ADATFELDOLGOZÁSI MEGBÍZÁSI SZERZŐDÉS
ADATFELDOLGOZÁSI MEGBÍZÁSI SZERZŐDÉS
Cofidis Magyarországi Fióktelepe
Székhely: 0000 Xxxxxxxx, Xxxx xx 00-00.
Telefon: 00 0 000 0000
Levelezési cím: 1433 Budapest, Pf. 1140.
Cg: 00-00-000000 (Fővárosi Törvényszék Cégbírósága) Adatkezelési nyilvántartási azonosító: 01498-0001, 01498-0005 NAIH-63465/2013
xxxxxxx.xx
amely létrejött egyrészről a Cofidis Magyarországi Fióktelepe
(1133 Xxxxxxxx, Xxxx xx 00-00., cégjegyzékszám: 01-17-000367), mint Megbízó (a továbbiakban: Adatkezelő),
másrészről .M....W....o..r.l.d....M...a...g..y..a..r..o..r.s..z...á..g...Z...r.t............................................................................................
(székhely: ...1..0...9..7...B...u..d...a..p..e...s..t.,..T...ó..t.h....K...á..l.m...á...n...u..t..c..a...3..3.../.A...................................................................., cégjegyzékszám: .0..1...-.1..0...-.0..4...8..0..4...2 ),
mint Megbízott (a továbbiakban: Adatfeldolgozó)
(Adatkezelő és Adatfeldolgozó a továbbiakban külön-külön: Fél, együttesen: Felek) között a mai napon az alábbi feltételékkel:
1. ELŐZMÉNY
1.1 A Felek között pénzügyi szolgáltatás közvetítése tárgyában szerződés (továbbiakban: Megállapodás) jött létre, amely jelenleg is hatályban van.
1.2 Felek az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE
(2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekinte- tében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR) 28. cikkében meghatározottaknak megfelelően a jelen szerződés keretei között rögzítik az Adatkezelő megbízása alapján az Adatfeldolgozó által ellátott adatfeldolgo- zási tevékenység szabályait.
1.3 Tekintettel arra, hogy az adatfeldolgozási tevékenység természetes személyekre (Érintettekre) vonatkozó személyes adatokra terjed ki, az adatok feldolgozása és keze- lése során különös hangsúlyt kell fektetni az Érintettek magánszférájának védelmére és az adatbiztonság követelményének megvalósulására.
1.4 A megbízás az 1.1. pontban hivatkozott Megállapodás alapján meghatározott adatfel- dolgozási feladatok ellátására szól. Jelen szerződés a Megállapodás hatályának időtar- tamával megegyező időtartamra jön létre.
2. A SZERZŐDÉS TÁRGYA
2.1 Az Adatkezelő a GDPR 28. cikkében meghatározottaknak megfelelően a jelen szerző- dés aláírásával megbízza az Adatfeldolgozót az alábbi feladatok elvégzésével:
a) az Adatfeldolgozó a Megállapodásban rögzített feladatok ellátása érdekében az Adatke- zelő által a Megállapodásban meghatározott adatfeldolgozási műveleteket hajtja végre,
b) az a) pont szerint megkapott adatok feldolgozása során a Felek figyelemmel vannak a GDPR-ban rögzített alapvető adatvédelmi követelményekre,
c) az a) pont szerint megkapott személyes adatokat az Adatfeldolgozó kizárólag a Felek között létrejött fenti Megállapodásban foglalt tevékenységéhez kapcsolódó adatfel- dolgozási műveletekhez használhatja fel. Az így meghatározott céloktól eltérő fel- használás vagy adatfeldolgozás jogellenes.
2.2 Adatfeldolgozó a 2.1 pontban meghatározott feladatok ellátására, Adatkezelő elő- zetes írásbeli engedélye alapján, további adatfeldolgozót igénybe vehet, amennyi- ben a Megállapodás erre lehetőséget nyújt. Ilyen esetben azonban Xxxxxxxxxxxxxx szavatol azért, hogy az általa igénybe vett további adatfeldolgozó tevékenységét a GDPR rendelkezéseinek betartásával, valamint a jelen szerződésben foglaltaknak megfelelően végzi. A további adatfeldolgozó igénybevételéből eredő esetleges kárért Adatfeldolgozó felelős.
