábbítást biztosító adatforgalmi előfizetéssel bíró SIM kártyával (Megrendelő feladat és felelősségi köre az Adatkezelőtől az erre vonatkozó Adatfeldolgozási megbízás megszerzése);
ii) E-parkolás szolgáltatás során a parkoláshoz szükséges jogosultság az Adatkezelő általa megvásárolt, vagy más módon az Adatkezelő részére biztosított és a járműbe szerelt jármű fedélzeti egység segítségével, amennyiben az üzemszerű működési feltételek biztosítottak, és a fedélzeti egység rendelkezik az adattovábbítást biztosító adatforgalmi előfizetéssel bíró SIM kártyával (Megrendelő feladat és felelősségi köre az Adatkezelőtől az erre vonatkozó Adatfeldolgozási megbízás megszerzése);
5. Adatfeldolgozás elvei, a felek jogai és kötelezettségei az adatok feldolgozásával kapcsoltban
Megrendelő és Szolgáltató a Rendelet rendelkezéseinek figyelembevételével gondoskodnak az adatfeldolgozások során az Érintettek magánéletének tiszteletben tartásához való jogának, továbbá alapvető jogainak és szabadságjogainak védelméről.
A Megrendelő a beépített és alapértelmezett adatvédelem elvének szem előtt tartásával köteles gondoskodni arról, hogy olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét fent meghatározott adatkezelési célok és Megrendelő jogi kötelezettségének elérése szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.
Megrendelő gondoskodik arról, hogy az adatkezelés céljának elérése érdekében a Szolgáltató részére átadott személyes adatok csak olyan személyek számára legyenek elérhetőek, akiknek a Megrendelő és Szolgáltató szervezetén belül meghatározott feladata van.
Szolgáltató elfogadja és garantálja, hogy maradéktalanul ügyel arra, hogy megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy:
a személyes adatok kezelésére használt rendszerek és szolgáltatások bizalmas jellegüket megőrizzék,
a használt informatikai rendszerek integritása, rendelkezésre állása és külső behatások elleni védekező képessége fennálljon,
mind saját maga, mind munkavállalói, megbízottjai felé titoktartási kötelezettséget támaszt, amely titoktartás határidő nélkül terheli.
Szolgáltató a biztonság megfelelő szintjének meghatározásakor figyelembe veszi az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
Megrendelő köteles tájékoztatni Szolgáltatót, amennyiben a szolgáltatás használata keretében jogi kötelezettség teljesítéséhez szükséges adatkezelés valósul meg. Az értesítésben pontosan meg kell jelölni, hogy a jogi kötelezettséget mely jogszabály írja elő és mely adatokra terjed ki.
Szolgáltató elfogadja és garantálja, hogy maradéktalanul ügyel arra, hogy megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy:
- a személyes adatok kezelésére használt rendszerek és szolgáltatások bizalmas jellegüket megőrizzék,
- a használt informatikai rendszerek integritása, rendelkezésre állása és külső behatások elleni védekező képessége fennálljon”, ennek keretében a Szolgáltató kijelenti, hogy:
jogosulatlan hozzáférés ellen a technika mai állása mellett általa ismerten védettek a rendszerei, csak authentikált felhasználó belépése lehetséges a rendszerekbe,
az integrált belső rendszerek VPN hozzáféréssel érhetők csak el a munkavállalói, esetleges közreműködői számára,
szándékos rosszindulatú behatolás ellen tűzfallal védett a teljes szolgáltatási infrastruktúra,
URL megosztással történő hozzáférés ellen a rendszerek védettek,
a szerverek nonstop szolgáltatást, üzemelést tesznek lehetővé a rendszereknek,
nem valósul meg a felhasználói belépéshez használható adatok tárolása a dokumentumokban,
a személyes adatok láthatósága szabályozott, jogosultsághoz kötött,
a További Adatfeldolgozók felé való átadáson kívül, és egyéb a Rendeletben, egyéb jogszabályban rögzítettek szerinti adattovábbítási kötelezettségeken felül az integrált rendszerekből nem valósul meg személyes adat adattovábbítása, vagy az adat nyilvánosságra hozatala.
