ADATFELDOLGOZÁSI SZERZŐDÉS
ADATFELDOLGOZÁSI SZERZŐDÉS
(a továbbiakban adatfeldolgozási szerződés) amely a
__ (székhely: __; képviseli: __ a továbbiakban: adatkezelő) és
__ (székhely: __; cégjegyzékszám: __ a továbbiakban: adatfeldolgozó),
között jött létre az alábbi feltételekkel és napon (az adatkezelő és az adatfeldolgozó a továbbiakban külön-külön a fél, együttesen a felek).
ELŐZMÉNYEK
Az adatkezelő állapítja meg az 1. sz. mellékletben meghatározott személyes adatok kezelésének céljait és módszereit.
Az adatfeldolgozó vállalta, hogy az alábbiakban meghatározott szolgáltatásokat nyújtja a felek között az 1. sz. melléklet szerinti időpontban és tárgyban létrejött szolgáltatási szerződésben rögzített feltételek szerint.
A felek a személyes adatok feldolgozására vonatkozó feltételek rögzítése érdekében a jelen adatfeldolgozási szerződéssel kívánják kiegészíteni a (B) pont szerinti szolgáltatási szerződést.
A jelen adatfeldolgozási szerződés célja, hogy megfelelő óvintézkedéseket biztosítson az adatvédelem tekintetében, valamint annak biztosítása, hogy a személyes adatok feldolgozása az adatkezelő és az adatfeldolgozó jogszabályi kötelezettségeinek megfelelően történjen.
MEGÁLLAPODÁS
A megállapodás főszövege mellett a jelen adatfeldolgozási szerződés a következő dokumentumokat tartalmazza:
1. sz. melléklet
Az adatfeldolgozásra vonatkozó utasítások
2. sz. melléklet
Minimális biztonsági intézkedések
Abban az esetben, ha a jelen adatfeldolgozási szerződés bármely rendelkezése ellentétes lenne a szolgáltatási szerződés bármely feltételével, a jelen adatfeldolgozási szerződés az irányadó. Az e szerződésben nem értelmezett kifejezések (ha vannak) a szolgáltatási szerződésben foglalt jelentéssel bírnak.
ÉRTELMEZŐ RENDELKEZÉSEK
A jelen adatfeldolgozási szerződés alkalmazásában az alábbi kifejezések jelentése a következő:
jóváhagyott cél
i) a szolgáltatási szerződés céljának teljesítéséhez szükséges vagy ii) az adatkezelő által írásban meghatározott olyan cél, amelynek érdekében az adatfeldolgozás történik;
jóváhagyott terület
az 1. sz. mellékletben azonosított terület vagy területek, ahol a személyes adatok feldolgozása történhet;
az adatfeldolgozó által az adatkezelő számára végzett bizonyos professzionális szolgáltatások nyújtásáról szóló szolgáltatási szerződés, amelyet a felek az 1. sz. mellékletben megjelölt tárgyban és időpontban kötöttek;
szolgáltatások
az adatfeldolgozó által a szolgáltatási szerződés szerint nyújtandó szolgáltatások;
uniós mintafeltételek
az Európai Unió által a 2010/87/EU bizottsági határozatban megállapított általános szerződési feltételek, amelyek a személyes adatoknak az adatkezelőktől az Európai Gazdasági Térségen kívüli olyan harmadik országokban letelepedett adatfeldolgozóknak történő átadására vonatkoznak, ahol az adatvédelem törvényi szabályozás nem minősül elégségesnek, ideértve az Európai Bizottság által jóváhagyott bármely jogi aktust, amely az ilyen szerződéses feltételeket kiváltja, illetve azok helyébe lép.
ÁLTALÁNOS RENDELKEZÉSEK
Az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja. E rendelkezés alkalmazásában írásbelinek minősül az elektronikus kapcsolattartás is, ha az a jelen szerződésben (annak mellékletében) meghatározott módon és címre történik. Az adatfeldolgozó a személyes adatokat kizárólag a jóváhagyott cél érdekében és a vonatkozó jogszabályoknak, a jelen adatfeldolgozási szerződésnek és a szolgáltatási szerződésnek megfelelően köteles kezelni. Az adatfeldolgozó köteles haladéktalanul tájékoztatni az adatkezelőt, ha valamely utasítás a véleménye szerint sérti a vonatkozó jogszabályokat.