2.3 Az Adatfeldolgozó a 2.1. pontban foglalt megbízást elfogadja.
2.4 A felek kijelentik, hogy a fenti pontban foglalt adatfeldolgozói feladatok ellátásáért Adatkezelőt jelen szerződés alapján fizetési kötelezettség nem terheli, Adatfeldolgozó jelen szerződés alapján díj, költség vagy hasonló ellenszolgáltatásra irányuló igénnyel nem léphet fel.
3. AZ ADATKEZELŐ JOGAI ÉS KÖTELEZETTSÉGEI
3.1 Adatkezelő jogosult előzetes egyeztetés mellett ellenőrizni Adatfeldolgozónál a jelen szerződés szerinti tevékenység végrehajtását.
3.2 Az Adatkezelő a 2.1. pontban meghatározott adatfeldolgozói feladatok ellátásához szükséges elektronikus információs rendszert – elektronikus hozzáféréssel – az Adat- feldolgozó részére rendelkezésre bocsátja.
3.3 Az Adatkezelő és Adatfeldolgozó egy-egy kapcsolattartót jelöl ki, aki a jelen szerződésben foglalt feladatok ellátásával kapcsolatban felmerülő kérdéseket koordinálja. A kapcsolattartó személye a Megállapodásban, illetve annak feltételei szerint kerül meghatározásra.
3.4 Adatkezelő – az adatkezelői tevékenységének ellátása érdekében egyéb adatfeldol- gozási – műveleteket határozhat meg Adatfeldolgozó részére.
3.5 Az Adatkezelő által az Adatfeldolgozónak a Megállapodásban meghatározott fel- adatokkal kapcsolatos adatkezelési műveletekre adott utasítások jogszerűségéért az Adatkezelőt terheli felelősség, ugyanakkor Adatfeldolgozó köteles haladéktalanul jelezni Adatkezelőnek, amennyiben Adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne.
3.6 Adatfeldolgozó köteles a hozzá beérkezett érintetti jogokkal kapcsolatos kérelmet a beérkezéstől számított 5 napon belül továbbítani Adatkezelő kapcsolattartója részére.
3.7 Az Adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beér- kezésétől számított egy hónapon belül tájékoztatja az Érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő – jogszabály eltérő rendelkezése hiányában – további két hónappal meghosszabbítható. A határidő meghosszabbítá- sáról az Adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az Érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell meg- adni, kivéve, ha az Érintett azt másként kéri, és amelyről tájékoztatja Adatfeldolgozó kapcsolattartóját is.
3.8 Amennyiben az Érintett a GDPR 3. szakasza alapján adatai helyesbítését, törlését vagy korlátozását kéri, Adatfeldolgozó köteles a hozzá beérkezett kérelmet a beérke- zéstől számított 5 napon belül továbbítani Adatkezelő részére. Adatkezelő a kérelem beérkezését követően indokolatlan késedelem nélkül helyesbíti az Érintettre vonatkozó pontatlan személyes adatokat, és megfelelően tájékoztatja az Adatfeldolgozót a kijelölt kapcsolattartó útján az adat helyesbítéséről, törléséről, illetve korlátozásáról.
3.9 Az adat helyesbítésére, törlésére, korlátozására irányuló kérelem elutasítása ese- tén, Adatkezelő köteles a döntését – a kérelem beérkezésétől számított 1 hónapon belül – az Érintett részére írásban megküldeni, és egyúttal tájékoztatni az Érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az Érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. A döntéséről egyidejűleg Adatfeldolgozó kapcsolattartóját is köteles tájékoztatni.
4. AZ ADATFELDOLGOZÓ JOGAI ÉS KÖTELEZETTSÉGEI, AZ ADATKEZELŐI ADATBÁZIS VÉDELME
4.1 Az Adatfeldolgozó biztosítja azt, hogy a személyes adatok feldolgozásával feljogo- sított személyek titoktartási kötelezettséget vállalnak a szerződés keretei között, és az Adatfeldolgozó megfelelő intézkedéseket hoz annak biztosítására, hogy az Adat- feldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az Adatkezelő utasításának megfelelően kezelhes- sék az említett adatokat.
