adatkezelő cégneve>
<adatkezelő cégneve>
Amely létrejött egyrészről a
VCC Live Hungary Kft. | |
Székhely | 0000 Xxxxxxxx, Xxxxxxxx xx 0/X. 5. em. |
Cégjegyzékszám | 00-00-000000 |
Adószám | 13452696-2-43 |
Képviseletre jogosult | Xxxx Xxxxxxxx ügyvezető igazgató |
Adatvédelmi tisztviselő | xx. Xxxxx Xxxx |
, mint adatfeldolgozó – a továbbiakban Adatfeldolgozó vagy Szolgáltató vagy VCC Live
másrészről a
XY Cégnév |
Székhely |
Cégjegyzékszám |
Adószám |
Képviseletre jogosult |
Adatvédelmi tisztviselő |
Account név |
, mint adatkezelő – a továbbiakban Adatkezelő vagy Előfizető – között az alulírott napon és az alábbi
tartalommal.
Adatfeldolgozó Adatkezelő
Preambulum
1. Felek rögzítik, hogy Adatkezelő – mint előfizető – Előfizetői Szerződést (a továbbiakban: "Előfizetői Szerződés") kötött a VCC Live-val, mint Szolgáltatóval VCC Live Szolgáltatás igénybe vétele tárgyában (...) napján.
2. Az Előfizetői Szerződés teljesítése megköveteli, hogy az Adatfeldolgozó az Adatkezelő által rendelkezésre bocsátott személyes adatokat (továbbiakban: "Személyes Adat") feldolgozza.
3. Adatkezelő és Adatfeldolgozó jelen Adatfeldolgozói szerződést (továbbiakban: "Adatfeldolgozói Szerződés") abból a célból kötik, hogy az Előfizetői Szerződés által rendezett/teljesített szolgáltatáshoz kapcsolódóan Adatfeldolgozó által végzett adatkezelési tevékenység megfeleljen a vonatkozó jogszabályoknak, így különösen az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU rendelete (továbbiakban: GDPR) előírásainak.
4. A fentiek alapján Felek a GDPR 28. cikkének megfelelően a jelen Szerződés keretei között rögzítik az Adatkezelő megbízása alapján az Adatfeldolgozó által ellátott adatfeldolgozási tevékenység alapvető szabályait.
5. Az Adatfeldolgozó által a jelen Szerződés keretében az Adatkezelő nevében végzett adatkezelési tevékenységek részletes meghatározását a jelen Szerződés 1. számú melléklete tartalmazza.
1. Személyes Adatok feldolgozása
1. Adatfeldolgozó a Személyes Adatokat kizárólag az Adatkezelő írásbeli utasításai alapján kezeli – beleértve a Személyes Adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő. Ebben az esetben erről a jogi előírásról az Adatfeldolgozó az Adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja.
2. Adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, saját céljára adatfeldolgozást vagy adatkezelést nem végezhet.
Adatfeldolgozó Adatkezelő
2. Adatfeldolgozó alkalmazottai
1. Adatfeldolgozó biztosítja, hogy a Személyes Adatok feldolgozására feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
2. Az Adatfeldolgozó minden esetben biztosítja, hogy az Adatkezelő által kezelt személyes adatokhoz való hozzáférés szigorúan azokra a munkatársakra vagy egyéb személyekre korlátozódjon, akiknek az Előfizetői Szerződés teljesítése érdekében feltétlenül szükséges megismernie/hozzáférnie ezen adatokhoz azzal, hogy minden ilyen személy titoktartási kötelezettséget vállal, vagy jogszabályon alapú megfelelő titoktartási kötelezettség alatt áll.
3. A Személyes Adatok biztonsága
1. Figyelembe véve a technikai fejlődés eredményeit, az iparban és a technológiai fejlesztésben jelenleg alkalmazott legjobb gyakorlatokat, a végrehajtási költségeket, valamint a Személyes Adatok feldolgozásának természetét, terjedelmét, összefüggéseit és céljait, valamint az érintettek jogait és szabadságait érintő kockázatokat, különösen a Személyes Adatok biztonságának megsértéséből eredő kockázatokat, az Adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre a Személyes Adatok véletlen vagy jogellenes megsemmisítése, véletlen elvesztése (beleértve törlés), módosítása, illetéktelen közzététele, használata vagy hozzáférés, valamint a jogellenes feldolgozás minden más formája ellen.
