Contract
2. melléklet a 25/2019. (XII. 17.) NSZKK főigazgatói intézkedéshez
Nemzeti Szakértői és Kutató Központ
(SZERVEZETI EGYSÉG)
ADATFELDOLGOZÓI MEGÁLLAPODÁS
(MINTA)
I. FEJEZET
1. Kapcsolódó szerződés
Jelen megállapodás (a továbbiakban: Megállapodás) a Nemzeti Szakértői és Kutató Központ (a továbbiakban: NSZKK vagy Szervezet) és a [Adatfeldolgozó neve, továbbiakban Adatfeldolgozó] között YYYY.MM.DD-én aláírt, [Szerződés tárgya] szerződés elválaszthatatlan melléklete.
2. A megállapodás célja
A jelen Megállapodás aláírásával Adatfeldolgozó vállalja, hogy a fenti szerződés érvényessége alatt, illetve utána az alábbiak szerint jár el az NSZKK által számára átadott személyes adatok feldolgozásakor. Az NSZKK célja a megállapodással az, hogy Adatfeldolgozó számára a jogszabályi előírásokban foglaltak mellett egyértelmű és kellően hangsúlyozott legyen, hogy tőle az NSZKK mely kiemelt alapelvek, elvárások, biztonsági intézkedések betartását várja el a szerződés teljesítése során, illetve utána, és hasonlóan: az adatok feldolgozása, valamint az adatfeldolgozás befejezését követően.
II. FEJEZET
3. Fogalommagyarázat, értelmező rendelkezések
Ezen Megállapodásban használt fogalmaz értelmezésekor az alábbi meghatározások szerint kell eljárni:
Általános adatvédelmi rendelet, vagy Rendelet: Az Európai Parlament és a Tanács (EU) 2016/679. rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Személyes adat: azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Cím: 1087 Budapest, Mosonyi u. 9.; 1903 Budapest, Pf.: 314/4. Telefon: (00 0) 000-0000; 18-284; Fax: (00 0) 000-0000; 18-285;
E-mail: xxxxxxxxx@xxxxx.xxx.xx
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel, jelen melléklet értelmezésében az Adatfeldolgozó.
Címzett: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
III. FEJEZET
4. Adatfeldolgozás elvei, a felek jogai és kötelezettségei az adatok feldolgozásával
kapcsolatban
Az NSZKK és az Adatfeldolgozó a Rendelet rendelkezéseinek figyelembevételével gondoskodnak az adatfeldolgozások során az Érintettek magánéletének tiszteletben tartásához való jogának, továbbá alapvető jogainak és szabadságjogainak védelméről.
Az NSZKK a beépített és alapértelmezett adatvédelem elvének szem előtt tartásával köteles gondoskodni arról, hogy olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét, fent meghatározott adatkezelési célok és az NSZKK jogi kötelezettségének elérése szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Az NSZKK elvárja Adatfeldolgozótól, hogy szervezetén és lehetőségein belül ő is hasonlóan járjon el.
Az NSZKK elvárja, hogy az adatkezelés céljának elérése érdekében az Adatfeldolgozó részére átadott személyes adatok csak olyan személyek számára legyenek elérhetőek, akiknek az Adatfeldolgozó szervezetén belül az adatok feldolgozása kapcsán meghatározott feladata van.
Adatfeldolgozó elfogadja és garantálja, hogy maradéktalanul ügyel arra, hogy megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy:
- a számára átadott személyes adatok kezelésére használt rendszerek és szolgáltatások bizalmas jellegüket megőrizzék,
- a használt informatikai rendszerek integritása, rendelkezésre állása és külső behatások elleni védekező képessége fennálljon,
- mind saját maga, mind munkavállalói, szerződött partnerei felé titoktartási kötelezettséget támaszt, amely titoktartás határidő nélkül terheli őket.