Szolgáltató a biztonság megfelelő szintjének meghatározásakor figyelembe veszi az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
A személyes adatok feldolgozása során Szolgáltató az alábbi adatbiztonsági intézkedéseket biztosítja:
- a jogosulatlan adatbevitel megakadályozása, ezen belül:
a Szolgáltatáshoz és mögöttes informatikai rendszerekhez csak a kért és kapott hozzáférési adatok használatával lehet hozzáférni,
az accountoknak különböző jogosultsági szintjei vannak, amelyek adat láthatóságot is definiálnak, szabályoznak az Adatkezelő által eszközölt beállításoknak megfelelően,
- az alkalmazott informatikai rendszerek automatikus adatfeldolgozó alrendszereinek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozása, ezen belül:
a Szolgáltató rendszerei zárt struktúrát alkotnak, azokhoz való hozzáférés vagy szigorúan szabályozott, vagy nem is lehet külső hozzáférést megvalósítani,
- annak ellenőrizhetősége és megállapíthatósága, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják, valamint annak ellenőrizhetősége és megállapíthatósága, hogy mely személyes adatokat, milyen időpontban, mely személy vitte be az automatikus adatfeldolgozó rendszerekbe
- az informatikai rendszer üzemzavar esetén történő helyreállíthatósága, ennek keretében:
mentés történik minden szolgáltatást érintő rendszerre, azok helyreállítására egy kidolgozott protokoll áll rendelkezésre,
Online és offline mentés történik, forgalmi adatok file rendszer szinten tárolódnak napi mentés formájában, tükör adatbázis érhető el minden releváns adatbázisra,
a mentést tartalmazó eszközök zárt védett helyen, szabályozott hozzáféréssel tároltak.
- az automatizált feldolgozás során fellépő hibákról jelentés készítés, ennek keretében:
a rendszer működése során fellépő hibákról a napló állományok adatai alapján jelentés készül, amelyekhez való hozzáférés szigorúan szabályozott.
5.1. Utasítási jog
Szolgáltató vállalja, hogy csak a Megrendelő nevében, és jelen szerződési feltételek szerinti utasításával összhangban dolgozza fel a személyes adatokat, amennyiben bármely oknál fogva nem képes megfelelni ezeknek a követelményeknek, haladéktalanul tájékoztatja erről a Megrendelőt.
A Megrendelő adatfeldolgozásra adott utasítása a Szolgáltatási Szerződés alapján Megrendelőnek nyújtani vállalt szolgáltatáshoz szükséges adatfeldolgozás. A Megrendelő jelen megbízással utasítja a Szolgáltatót, mint Adatfeldolgozót arra, hogy a Szolgáltatás nyújtását biztosító informatikai rendszer(ek) üzemeltetése során megtegye mindazon adatkezeléseket, amelyek megtétele szükséges a Megrendelő által megrendelt szolgáltatás szerződésszerű nyújtásához.
Amennyiben az Adatkezelő anonimizáltan (adott személyhez kötésre alkalmatlan módon) rögzíti az adatokat a rendszerbe, úgy a Felek ezt az intézkedést az adatfeldolgozással kapcsolatos kockázatcsökkentésként kezelik, de a Szolgáltató a továbbiakban is biztosít minden, személyes adatfeldolgozással kapcsolatos, jelen szerződés szerinti garanciát.
A Szolgáltató kijelenti, hogy nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák a Megrendelőtől kapott utasítások és a szerződésben vállalt kötelezettségek teljesítését.
Szolgáltatót terheli a felelősség a Megrendelő utasításaitól eltérő, vagy Megrendelő utasítása nélküli eljárásból fakadó jogsértésekért.
A Megrendelő tudomásul veszi, hogy az Adatkezelő a szolgáltatási felület igénybevételével jogosult és képes közvetlenül törölni az általa rögzített adatokat a rendszer adattörlési funkcióinak használatával. Kivételt képez ez alól a járműútvonal adat, amelynek törlését a Megrendelő utasítása alapján a Szolgáltató végzi el, figyelemmel a mögöttes telematikai megoldás technológiai sajátosságaira, amelyek nem teszik lehetővé, hogy az informatikai rendszerbe kerülő járműadatokra a Megrendelő, mint Adatkezelő közvetlenül törlést hajthasson végre.
Megrendelő jelen szerződés aláírásával kifejezetten engedélyt ad arra, hogy a szolgáltatás technikai fejlesztése keretében Szolgáltató, vagy a szolgáltatás szerzői jogaival rendelkező más személy a szolgáltatás mögöttes informatikai rendszereit fejlessze, abban módosításokat hajtson végre.