2. Az Adatfeldolgozó által foganatosított technikai biztonsági intézkedéseket a jelen Adatfeldolgozói Szerződés 2. sz. melléklete tartalmazza.
3. Adatkezelő jogosult a szervezési és technikai intézkedések bizonyítását kérni az Adatfeldolgozótól. Az Adatfeldolgozó a bemutatott dokumentációkon túl jóváhagyott magatartási kódexekhez vagy jóváhagyott tanúsítási mechanizmushoz való csatlakozását is felhasználhatja ennek bizonyítására.
4. Adatfeldolgozó az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti Adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
5. Adatfeldolgozó segíti az Adatkezelőt a GDPR 32–36. cikk (Az adatkezelés biztonsága, Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak, Az érintett tájékoztatása az adatvédelmi incidensről, Adatvédelmi hatásvizsgálat, Előzetes konzultáció) szerinti kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat.
Adatfeldolgozó Adatkezelő
4. További adatfeldolgozó kijelölése
1. Adatkezelő jelen Adatfeldolgozói szerződéssel általános meghatalmazást ad Adatfeldolgozó részére az Adatfeldolgozó által a jelen Szerződés hatályba lépését megelőzően megbízott adatfeldolgozók cseréjére, illetve további adatfeldolgozók igénybevételére. Adatfeldolgozó legalább 30 (harminc) nappal előre tájékoztatja az Adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az Adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
2. Amennyiben Adatfeldolgozó az Adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket telepíti, mint amelyek jelen Szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó Xxxxxxxxxxxxxx teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
5. Adatfeldolgozó további kötelezettségei az Adatkezelő felé
1. Amennyiben Adatfeldolgozó bármely érintettől a GDPR-ben biztosított egy vagy több joga gyakorlására irányuló kérést kap, Adatfeldolgozó köteles az érintetett tájékoztatni arról, hogy megkeresésével közvetlenül az Adatkezelőhöz forduljon és egyúttal köteles a megkeresésről az Adatkezelőt is haladéktalanul tájékoztatni.
2. Adatfeldolgozó kötelezettséget vállal arra, hogy a GDPR 30. cikk 2. bekezdése alapján nyilvántartást vezet az Adatkezelő nevében végzett adatfeldolgozási (adatkezelési) tevékenységek minden kategóriájáról.
A nyilvántartás a következő információkat tartalmazza:
a) az Adatfeldolgozó neve és elérhetőségei;
b) minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az Adatfeldolgozó eljár, továbbá – ha van ilyen – az Adatkezelő vagy az Adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
c) az egyes adatkezelők nevében végzett adatfeldolgozási (adatkezelési) tevékenységek kategóriái;
d) adott esetben a Személyes Adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása esetén a megfelelő garanciák leírása;
e) Adatfeldolgozó által biztosított technikai és szervezési intézkedések általános leírása.
Adatfeldolgozó Adatkezelő
6. Adatvédelmi incidens
1. Adatfeldolgozó az adatvédelmi incidenst köteles az arról való tudomásszerzést követően haladéktalanul, de legkésőbb 48 órán belül bejelenteni Adatkezelőnek.
2. Az említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint
d) ismertetni kell az Adatfeldolgozó által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
7. Személyes Adatok törlése vagy visszaszolgáltatása
1. Az Előfizetői Szerződés bármely okból történő megszűnését követően az Adatkezelő által a VCC Live Szolgáltatás igénybevétele során feltöltött, rögzített vagy előállított adatokat (pl. beállítások, ügyféladatok, hangállományok, statisztikák) Adatfeldolgozó a VCC Live ÁSZF 3.3 (8) és (9) bekezdésében foglaltaknak megfelelően törli.
8. Audit jogok
1. Adatfeldolgozó az Adatkezelő kérésére rendelkezésére bocsát minden olyan információt, amely a jelen Adatfeldolgozói Szerződésben foglaltaknak való megfelelés igazolása érdekében szükséges.