4.2 Az Adatfeldolgozó külön nyilatkozatban vállalja, és legkésőbb 2018. május 25-ig iga- zolja a GDPR 32. cikkében foglalt adatbiztonsági intézkedéseknek való megfelelést, különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvá- nosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockáza- tok csökkentését.
4.3 Az Adatfeldolgozó az adatfeldolgozás jellegének a figyelembevételével megfelelő technikai és szervezési intézkedésekkel segíti – a kijelölt kapcsolattartó útján – az Adat- kezelőt abban, hogy teljesíteni tudja kötelezettségeit az Érintett GDPR III. fejezetében foglalt jogainak a gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
4.4 Az Adatfeldolgozó segíti az Adatkezelőt a GDPR 32-36. cikk szerinti kötelezettségek teljesítésében, figyelembe véve az Adatfeldolgozó rendelkezésére álló információkat.
4.5 Adatfeldolgozó köteles a 2.1. pontban meghatározott feladatokat Adatkezelő utasítá- sai szerint és Adatkezelő érdekeinek megfelelően teljesíteni.
4.6 Adatfeldolgozó köteles Adatkezelő figyelmét haladéktalanul, még az utasítás végre- hajtása előtt felhívni, ha azt észleli, hogy Adatkezelő célszerűtlen, szakszerűtlen vagy jogszabályba ütköző utasítást ad.
4.7 A megbízás ellátása során Adatfeldolgozó tudomására jutott minden adat, információ kizárólag csak az Adatkezelő részére hasznosítható.
4.8 Adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására ju- tott adatokat kizárólag Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, valamint Adatkezelő rendelkezései szerint köteles az adatokat tárolni, illetve megőrizni.
4.9 Adatfeldolgozó köteles Adatkezelő által megfogalmazott feltételeknek folyamatosan eleget tenni, továbbá a GDPR 32. cikke szerinti adatbiztonsági feltételeket biztosítani.
4.10 Adatfeldolgozó kizárólag a megbízás tárgyát képező (2.1. pont) technikai adatkeze- lési, adatfeldolgozási műveletek végrehajtására jogosult.
4.11 Amennyiben Adatfeldolgozó számára a szerződés teljesítése során bármikor olyan körülmény áll elő, mely akadályozza az időben történő teljesítést, úgy Adatfeldolgozó-
nak haladéktalanul, de legkésőbb 3 munkanapon belül írásban értesítenie kell Xxxxxx- zelő kapcsolattartóját a késedelemről, annak várható elhúzódásáról és okairól.
4.12 Adatfeldolgozó – az Adatkezelő támogatásával – köteles továbbá gondoskodni az általa igénybe vett személyek adatvédelmi tudatossági felkészítéséről a betartandó adatvédelmi jogszabályi rendelkezések és a jelen szerződésben foglalt kötelezettségek tekintetében. A felkészítésről készült jegyzőkönyveket vagy egyéb dokumentumokat az Adatkezelő kérése esetén rendelkezésére bocsátja.
4.13 Adatfeldolgozó köteles gondoskodni továbbá az általa kezelt, papíron, illetve elekt- ronikusan tárolt adatok megfelelő védelméről. Adatfeldolgozó az adatokhoz történő, illetéktelen személyek általi hozzáférést köteles megakadályozni, e kötelezettsége szándékos vagy gondatlan megsértéséből eredő kárért teljes körű felelősséggel tarto- zik. Adatfeldolgozó az általa feldolgozott adatok felhasználási jogát nem ruházhatja át harmadik személyre.
4.14 Az Adatfeldolgozó az adatfeldolgozói tevékenységének ellátása során más adatfel- dolgozót kizárólag Adatkezelő írásbeli engedélyével vehet igénybe a Megállapodásban rögzített feltételek szerint.
4.15 Az írásos adattörlési jegyzőkönyvet az Adatfeldolgozó köteles 1 példányban az Adat- kezelő részére a Megállapodás megszűnésének napjától számított 15 napon belül meg- küldeni.
4.16 Az Adatfeldolgozó köteles a Megállapodásban rögzítettek szerint, illetve a Megál- lapodás megszűnése esetén az Adatkezelőtől átvett személyes adatokat tartalmazó adatállományokat, mind papír alapon és mind elektronikusan is, visszaszolgáltatni, és a saját adathordozóin tárolt adatállományok másolatát adattörléssel megsemmisíteni.