5.2. További adatfeldolgozó igénybevétele
Szolgáltató az egyes Szolgáltatások üzemeltetése során az alábbi További adatfeldolgozókat veszi igénybe:
- Nemzeti Mobilfizetési zrt. (1027 Budapest, Kapás u. 6-12): az e-parkolás szogláltatás biztosítása keretében
- NÚSZ Zrt. (1030 Budapest, Pf.: 1170): az Útdíjtörvény szerinti Bevallási Közreműködői tevékenység ellátása keretében
- Dotroll Kft. (0000 Xxxxxxxx, Xxxxxxxx xx 0-0): tárhely szolgáltatás
- Sigmanet Kft. (1132 Budapest, Xxxxxx Xxxx u. 18-22): tárhelyszolgáltatás (biztonsági mentések)
Szolgáltató tájékoztatja Megrendelőt, hogy a felsorolt További Adatfeldolgozók felett a magyarországi Nemzeti Adatvédelmi és Információszabadság Hatóság felügyeleti jogköre érvényesül.
A Szolgáltató kötelezettséget vállal arra, hogy a további adatfeldolgozók esetében is a jelen szerződés szerinti garanciák érvényesülnek és az általa jogszerűen igénybe vett további adatfeldolgozóval megkötendő írásbeli megállapodásban nem telepít a jelen szerződésben foglaltaknál kedvezőbb adatvédelmi kötelezettségeket a további adatfeldolgozóra, ideértve az Adatkezelőt megillető ellenőrzési jogosultságokat is. Függetlenül a jelen szerződésből eredő adatvédelmi kötelezettségek további adatfeldolgozóra történő telepítésétől az Adatkezelővel szemben kizárólag az Adatfeldolgozó felel a vállalt kötelezettségek teljesítéséért.
5.3. Megrendelő felé fennálló egyedi értesítési kötelezettségek:
A Szolgáltató azonnal értesíti a Megrendelőt a következőkről:
- ellenkező értelmű tilalom - például egy bűncselekménynek a bűnüldözési szervek általi felderítése bizalmasságának érdekében fennálló büntetőjogi tilalom - hiányában állami szervek részéről (ide értve bíróságtól, hatóságtól, bűnüldöző szervektől) érkezett, jogilag kötelező erejű felhívása a személyes adatok közlésére, amennyiben a felhívás alapján nem köteles a Szolgáltató titoktartásra;
- közvetlenül az érintettek részéről a Szolgáltatóhoz érkezett kérés, érdeklődés, anélkül hogy erre válaszolna, kivéve, ha erre felhatalmazást kapott;
5.4. Az adatkezelési műveletek támogatása
Szolgáltató a Megrendelőtől érkező megkeresés alapján támogatja:
- az Adatkezelőt a GDPR 35. cikke szerinti hatásvizsgálat lefolytatásában azzal, hogy a Megrendelő által megfogalmazott konkrét, az adatfeldolgozással kapcsolatos kérdésekre 20 napon belül írásbeli választ ad,
- a Megrendelőt az adatvédelmi incidensek kezelésében azzal, hogy:
ha Szolgáltató bármilyen szintű adatvédelmi incidenst észlel, akkor azt 48 órán belül jelzi a Megrendelő felé,
ha a Megrendelő adatvédelmi incidenst jelez a Szolgáltató felé, akkor Szolgáltató közreműködik az incidens kivizsgálásában. Magas szintű adatvédelmi incidens estén soron kívül, és haladéktalanul, alacsony szintű adatvédelmi incidens estén 15 munkanapon belül elvégzi az ahhoz szükséges vizsgálatokat, amely annak megállapításához szükséges, hogy az incidens oka a szolgáltatás működésével áll-e
összefüggésben. Amennyiben az incidens oka az szolgáltatással összefüggésbe hozható, akkor a Szolgáltató közreműködésre köteles az incidens kezelése során.
ha bármely a Megrendelőtől érkező jelzés alapján megállapítja, hogy bármilyen szintű adatvédelmi incidens oka a szolgáltatás működésével függ össze, akkor a szolgáltatás hibájának javítását magas szintű incidens esetén haladéktalanul, alacsony szintű incidens esetén 15 munkanapon belül megkezdi, magas szintű incidens esetén a lehetőségekhez képest, az ésszerűen elvárható határidőn belül legkorábban, alacsony szintű incidens esetén legfeljebb 60 napon belül befejezi és a hibajavításról tájékoztatja valamennyi Megrendelőt.
Felek az adatvédelmi incidensek felmerülése esetén közösen az adott incidenst az alábbiak szerint sorolják szintekbe:
- Alacsony szintű adatvédelmi incidens: a személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy az azokhoz való jogosulatlan hozzáférés. Ilyen eset különösen az, ha az adat nem köthető természetes személyhez.