Az Adatfeldolgozó a biztonság megfelelő szintjének meghatározásakor figyelembe veszi az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más
módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
A személyes adatok feldolgozása során Adatfeldolgozó az alábbi adatbiztonsági intézkedéseket biztosítja:
- a jogosulatlan adathozzáférés, adatbevitel, adatmódosítás, adattörlés megakadályozása;
- az alkalmazott informatikai rendszerek automatikus adatfeldolgozó alrendszereinek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozása;
- annak ellenőrizhetősége és megállapíthatósága, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
- annak ellenőrizhetősége és megállapíthatósága, hogy mely személyes adatokat, milyen időpontban, mely személy vitte be az automatikus adatfeldolgozó rendszerekbe;
- annak ellenőrizhetősége és megállapíthatósága, hogy mely személyes adatokhoz, milyen időpontban, mely személy fért hozzá;
- az informatikai rendszer üzemzavar esetén történő helyreállíthatósága és
- az automatizált feldolgozás során fellépő hibákról jelentés készítése.
A személyes adatok feldolgozása során Adatfeldolgozó az alábbi szervezeti intézkedéseket biztosítja:
- adatvédelmi szabályzat alkalmazása, abban az adatfeldolgozással kapcsolatos folyamatok meghatározása, garanciák alkalmazása az adatfeldolgozási műveletek szabályozottsága érdekében,
- adatvédelmi tudatosság növelés a munkavállalói körében,
- adatvédelmi tisztviselő alkalmazása, amennyiben arra az Adatfeldolgozó köteles, vagy azt szükségesnek látja.
Adatfeldolgozó vállalja, hogy csak
IV. FEJEZET
5. Utasítási jog
- az NSZKK nevében, és jelen szerződési feltételek szerinti utasításával összhangban dolgozza fel a személyes adatokat, amennyiben bármely oknál fogva nem képes megfelelni ezeknek a követelményeknek, haladéktalanul tájékoztatják erről az NSZKK illetékesét.
- nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák az NSZKK-tól kapott utasítások és a szerződésben vállalt kötelezettségek teljesítését.
Adatfeldolgozót terheli a felelősség az NSZKK utasításaitól eltérő, vagy az NSZKK utasítása nélküli eljárásból fakadó jogsértésekért.
Az NSZKK jogosult törölni az általa rögzített adatokat.
Az NSZKK a jelen Megállapodás aláírásával kifejezetten engedélyt ad arra, hogy a szolgáltatás technikai fejlesztése keretében Adatfeldolgozó, vagy a szolgáltatás szerzői jogaival rendelkező más személy a szolgáltatás mögöttes informatikai rendszereit fejlessze, abban módosításokat hajtson végre.
V. FEJEZET
6. További adatfeldolgozó igénybevétele
Adatfeldolgozó a szolgáltatás üzemeltetése során az alábbi területeken kíván igénybe venni további adatfeldolgozókat (továbbiakban: Közreműködőket):
Közreműködő | Végzett tevékenység | Feldolgozott adatok | Adatfeldolgozás időtartama (tól-ig) | Adattárolás ideje |
Adatfeldolgozó az általa igénybe vett Közreműködők tevékenységét szavatolja, és igazolja, hogy a közreműködők ezen megállapodás tartalmával megegyező, vagy nem enyhébb elvárásokat vállaltak feléje, illetve az NSZKK felé tevékenységükkel kapcsolatban.
Adatfeldolgozó az általa igénybe vett Közreműködők tevékenységéért helyt áll.
Az NSZKK ezen megállapodás aláírásával tudomásul veszi és elfogadja, hogy a felsorolt Közreműködők az említett tevékenység(ek) ellátása érdekében a felsorolt adat(ok)hoz, az említett időtartamban bekapcsolódnak, a feldolgozott adatot a megadott ideig tárolják (ezen megállapodásban leírt védelmi intézkedéseknek megfelelően).