4.17 Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden olyan informáci- ót, amely a 28. cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Ide értve különösen: az adatkezelési tevékenységekre vonatkozó adatvédelmi és informá- cióbiztonsági, informatikai biztonsági szabályzatokat, adatbiztonsági intézkedésekre vonatkozó dokumentációt, az adatvédelmi tisztviselő nevét és elérhetőségét.
5. SZERZŐDÉS IDŐTARTAMA
5.1 A Felek a jelen szerződést 2018. május 25-től a köztük lévő Megállapodás megszű- nésének időpontjáig kötik.
5.2 A szerződést bármelyik fél azonnali hatállyal felmondhatja a másik félhez eljuttatott írásbeli értesítéssel, amennyiben a másik fél a szerződésben vállalt lényeges kötele- zettségét súlyosan megsérti, és azt nem orvosolja az erre vonatkozó írásbeli felszólítás- ban megjelölt határidőn belül sem.
5.3 A kötelezettség teljesítésére felhívó írásbeli felszólítást nem kell megküldeni, ha a szerződésszegés olyan súlyú, hogy a sérelmet szenvedett féltől a továbbiakban nem várható el a szerződés fenntartása.
5.4 A jelen szerződés módosítása kizárólag írásban a Xxxxx közös megállapodása alap- xxx xxxxxxxx.
5.5 A GDPR 82., 83. és 84. cikk sérelme nélkül, a Felek kifejezetten rögzítik, hogy ha egy adatfeldolgozó maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni.
6. KAPCSOLATTARTÓK
Jelen szerződésben foglaltak szakmai felügyeletére és kapcsolattartásra a Megállapo- dásban kapcsolattartóként megjelölt személyek jogosultak.
7. TITOKTARTÁS
7.1 Adatkezelő, illetőleg a szerződésből eredő feladatai tekintetében Adatfeldolgozó köte- les megtenni azokat a technikai, szervezési és adminisztratív intézkedéseket, valamint kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.
7.2 Feleket a szerződés létrejötte, és teljesítése keretében a szerződés hatályba lé- pésekor, illetve azt követően tudomásukra jutott személyes adatot képező infor- mációk megtartása tekintetében büntetőjogi felelősség terheli. Egyéb – személyes adatnak nem minősülő – bizalmas információk átadására vagy nyilvánosságra hozatalára egyik Fél sem jogosult, kivéve a szerződés lényeges tartalmi elemeire, azaz a Felek személyére, a szerződés tárgyára vonatkozó információkat, illetve mindazon rendelkezéseket, amelyek nyilvánosságra hozatalát a Felek vonatkozá-
sában azt a szerződés írja elő. Nyilvánosságra hozatalnak minősül a jogosulatlan harmadik személlyel történő közlés is.
7.3 Adatfeldolgozó kötelezettséget vállal arra, hogy az Adatkezelő által átadott, a teljesítés- hez kapcsolódó iratokról, dokumentumokról másolatot, kivonatot csak Adatkezelő előze- tes engedélyével készít, és ezen iratokba harmadik személy részére betekintést nem ad, illetve semmilyen más módon nem hozza harmadik személy tudomására azok tartalmát.
7.4 A titoktartási kötelezettség Adatfeldolgozót a szerződés teljesítésére, illetőleg meg- szűnésére tekintet nélkül, határidő nélkül terheli. A titoktartási kötelezettség megsér- téséből, illetve az adatok jogosulatlan nyilvánosságra hozatalából származó hátrányok, valamint az ezek kiküszöböléséhez szükséges költségek, ideértve mind a vagyoni, mind a nem vagyoni kár megtérítését – az egyéb felelősségén túl – azt a felet terhelik, akinek a jogosulatlan nyilvánosságra hozatal tekintetében felelőssége fennáll.
7.5 A jelen szerződéssel és annak teljesítésével kapcsolatos, vagy valamely Félre, különö- sen annak működésére, szervezetére vonatkozó információ, illetőleg minden olyan tény, adat, terv, okirat, dokumentum, eljárás bizalmas információnak minősül, amelyek nyilvá- nosságra hozatala a Felek hivatali érdekeit sértené, és amelynek titokban tartása érde- kében a jogosult a szükséges intézkedéseket megtette, azzal, hogy önmagában a jelen pont ezen szerződésbe foglalása nem minősül a szükséges intézkedések megtételének.