- Magas szintű adatvédelmi incidens:
a személyes adatok széles körének jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy az azokhoz való jogosulatlan hozzáférés,
az adatok körétől függetlenül minden olyan eset, amikor az incidensnek az érintettre súlyosan hátrányos hatása valószínűsíthető, vagy a hátrányos következmény bekövetkezése biztos.
- Szolgáltató igény esetén személyes konzultációban biztosítja annak a lehetőségét, hogy a Megrendelő ellenőrizni tudja a szolgáltatás működését, azonban Szolgáltató technikai lehetőségek hiánya miatt, valamint szerzői jogi korlátok miatt a szolgáltatás mögötti informatikai rendszerek forráskódjához nem biztosít hozzáférést.
- Szolgáltató haladéktalanul tájékoztatja a Megrendelőt, ha annak valamely utasítása Szolgáltató megítélése szerint sérti a vonatkozó adatvédelmi követelményeket. Amennyiben az utasítást a Megrendelő az értesítést követően is fenntartja, Szolgáltató mentesül az adott adatfeldolgozási tevékenységgel kapcsolatos felelősség alól.
5.5. Az érintetti joggyakorlás támogatása
Szolgáltató az érintetti joggyakorlást az alábbiak szerint támogatja:
- általános támogatás: a Megrendelő bármikor jogosult kéréssel fordulni Szolgáltató felé, ha az érintettek számára valamely jog gyakorlásához Szolgáltató közreműködésére van szükség, ilyen esetekben Szolgáltató az igényt a Megrendelővel egyeztetve 25 napon belül teljesíti,
- adatkezelés korlátozáshoz való jog támogatása: az ITS nyomkövető rendszerben és az E-parkolás rendszerben lehetőség van az a korlátozás elvégzésére az Adatkezelő azt saját hatáskörben meg tudja valósítani (pl. korlátozni kért adatot álnevesítés útján és kiegészítő jelöléssel ellátva hajtja végre a korlátozást, vagy pl. a szolgáltatáson belüli jogosultságkezelés útján.)
- adathordozhatósághoz való jog támogatása: lehetőség van az adatok exportálására, amely egyben az adatok hordozhatóságát is biztosítja, az erre felhasználói joggal rendelkező felhasználóknak,
- törléshez való jog támogatása: a szolgáltatásban az Adatkezelő által bármikor törölhetőek a felvitt
személyes adatok, vagy helyettesíthetőek álnévvel. Kivételt képez
általánosságban az útvonaladat, amelyek törlését a Megrendelő utasítása alapján a Szolgáltató végzi el, figyelemmel a technológiai sajátosságokra,
az úthasználati bevalláshoz szükséges útvonal adatok, melyek a NÚSZ Zrt szerinti időtartamig kötelezően tárolandóak
az E-parkolás szolgáltatás keretében az adatok 2 évig megőrzendőek
- hozzáférhetőséghez való jog támogatása: tekintve, hogy a Megrendelő és az Adatkezelő is minden rögzített adatot elér a Szolgáltatáson keresztül, ezért az érintett számára a szolgáltatáson keresztüli lekérdezéssel tudnak tájékoztatást adni, hogy milyen adatainak kezelése valósul meg a rendszer használatával,
- helyesbítéshez való jog támogatása: az Adatkezelő bármikor jogosult a helytelenül felvitt adatot a szolgáltatáson keresztül – közvetlenül vagy a szolgáltató közreműködését kérve – pontosítani, kivéve az útvonal adatokat, amelyek helyesbítésére a technológia sajátossága és a rendszer zártsága miatt nincs lehetőség.
5.6. Nyilvántartási kötelezettség
Szolgáltató nyilvántartást vezet az általa végzett Adatfeldolgozási tevékenységről.
5.7. Titoktartás
Szolgáltató kötelezi magát arra, hogy az adatfeldolgozási tevékenységének jelen Szerződésben meghatározott ellátása során tudomására jutó személyes adatokat és minden olyan további információt, amely a Szolgáltató adatfeldolgozási tevékenysége során tudomására jut, bizalmasan kezeli és azokat kizárólag a jelen megbízás szerinti feladatok ellátása érdekében használja fel.
6. Az adatfeldolgozási szerződés megszűnését követően fennálló kötelezettségek
A Megrendelő és Szolgáltató megállapodnak abban, hogy az adatfeldolgozás megszüntetését követően az Szolgáltató anonimizálja a megszűnt szolgáltatás folytán a rendszerébe bekerült és a szolgáltatás megszűnésekor ott, vagy onnan elérhető, Szolgáltatás igénybevétele során a Megrendelő, mint Adatkezelő által rendelkezésre bocsátott személyes adatot.
ITS PROTECTION KFT.