2. Adatfeldolgozó lehetővé teszi és hozzájárul az Adatkezelő, vagy az Adatkezelő által kijelölt auditor általi audit megtartására a Személyes Adatnak Adatfeldolgozó általi feldolgozásával kapcsolatos ellenőrzéséhez az Adatkezelő költségén.
3. Az ellenőrzési folyamat során Adatfeldolgozó betekintési jogot biztosít Adatkezelő vagy az auditor számára az Adatfeldolgozó szabályzataiba/dokumentációjába abból a célból, hogy Adatfeldolgozó folyamatait, intézkedéseit megismerjék és ezzel kapcsolatban információt, bizonyítékot gyűjtsenek. Amennyiben a sikeres audit eljárás miatt feltétlenül szükséges, Adatkezelő vagy az általa megbízott auditor másolatot készíthet kizárólag a dokumentáció releváns részéről. Adatfeldolgozó fenntartja a
Adatfeldolgozó Adatkezelő
jogot a másolat készítésének megtagadására, amennyiben a másolandó dokumentumban található információk kiemelt kockázatot jelentenek (például szigorúan bizalmasként jelölt dokumentumok) a szolgáltatás biztonságos üzemeltetésével kapcsolatosan. A szabályzatok, dokumentumok teljes másolása nem megengedett.
4. Adatkezelő köteles előzetesen értesíteni Adatfeldolgozót – legalább 10 nappal előre – az audit
várható időpontjáról.
5. Az Adatkezelő és az általa kijelölt auditor nem okozhat semmilyen kárt, sérülést vagy zavart az Adatfeldolgozó helyiségeiben, felszerelésében, alkalmazottaiban és üzleti tevékenységében. Amennyiben Adatkezelő bármilyen kárt okoz az ellenőrzési folyamat során, akkor teljes kártérítési felelősséggel tartozik az általa okozott károkért.
6. Adatkezelő magas szintű bizonyítékként veszi figyelembe Adatfeldolgozó tanúsítványait az ellenőrzési folyamat során.
7. Adatkezelő és az általa megbízott külső és/vagy belső auditorok, titoktartási kötelezettséggel tartoznak minden, az ellenőrzési folyamat során megszerzett információval kapcsolatban.
9. Felelősség és kártérítés
1. Amennyiben bármely Fél jelen Szerződést szándékosan vagy súlyosan gondatlanul megsérti, köteles a sérelmet szenvedett fél teljes kárát megtéríteni.
2. Az Adatfeldolgozó kizárólag akkor felelős az adatkezelés által okozott károkért, ha nem tartotta be a GDPR-ban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az Adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
3. A szerződés megsértése esetén Adatfeldolgozó köteles mentesíteni az Adatkezelőt a jogerősen megállapított kártérítés, jogerősen kiszabott bírság vagy büntetés alól azzal, hogy enyhén gondatlan szerződésszegés esetén az Adatkezelő által az Adatfeldolgozóval szembeni megtérítési igény mértéke maximálisan nem lehet több, mint
a) határozatlan időre kötött Előfizetői Szerződés esetén 3 havi licenszdíj mértéke
b) határozott időre kötött Előfizetői Szerződés esetén 1 évnyi licenszdíj mértéke.
4. Az Adatfeldolgozó a kártérítési kötelezettség alól mentesül, ha bizonyítja, hogy a tőle elvárható gondossággal járt el a kár megelőzése érdekében.
Adatfeldolgozó Adatkezelő
10. Záró rendelkezések
1. Amennyiben jelen Szerződés és a Felek között létrejött Egyedi Előfizetői Szerződés között ellentmondás van, az Egyedi Előfizetői Szerződés rendelkezései lesznek irányadóak.
2. Jelen Szerződés az alulírott napon jön létre és az Előfizetői Szerződés megszűnéséig érvényben
marad.
3. A jelen Szerződés irányadó joga a magyar jog és az Európai Unió joga, a magyar bíróságok kizárólagos hatáskörrel rendelkeznek a jelen Szerződésből eredő vagy azzal összefüggésben felmerülő vitákban.