8. ADATBIZTONSÁG
8.1 Felek rögzítik, hogy az adatbiztonsági követelményrendszer a személyes adatok vé- delmének technikai és személyi intézkedésekkel, valamint fizikai és informatikai meg- oldásokkal történő támogatását jelenti.
8.2 Felek kijelentik, hogy Adatkezelő és – az Adatkezelő megbízásából eljáró – Adatfel- dolgozó az adatkezelési és adatfeldolgozói tevékenysége során a GDPR 32. cikkében előírtaknak, az adatvédelmi szabályoknak és joggyakorlatnak megfelelően jár el, a ha- tályos jogszabályok előírásait betartja.
8.3 Felek kijelentik, hogy a személyes adatok tárolása védett, korlátozott hozzáférésű kiszolgálókon történik, emellett Adatkezelő és Adatfeldolgozó minden szükséges tech- nikai és szervezési intézkedést megtesz az érintett adatainak elvesztése, más célra való felhasználása, illetéktelen személy általi megismerése, nyilvánosságra hozatala, megváltoztatása vagy törlése ellen.
8.4 Felek – többek között –
a) gondoskodnak arról, hogy a tárolt adatokhoz belső rendszeren keresztül vagy közvetlen hozzáférés útján kizárólag az arra feljogosított személyek, és kizárólag az adatkezelés céljával összefüggésben férjenek hozzá,
b) gondoskodnak a felhasznált eszközök szükséges, rendszeres karbantartásáról, fej- lesztéséről,
c) az adatokat tároló eszközt megfelelő fizikai védelemmel ellátott zárt helyiségben helyezik el, gondoskodnak annak fizikai védelméről is,
d) gondoskodnak arról, hogy a különböző nyilvántartásokban tárolt adatok közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.
9. EGYÉB RENDELKEZÉSEK
9.1 Felek a jelen szerződés teljesítése érdekében együttműködési kötelezettséget vállal- nak, melynek keretében kötelesek a szerződés teljesítését befolyásoló minden lénye- ges körülményt egymással haladéktalanul, de legkésőbb 2 munkanapon belül közölni.
9.2 Adatfeldolgozó tudomásul veszi, hogy köteles Adatkezelő alkalmazottaival és munkatársa- ival, vagy az általa kijelölt más személyekkel a megbízás teljesítése során együttműködni.
9.3 A jelen szerződésre a magyar jog szabályai, a jelen szerződésben nem szabályozott kérdésekben a Polgári Törvénykönyvről szóló 2013. évi V. törvény, valamint az GDPR vonatkozó rendelkezései irányadóak.
9.4 A Felek megállapodnak abban, hogy a jelen szerződéssel kapcsolatban felmerült vitás kérdéseket egymás között tárgyalások útján kísérelik meg rendezni.
9.5 Felek kötelezettséget vállalnak arra, hogy minden olyan körülményről tájékoztatják egy- mást, amely a szerződés teljesítését, illetve a másik Fél jogos érdekét érinti. A bejelentési kötelezettség elmulasztásából eredő károkért a mulasztó Fél felelősséggel tartozik.
9.6 Jelen szerződés bármely pontjának vagy rendelkezésének érvénytelensége nem je- lenti a teljes szerződés érvénytelenségét, kivéve, ha az érvénytelennek minősülő ren- delkezés vagy rész nélkül a Felek a szerződést nem kötötték volna meg, vagy e rendel- kezés, illetve rész hiányában a szerződés értelmetlenné vagy értelmezhetetlenné válna.
9.7 A jelen szerződés, illetve a Megállapodás valamely rendelkezése közötti esetleges eltérés esetén a jelen szerződésben foglaltak az irányadók.
A jelen szerződést a Xxxxx — az alulírott helyen és időpontban — elolvasás után, mint akaratukkal mindenben megegyezőt, jóváhagyólag írják alá. A jelen szerződés 2 oldalból áll, 2 eredeti példányban készült, melyből 1 példány az Adatkezelőt, 1 példány az Adatfeldolgozót illet.
Budapest, 2018. 07.23.
................................................................................................................................................
Cofidis Magyarországi Fióktelepe
................................................................................................................................................
MWorld Magyarország Zrt.