A személyes adatok feletti formális ellenőrzés és az azokhoz fűződő minden tulajdon- és egyéb jog az adatkezelőnél marad. Az adatfeldolgozó a személyes adatok kapcsán semmilyen jogot nem szerez, eltekintve a személyes adatoknak a jóváhagyott cél érdekében történő kezelésére vonatkozó nem kizárólagos, visszavonható és időben korlátozott jogtól.
A feldolgozás JÓVÁHAGYOTT célja
Az adatfeldolgozó a személyes adatokat kizárólag a jóváhagyott cél érdekében kezelheti. A személyes adatok bármely egyéb célra történő bármilyen egyéb kezelése szigorúan tilos, így a jelen adatfeldolgozási szerződés és a szolgáltatási szerződés súlyos megszegésének tekintendő.
A FELDOLGOZÁS JÓVÁHAGYOTT HELYSZÍNEI
A személyes adatok kezelése kizárólag az adatkezelő, az adatfeldolgozó és a jóváhagyott alvállalkozók által felügyelt, a jóváhagyott területen található technológiai környezetekben történhet.
Ha a személyes adatokat távoli helyszínről érik el, az a személyes adatok ilyen helyszínre történő továbbításának tekintendő. A személyes adatok elérése a jóváhagyott területen kívülről tilos.
AZ ADATFELDOLGOZÓ ÁLTALI SEGÍTSÉGNYÚJTÁS
Az adatfeldolgozó indokolatlan késedelem nélkül köteles segítséget nyújtani az adatkezelőnek, valamint biztosítani, hogy az adatfeldolgozó alvállalkozója segítséget nyújtson az adatkezelőnek abban, hogy az érintetteknek és a felügyeleti hatóságnak az adatfeldolgozó és az adatfeldolgozó alvállalkozója által az adatkezelő részére végzett feldolgozási tevékenységekkel összefüggésben választ adjon vagy információkat szolgáltasson. Ennek megfelelően az adatfeldolgozó köteles az adatkezelőnek segítséget nyújtani többek között az adatkezelő (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 32-36. cikk szerinti kötelezettségei teljesítéséhez, valamint az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek adatkezelő általi megválaszolásához. Az adatfeldolgozó az adatkezelő által igényelt ilyen információkat és segítséget annak érdekében köteles biztosítani, hogy az adatkezelő eleget tudjon tenni a vonatkozó jogszabályoknak és az illetékes hatóságok felszólításainak. Az adatfeldolgozó köteles különösen:
a pontatlan személyes adatokat az adatkezelő utasítására kijavítani vagy törölni;
az adatfeldolgozó vagy bármely adatfeldolgozó alvállalkozó birtokában lévő vagy felügyelete alatt álló, bármilyen formájú adat-visszakeresési vagy tárolási létesítményben tárolt személyes adatokról másolatot kiadni;
a személyes adatok kezeléséről tájékoztatást adni;
segítséget nyújtani bármely érintett által vagy nevében történő igénylés vagy felszólítás megválaszolásához, amely személyes adatokra vonatkozik.
ALVÁLLALKOZÓK IGÉNYBEVÉTELE
Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen. Az adatfeldolgozó kizárólag olyan alvállalkozót vehet igénybe, amely a jelen adatfeldolgozási szerződés szerinti feladatok elvégzésére jóváhagyott alvállalkozó. Az adatfeldolgozó köteles gondoskodni arról, hogy a személyes adatok jóváhagyott alvállalkozó által végzett bármilyen kezelése eleget tegyen a jelen adatfeldolgozási szerződésben rögzített valamennyi követelménynek. Ideértendő az is, hogy a jóváhagyott alvállalkozó által alkalmazott biztonsági intézkedéseknek legalább az adatfeldolgozó számára a jelen adatfeldolgozási szerződés szerint előírt védettségi szinttel egyenértékű védettséget kell biztosítania. Az adatkezelő felhívása esetén az adatfeldolgozó indokolatlan késedelem nélkül köteles bemutatni bármely jóváhagyott alvállalkozó biztonságértékelését.