VI. FEJEZET
7. Az adatkezelési műveletek támogatása
Adatfeldolgozó támogatja az NSZKK-t a kapcsolódó szerződésben meghatározott adatfeldolgozási tevékenységen túl
- a GDPR 35. cikke szerinti hatásvizsgálat lefolytatásában azzal, hogy ha az NSZKK az adatfeldolgozást is érintő hatásvizsgálatot készít, az Adatfeldolgozó az NSZKK által megfogalmazott konkrét, az adatfeldolgozással kapcsolatos kérdésekre 10 naptári napon belül írásbeli választ ad,
- adatvédelmi incidensek kezelésében azzal, hogy:
o ha Adatfeldolgozó bármilyen szintű adatvédelmi incidenst észlel, akkor azt 24 órán belül jelzi az NSZKK felé,
o ha az NSZKK adatvédelmi incidenst jelez az Adatfeldolgozó felé, akkor Adatfeldolgozó közreműködik az incidens kivizsgálásában, ennek keretében:
magas szintű adatvédelmi incidens esetén haladéktalanul, de legkésőbb
24 órán belül elvégzi az ahhoz szükséges vizsgálatokat, hogy megállapíthassa, hogy az incidens oka a szolgáltatás működésével függ- e össze és a vizsgálat eredményéről tájékoztatja az NSZKK-t, valamint, ha az incidens oka a szolgáltatás nyújtásával függ össze, akkor közreműködik az incidens kezelésével összefüggő intézkedések meghozatalában, a kezelés érdekében megtesz minden tőle elvárható lépést, az észszerűen elvárható határidőn belül;
alacsony szintű adatvédelmi incidens esetén 72 órán belül elvégzi az ahhoz szükséges vizsgálatokat, hogy megállapíthassa, hogy az incidens
oka a szolgáltatás működésével függ-e össze és a vizsgálat eredményéről tájékoztatja az NSZKK-t, valamint, ha az incidens oka a szolgáltatás működésével függ össze, akkor közreműködik az incidens kezelésével összefüggő intézkedések meghozatalában, a kezelés érdekében megtesz minden tőle elvárható lépést, az észszerűen elvárható határidőn belül;
o ha bármely NSZKK-tól érkező jelzés alapján megállapítja, hogy bármilyen szintű adatvédelmi incidens oka a szolgáltatás működésével függ össze, akkor a szolgáltatás hibájának javítását
magas szintű incidens esetén haladéktalanul,
alacsony szintű incidens esetén 72 órán belül megkezdi,
o a hibajavítást pedig
magas szintű incidens esetén a lehetőségekhez képest, az észszerűen elvárható határidőn belül legkorábban,
alacsony szintű incidens esetén legfeljebb 30 napon belül befejezi és
o a hibajavításról tájékoztatja az NSZKK –ét.
o Az adatvédelmi incidensről szóló tájékoztatásban Adatfeldolgozó az alábbi adatokat jelöli meg:
érintett személyes adatok köre,
incidenssel érintettek köre, száma,
incidens időpontja,
incidens körülményei,
incidens hatása,
incidens elhárítása érdekében Adatfeldolgozó által tett intézkedés,
incidenssel kapcsolatos egyéb adatok.
Felek az adatvédelmi incidensek felmerülése esetén közösen az adott incidenst az alábbiak szerint sorolják szintekbe:
- Alacsony szintű adatvédelmi incidens: a személyes adatok elhanyagolható körének jogosulatlan továbbítása, megváltoztatása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy az azokhoz való jogosulatlan hozzáférés. Ilyen eset különösen az, ha az adat nem köthető természetes személyhez.
- Magas szintű adatvédelmi incidens:
o a személyes adatok széles körének jogosulatlan megváltoztatása, továbbítása, nyilvánosságra hozatala, szándékolt, vagy véletlen törlése vagy megsemmisítése, vagy az azokhoz való jogosulatlan hozzáférés,
o az adatok körétől függetlenül minden olyan eset, amikor az incidensnek az érintettre súlyosan hátrányos hatása valószínűsíthető, vagy a hátrányos következmény bekövetkezése biztos.
- Adatfeldolgozó igény esetén személyes konzultációban biztosítja annak a lehetőségét, hogy az NSZKK ellenőrizni tudja a szolgáltatás működését, azonban Adatfeldolgozó technikai lehetőségek hiánya miatt, valamint szerzői jogi korlátok miatt a szolgáltatás mögötti informatikai rendszerek forráskódjához nem biztosít hozzáférést.
- Adatfeldolgozó haladéktalanul tájékoztatja az NSZKK-t, ha az NSZKK valamely utasítása Adatfeldolgozó megítélése szerint sérti a vonatkozó adatvédelmi követelményeket. Amennyiben az utasítást az NSZKK az értesítést követően is fenntartja, Adatfeldolgozó mentesül az adott adatfeldolgozási tevékenységgel kapcsolatos felelősség alól.