Mellékletek
1. sz. melléklet: Az Adatfeldolgozó által az Adatkezelő megbízásából kezelt adatok
2. sz. melléklet: Technikai biztonsági intézkedések
Kelt: Budapest, …………………….
P.H. | P.H. | |
VCC Live Hungary Kft Adatfeldolgozó | <Cégnév> Adatkezelő |
Adatfeldolgozó Adatkezelő
1. sz. melléklet: Az Adatfeldolgozó által az Adatkezelő megbízásából kezelt adatok
a) Adatkezelő cég neve:
b) Adatkezelő adatvédelmi tisztviselőjének neve és elérhetősége:
c) Az adatkezelés tárgya:
Itt a konkrét adatkezelési műveletet/műveleteket kell leírni pl. a Szolgáltatás igénybevétele során feltöltött, rögzített vagy előállított adatok (pl. beállítások, ügyféladatok, CDR-ek, statisztikák), továbbá fájlok (pl. rögzített hangállományok, emailek) tárolása
d) Az adatkezelés időtartama:
Az érintett adatoktól függ pl. előfizetői szerződés megszűnését követő 30 nap vagy jogszabályban meghatározott kötelező adattárolás időtartama.
e) Az adatkezelés jellege:
Ez jelenthet technikai jelleget (gépi vagy kézi), de jelentheti azt is, hogy alkalmi jellegű vagy rendszeres az adatkezelés.
f) Az adatkezelés célja:
Xxxxx az adatkezelési műveletnek a célját kell leírni, amelyet a VCC az adatkezelő nevében végez. pl. hangfelvétel tárolásánál jogszabályi kötelezettség teljesítése (a vonatkozó jogszabályhely megjelölésével).
g) A Személyes Adatok típusa:
pl. név, email cím, telefonszám, adószám, stb.
h) Az érintettek kategóriái:
pl. munkatársak, Adatkezelő ügyfelei, stb.
Kelt: Budapest, ………………………
P.H. | P.H. |
VCC Live Hungary Kft Adatfeldolgozó | <Cégnév> Adatkezelő |
Adatfeldolgozó Adatkezelő
2. sz. melléklet: Technikai biztonsági intézkedések
1. Integrált Irányítási Rendszer
1. Az adatok, információk és a folyamatos üzletvitel védelme érdekében Adatfeldolgozó szabályozási és megfelelőségi keretrendszert működtet (Integrált Irányítási Rendszer), amely például ISO 27001, ISO 22301, PCI-DSS nemzetközi iparági szabványokat alkalmaz.
2. Adatfeldolgozó a vállalatirányítási szabályzatában foglalja össze mindazon erőfeszítéseit, melyeket az információk, adatok védelme és a szolgáltatásnyújtás folyamatosságának biztosítása érdekében tesz.
3. Adatfeldolgozó Integrált Irányítási Rendszere, többek között, a következőket tartalmazza: Információs biztonság, fizikai biztonság, hálózati biztonság, védelem rosszindulatú kód ellen, működési biztonság, eszközkezelés, hozzáférések kezelése.
4. Adatfeldolgozó vállalja, hogy a hatályos jogszabályokat betartja, különös tekintettel a GDPR-ra.
2. Szerver hoszting és irodai környezet
1. Adatfeldolgozó adatfeldolgozásra használt szervereit minősített adatközpontok által biztosított professzionális szerver hoszting környezetben tartja. Az alvállalkozóként minősített adatközpontok Adatfeldolgozóval kötött szerződéses jogviszonyuk alapján biztosítják a következőket:
a) az adatközpont megfelelő telephelyet, létesítményeket és berendezést biztosít és tart fenn, amelyek biztosítják a telephely fizikai biztonságát, ezáltal megfelelő védelmet biztosítanak adatvesztés ellen, a telephelyben vagy a berendezésekben esett károk ellen, beleértve a Személyes Adat elvesztését vagy azokhoz való illetéktelen hozzáférést is;
b) az adatközpont védelmet nyújt az elektromos és a telekommunikációs infrastruktúra lehallgatása vagy a bennük esett kár ellen;
c) az adatközpont a kritikus infrastruktúrákhoz szünetmentes áramforrású eszközöket alkalmaz,
amelyeket rendszeresen tesztel;
2. Adatkezelőnek jogában áll a VCC Live ÁSZF-ben felsorolt adatközpontok közül egy vagy több adatközpontot kiválasztani, ahol a Személyes Adatok feldolgozása zajlik majd.