Az adatfeldolgozó köteles biztosítani, hogy az adatfeldolgozó és a jóváhagyott alvállalkozók között adatfeldolgozási megállapodás jöjjön létre, mielőtt az adott jóváhagyott alvállalkozó megkezdené bármilyen személyes adat kezelését. Az adatfeldolgozási megállapodás(ok) biztosítja/biztosítják, hogy legalább olyan szigorú, valamint az adatkezelőnek és az adatfeldolgozónak legalább azokkal az előírásokkal egyenértékű védettséget nyújtó előírások vonatkozzanak az ilyen jóváhagyott alvállalkozókra, mint amelyeket a jelen adatfeldolgozási szerződés és a feldolgozási tevékenységeivel kapcsolatos vonatkozó jogszabályok az adatfeldolgozóra rónak.
A jelen adatfeldolgozási szerződés alkalmazásában az alvállalkozók (legyenek akár jóváhagyott alvállalkozók, akár nem) bármely esetleges, az adatkezelőre vagy valamely érintettre kiható intézkedéséért vagy mulasztásáért az adatfeldolgozó tartozik felelősséggel.
Az adatkezelő saját hatáskörében visszavonhat bármilyen jóváhagyást, amely valamely konkrét alvállalkozó igénybe vételével kapcsolatos. Az adatkezelő a visszavonást indokolja az adatfeldolgozónak. Annyiban, amennyiben a visszavonás megakadályozza az adatfeldolgozót a szolgáltatás teljesítésében, a felek tárgyalásokat folytatnak a szolgáltatás további biztosítását célzó alternatív megoldások és/vagy alvállalkozók tárgyában.
Személyes adatok kezelése AZ EURÓPAI GAZDASÁGI TÉRSÉGEN KÍVÜLI TERÜLETEN
Ha a személyes adatoknak a jóváhagyott területeken zajló feldolgozása nem
az Európai Gazdasági Térségben vagy
olyan területen történik, amelyet az Európai Bizottság megfelelő védelmi szintet biztosító területként jelölt meg a 95/46/EK irányelv, illetve 2018. május 25-től a GDPR (vagy az annak helyébe lépő jogi aktus) értelmében,
úgy a személyes adatok feldolgozását a személyes adatok harmadik országokba továbbításáról szóló vonatkozó uniós mintaszerződéseknek megfelelően kell végezni. Ha az adatkezelő a fenti a. vagy b. pontokban foglaltaktól eltérő országokba engedélyez adatátadást, vagy a fenti a. vagy b. pontokban foglaltaktól eltérő országból bármilyen hozzáférést enged a személyes adatokhoz, a felek bármely ilyen adatátadás vagy hozzáférés előtt kötelesek vállalni az uniós mintafeltételeket, továbbá ha az ilyen átadás személyes adatok átadásával jár az adatfeldolgozó alvállalkozója részére, az adatfeldolgozó köteles gondoskodni arról, hogy az uniós mintafeltételek kikötéseit az ilyen adatfeldolgozó alvállalkozóra is kiterjesszék azáltal, hogy az ilyen adatfeldolgozó alvállalkozó részére előírja az uniós mintafeltételek kikötéseinek vállalását az uniós mintafeltételekben „adatexportőrként” szereplő adatkezelővel szemben, mielőtt az említett adatátadás vagy hozzáférés megtörténne.
Az adatkezelő ezúton felhatalmazza az adatfeldolgozót arra, hogy az adatkezelő nevében megkösse az uniós mintafeltételekkel kapcsolatos szerződéseket bármely releváns jóváhagyott alvállalkozóval a fenti célból és bármely vonatkozó jóváhagyott terület tekintetében.
Ha az adatkezelőt felszólítják az aláírt uniós mintafeltételekről készített másolat helyi adatvédelmi hatóságnak történő benyújtására, a benyújtás érdekében az adatfeldolgozó átadja az adatkezelőnek az aláírt szerződés másolatát.
A kétségek kizárása érdekében a követelmény, miszerint biztosítani kell, hogy a jóváhagyott alvállalkozók a jelen 8. pont szerint előírt esetekben az uniós mintafeltételek használatával kössenek adatfeldolgozási megállapodást, nem mentesíti az adatfeldolgozót a 7. pontban rögzített kötelezettségei alól, ideértve annak biztosítását is, hogy a releváns jóváhagyott alvállalkozó által bevezetett biztonsági intézkedéseknek legalább az adatfeldolgozó számára a jelen adatfeldolgozási szerződésben előírt követelményekkel egyenértékű védettséget kell nyújtaniuk az adatkezelő és az érintettek számára.