VII. FEJEZET
8. Az érintetti joggyakorlás támogatása
Adatfeldolgozó az érintetti joggyakorlást az alábbiak szerint támogatja:
- Az NSZKK bármikor jogosult kéréssel fordulni Adatfeldolgozó felé, ha az érintettek számára valamely jog gyakorlásához Adatfeldolgozó közreműködésére van szükség, ilyen esetekben Adatfeldolgozó az igényt az NSZKK-val egyeztetve 10 naptári napon belül teljesíti;
- Amennyiben az érintett jogának gyakorlásával az Adatfeldolgozóhoz fordul, úgy az Adatfeldolgozó köteles az érintetti joggyakorlásról az NSZKK-t haladéktalanul, de legkésőbb 24 órán belül tájékoztatni, és részére minden támogatást és segítséget megadni az érintett kérésének teljesítéséhez vagy megválaszolásához. Az Adatfeldolgozó nem jogosult az érintett kérését közvetlenül intézni vagy azt teljesíteni.
VIII. FEJEZET
9. Nyilvántartási kötelezettség
Adatfeldolgozó nyilvántartást vezet az általa végzett Adatfeldolgozási tevékenységről.
XI. FEJEZET
10. Titoktartás
Adatfeldolgozó kötelezi magát arra, hogy az adatfeldolgozási tevékenységének jelen Megállapodásban meghatározott ellátása során tudomásukra jutó személyes adatokat és minden olyan további információt, amely az NSZKK adatkezelési illetve Adatfeldolgozó adatfeldolgozási tevékenysége során tudomására jut, bizalmasan kezeli, és azokat kizárólag a jelen Megállapodásban meghatározott feladatok ellátása érdekében használja fel.
X. FEJEZET
11. Megfelelés
Adatfeldolgozó nyilatkozik, hogy a GDPR és az Info tv. előírásainak megfelelés érdekében szervezetében és tevékenységében a szükséges intézkedéseket megtette, legjobb tudomása szerint működése (különös tekintettel az NSZKK számára nyújtott szolgáltatások vonatkozásában) a GDPR és az Info tv. előírásainak megfelelő.
XI. FEJEZET
12. Ezen megállapodás hatálya
Felek jelen megállapodást a közöttük létrejött, az adatfeldolgozási tevékenységet szabályozó szerződés időtartamára kötik.
Jelen Megállapodás megszűnik, ha
- a Felek közös megegyezéssel, írásban megállapodnak annak megszüntetéséről;
- azt bármelyik Fél írásban, tekintettel jelen szerződés, valamint a mindenkor hatályos jogszabályok további rendelkezéseire, azonnali hatállyal vagy rendes felmondással felmondja;
- bármelyik Fél jogutód nélkül megszűnik,
- ha az adatfeldolgozási tevékenységet szabályozó külön szerződés bármely okból megszűnik.
13. Az adatfeldolgozási megállapodás megszűnését követően fennálló kötelezettségek
NSZKK és Adatfeldolgozó megállapodnak abban, hogy az adatfeldolgozás megszüntetését követően az Adatfeldolgozó és a további feldolgozó, közreműködő törli, vagy visszaállíthatatlan módon anonimizálja az adatfeldolgozás során számukra átadott valamennyi adatot és erről 3 munkanapon belül írásban tájékoztatják az NSZKK–t.
14. A megállapodás teljessége, megállapodás módosítása
Felek megállapodnak, hogy jelen megállapodás az adatfeldolgozás során az adatok, különösen a személyes adatok kezelésére vonatkozó akaratukat és az NSZKK kiemelt elvárásait tartalmazza, azonban nem helyettesíti a Rendelet és egyéb jogszabályok által meghatározott elvárásokat.
Felek rögzítik, hogy jelen megállapodás módosítására kizárólag írásban kerülhet sor. A megállapodás módosítását bármelyik fél kezdeményezheti.
Felek fenntartják maguknak a jogot, hogy a megállapodás aláírásakor előre nem látható, a megállapodás aláírását követően felmerülő és az értékesítést lényegesen befolyásoló körülmények, így különösen a piaci vagy jogszabályi, szabályozói körülmények változása esetén a megállapodás módosítását kezdeményezzék.
Felek a megállapodást a mai napon annak elolvasása után, mint akaratukkal mindenben megegyezőt jóváhagyólag aláírják.
Kelt, [HELYSZÍN ÉV HÓNAP NAP]
[Név] NSZKK részéről
[Név] Adatfeldolgozó részéről