3. Adatfeldolgozó nem vesz igénybe szolgáltatásokat a VCC Live ÁSZF-ben megnevezettektől eltérő helyekről.
4. Adatfeldolgozó szavatolja, hogy az igénybe vett szolgáltatások és létesítmények biztosítják azt, hogy a Személyes Adatok Adatfeldolgozó egyéb ügyfelei adataitól elkülönülten legyenek kezelve.
Adatfeldolgozó Adatkezelő
3. Fizikai biztonság
1. Adatfeldolgozó köteles olyan politikát alkalmazni, amely a fizikai hozzáférésre és a hozzáférés ellenőrzésére vonatkozó követelményeket fogalmaz meg a Személyes Adat feldolgozására használt helyszíneken és eszközökön.
2. Automatikus hozzáférési rendszer használata esetén Adatfeldolgozó biztosítja, hogy a rendszer minden eseményt rögzít, és ezeket rendszeresen ellenőrzi.
3. Adatfeldolgozó biztosítja, hogy minden alkalmazottja azonosítható és egyedi belépőkártyával rendelkezik, amelyet a vonatkozó szabályozásokkal összhangban használ.
4. Adatfeldolgozó biztosítja, hogy a fizikai biztonság a munkaidőn túl is biztosítható a Személyes Adat tárolására és feldolgozására használt helyszíneken.
5. Adatfeldolgozó biztosítja, hogy a biztonságért felelős személyzet utasítással rendelkezik arra vonatkozólag, hogy incidensek esetén megfelelő lépéseket tegyenek vagy magasabb szintre eszkalálják azokat.
6. Adatfeldolgozó biztosítja, hogy a Személyes Adat feldolgozására használt helyszíneken egyértelmű biztonsági előírásokat követnek.
4. Hálózati biztonság
1. Adatfeldolgozó a következők segítségével őrzi meg a Személyes Adatok bizalmas jellegét és integritását:
• biztonságos hálózati architektúra használata;
• a Személyes Adat tárolására használt hálózatokat az ipari szabványoknak megfelelően tervezi, fejleszti, ellenőrzi és kezeli, melyeket Adatfeldolgozó Integrált Irányítási rendszere szabályoz;
• a határvédelmi eszközök megakadályozzák a rendszerekhez vagy adatokhoz való illetéktelen hozzáférést, és kizárólag jóváhagyott és azonosított hozzáférést engedélyeznek.
2. Adatfeldolgozó köteles a belső és a külső forgalmat szűrő tűzfal rendszert alkalmazni, és biztosítja,
hogy:
• a tűzfalak megfelelően konfiguráltak és rendszeresen felülvizsgáltak;
• a tűzfalak valós időben rögzítik az eseményeket és a figyelmeztetéseket;
• a hálózati routerekben hozzáférési listákat alkalmaznak, hogy az érzékeny belső hálózatokhoz és szerverekhez való hozzáférést korlátozzák.
3. Adatfeldolgozó garantálja, hogy Integrált Irányítási Rendszerének részeként rendszeres sérülékenység vizsgálatokat végez.
Adatfeldolgozó Adatkezelő
5. Védelem rosszindulatú kódok ellen
1. Adatfeldolgozó azon rendszerein, ahol az releváns, antivírus szoftvert telepít és alkalmaz. Adatfeldolgozó és alvállalkozói jóhiszeműen járnak el a rejtett kódok vagy adatok felfedezésében, amelyek célja a következő, vagy amelyek a következőket okozhatják:
• Személyes Adat megsemmisítése, megváltoztatása, visszatartása, biztonságuk kompromittálása vagy azok eltulajdonítása;
• szoftverek vagy rendszerek deaktiválása vagy zárolása;
• hozzáférés Személyes Adathoz, dokumentálatlan vagy illetéktelen hozzáférési módszerekkel.