Ha az adatfeldolgozó olyan törvények és jogszabályok hatálya alatt áll, amelyek előírják az adatfeldolgozónak a személyes adatok Európai Gazdasági Térségen kívülre továbbítását, az adatfeldolgozó köteles a továbbítást (ideértve a távoli hozzáférés esetét is) megelőzően tájékoztatni az adatkezelőt az adott jogszabályi előírásról és beszerezni az adatkezelő hozzájárulását a továbbításhoz.
Műszaki és szervezeti biztonsági intézkedések
Az adatfeldolgozó köteles a jelen adatfeldolgozási szerződés szerinti kötelezettségeit és intézkedéseit a teljes elvárható szakértelemmel, odafigyeléssel és gondossággal teljesíteni.
Az adatfeldolgozó megfelelő műszaki és szervezeti biztonsági és intézkedéseket köteles alkalmazni a személyes adatok bármely illetéktelen vagy jogellenes feldolgozásából, elvesztéséből, megsemmisüléséből, sérüléséből, megváltoztatásából vagy nyilvánosságra kerüléséből származó esetleges károk megelőzése érdekében, figyelemmel a megóvandó személyes adatok jellegére is. A biztonsági szintnek legalább a 2. sz. mellékletben foglalt biztonsági intézkedéseknek meg kell felelnie.
Az adatfeldolgozó köteles dokumentálni a 2. sz. mellékletben rögzített követelmények teljesítése érdekében általa alkalmazott műszaki biztonsági és szervezetbiztonsági intézkedéseket. A dokumentációt igény esetén az adatkezelő rendelkezésére kell bocsátani.
Amennyiben az adatfeldolgozó tudomást szerez arról, hogy akár a saját, akár valamely jóváhagyott alvállalkozójának szervezete nem felel meg a 2. sz. mellékletben foglalt biztonsági intézkedéseknek, az adott meg nem felelést az adatvédelmi incidensek vonatkozásában a 12. pontban rögzített eljárás szerint köteles bejelenteni az adatkezelőnek.
TITOKTARTÁS
Az adatfeldolgozó köteles biztosítani, hogy maga és munkavállalói egyaránt titokban tartsanak minden személyes adatot, valamint azt, hogy a személyes adatokhoz az adatfeldolgozó munkavállalói kizárólag a munkavégzésükhöz szükséges mértékben férhessenek hozzá. Az adatfeldolgozó különösen köteles gondoskodni arról, hogy a személyes adatok feldolgozásában érintett összes munkatársa kellő oktatásban és vizsgáztatásban részesüljön a személyes adatok kezelése tekintetében.
A személyes adatokat az adatkezelő és/vagy az érintett tulajdonát képező bizalmas információnak kell tekinteni, amelyre a jelen adatfeldolgozási szerződés feltételei mellett a felek által a szolgáltatási szerződésben vagy egyébként rögzített, a titoktartásra vonatkozó kötelezettségvállalásoknak megfelelő bizalmas kezelési előírások vonatkoznak.
Ellenőrzés
Az adatfeldolgozó köteles megőrizni a jelen megállapodásban foglalt kötelezettségeknek való megfelelőség igazolásához szükséges összes információt, valamint az adatfeldolgozó számvitele szerinti, személyes adatok feldolgozásával és mindazon technológiai rendszerével kapcsolatos részletes, pontos, naprakész nyilvántartás vezetni, amelyek segítségével a személyes adatokat fogadja vagy szolgáltatja, továbbá köteles ezeket az információkat igény esetén bármikor az adatkezelő rendelkezésére bocsátani.
Az adatkezelő jogosult az adatfeldolgozó jelen adatfeldolgozási szerződésnek való megfelelőségét személyesen vagy harmadik személy igénybevételével ellenőrizni.
Ha a felügyeleti hatóság ezt kéri, az adatkezelő jogosult megosztani a felügyeleti hatósággal az ellenőrzések jelentéseit és/vagy az adatkezelő bármely harmadik fél képviselője által végrehajtott ellenőrzések eredményeit.
A felek a jelen 11. pont szerint végrehajtott vagy az ott említett bármilyen ellenőrzéssel kapcsolatos költségeiket maguk kötelesek viselni.