2. Adatfeldolgozó köteles rendszeresen frissíteni antivírus szoftverét és az antivírus definíciókat.
6. Rendszerirányítás
1. Adatfeldolgozó rendszerbiztonsági lépéseket alkalmaz annak érdekében, hogy megakadályozza az információkhoz való illetéktelen hozzáférést, azok módosítását, eltérítését, feldolgozási hibákon, rendszerhibákon keresztül történő megsemmisítését, Személyes Adat elvesztését és az azokkal való visszaélést.
2. Adatfeldolgozó biztonsági szempontból rendszeresen frissíti telepített alkalmazásait.
3. A távoli karbantartás felügyelete a következő ellenőrzési mechanizmusok alapján történik:
• hozzáférés tűzfalon és VPN-en keresztül;
• biztonságos munkaállomások használata;
• hozzáférési jogosultság korlátozott számú azonosított felhasználó számára;
• felhasználói tevékenységek rögzítése.
7. Adatok kezelése
1. Adatkezelő a VCC Live kliens szoftver – például VCC Live Desk, VCC Live Archiver – segítségével férhet hozzá a Személyes Adataihoz. A VCC Live kliens szoftverek és a VCC Live szerveroldali szolgáltatások közti kommunikációs csatornák a kockázatoknak megfelelő titkosítási algoritmusok használatával titkosítottak.
2. Mielőtt Adatfeldolgozó bármely, Személyes Adatot tartalmazó médiát vagy tárolóeszközt megsemmisít, Adatfeldolgozó megteszi a szükséges lépéseket az adatvesztés és adatszivárgás megakadályozására.
3. Adatfeldolgozó kockázatkezelési szabályzatot alkamaz az Adatkezelő számára biztosított szolgáltatások teljesítésére használt munkaállomásokra, hordozható számítógépekre, munkaállomásokra és kommunikációs eszközökre vonatkozóan.
Adatfeldolgozó Adatkezelő
8. Felhasználók és hozzáférések kezelése
1. Adatfeldolgozó dokumentált és rendszeres időközönként felülvizsgált eljárást alkalmaz Személyes Adatot tartalmazó rendszerekhez való hozzáférés engedélyezésére és korlátozására azon személyek tekintetében, akiknek kötelezettségeik teljesítése érdekében hozzá kell férniük ezekhez a rendszerekhez.
2. Adatfeldolgozó jelszó és felhasználói fiók előállítására vonatkozó szabályzatot alkalmaz (Access Management Policy), melyet Adatfeldolgozó személyzete köteles betartani. Adatfeldolgozó eljárásokat alkalmaz azokra az esetekre vonatkozóan is, amikor a személyzet nem tartózkodik munkaállomása mellett (Clear Screeen and Clear Desk Policy), illetve felhasználói fiókokra vonatkozó ellenőrzési és irányítási folyamatokat tartalmaz munkaviszony megszűnése, vagy munkakörének változása esetére. Ezek az intézkedések minimálisan a következők:
• megkövetelik a rendszer minden használójától, hogy egyedi felhasználói azonosítót vagy számot vagy jelszót adjon meg a rendszerekhez való hozzáférés előtt;
• megköveteli a legalább tíz karakterből álló jelszó beállítását; a jelszónak betűket és számokat is tartalmaznia kell; egy jelszó maximális érvényessége 90 nap, valamint minimum és maximum érvényességgel kell rendelkezzen;
• kontrollálja, hogy egy felhasználó milyen adatokhoz férhet hozzá vagy módosíthat, és biztosítja, hogy bármilyen változtatás feldolgozása előtt megfelelő engedély szükséges;
• kontrollálja a rendszerfelhasználók létrehozását és törlését;
• kontrollálja a felhasználók zónákhoz és a rendszer jellemzőihez való hozzáférését;
• biztosítja, hogy a Személyes Adathoz való hozzáférés legalább az üzleti célok megvalósításához szükséges szinten engedélyezett, és hogy a hozzáférési jogokat megváltoztatják vagy eltávolítják, amint az üzleti követelmények vagy célok megváltoznak.
3. Adatfeldolgozó automatikus kijelentkeztetést alkalmaz, arra az esetre, ha a Személyes Adathoz való hozzáférésre vagy azok kezelésére használt munkaállomás 10 percet meghaladó ideig felügyelet nélkül marad.
Adatfeldolgozó Adatkezelő