Az ADATVÉDELMI INCIDENS bejelentése
Ha az adatfeldolgozó tudomást szerez bármilyen adatvédelmi incidensről, indokolatlan késedelem nélkül, de legkésőbb 24 órán belül köteles értesíteni az adatkezelőt, és teljes körűen együttműködni a probléma ésszerű keretek közötti lehető leggyorsabb rendezésében. Az értesítésnek az alábbi információkat kell tartalmaznia (ha azok rendelkezésre állnak):
az adatvédelmi incidens és körülményeinek ismertetése, ideértve az abban érintett érintettek kategóriáit és számát; az adatvédelmi incidenshez vezető esemény összefoglalását; az adott esemény napját és időpontját; az érintett személyes adatok kategóriáit és darabszámát; az érintett személyes adatok jellegét és tartalmát, valamint az adatvédelmi incidens természetbeni helyszínét és az érintett adathordozókat;
az adatvédelmi incidens által okozott káros hatások mérséklése érdekében ajánlott intézkedések ismertetése;
mindazon valószínűsíthető következmények és potenciális kockázatok ismertetése, amelyeket az adatvédelmi incidens okozhat az érintett(ek)nek;
az adott esetnek megfelelően az adatfeldolgozó és/vagy a jóváhagyott alvállalkozó által az adatvédelmi incidens kezelése érdekében javasolt vagy foganatosított intézkedések ismertetése;
az adatvédelmi incidens vagy annak mérséklése kapcsán esetleg releváns bármilyen további információ ismertetése, különösen olyan információké, amelyeket az adatkezelő korábban releváns információként jelölt meg; és
az értesítést emailben, az adatkezelő 1. sz. mellékletben azonosított kapcsolattartójának meg kell küldeni. Az adatfeldolgozó kapcsolattartójának rendelkezésre kell állnia gyors segítségnyújtás céljából és azért, hogy meg tudjon válaszolni az adatkezelő részéről felvetődő bármilyen utólagos kérdést.
Az adatvédelmi incidens természetétől függően az adatkezelőt jelentéstételi kötelezettség terhelheti az adatvédelmi hatóság felé. Az adatfeldolgozó az adatkezelő felhívására köteles átadni az adatkezelő által bekért bármely egyéb információt annak érdekében, hogy az eleget tudjon tenni a vonatkozó adatvédelmi szabályzatnak és/vagy az adatvédelmi hatóság adatkéréseinek. Az adatfeldolgozó nem jogosult bejelentést tenni egyetlen adatvédelmi hatóság felé sem.
Egyéb értesítések
Az adatfeldolgozó köteles:
indokolatlan késedelem nélkül, írásban értesíteni az adatkezelőt a szolgáltatások adatfeldolgozó által végzett nyújtása műszaki, szervezeti vagy pénzügyi szempontjainak bármely tervezett megváltoztatásáról, valamint az adatfeldolgozó vagy az alvállalkozói szervezetét érintő olyan változásokról, amelyek hátrányosan befolyásolhatják az adatfeldolgozó vagy alvállalkozói képességét vagy készségét arra, hogy a személyes adatok feldolgozását az adatkezelő utasításai vagy a jelen adatfeldolgozási szerződésben foglalt követelmények szerint végezze;
5 (öt) naptári napon belül, írásban értesíteni az adatkezelőt, ha (i) valamely érintettől az illető személyes adataiba történő betekintésre vonatkozó kérelmet; vagy (ii) az adatkezelő és/vagy ügyfele vonatkozó adatvédelmi jogszabályok szerinti kötelezettségeivel kapcsolatos kifogást vagy igénylést vesz át. Az adatfeldolgozó semmit nem ismerhet el, illetve nem foganatosíthat olyan intézkedést, amely hátrányosan befolyásolhatja a bármely ilyen kifogással szembeni védekezést vagy annak rendezését, és köteles az adatkezelőnek megadni minden ésszerű segítséget, amelyre az ilyen kifogással kapcsolatban szüksége lehet;
indokolatlan késedelem nélkül értesíteni az adatkezelőt, ha bármely adatvédelmi hatóság vagy egyéb kormányzati szerv arra szólítja fel az adatfeldolgozót vagy bármely alvállalkozóját, hogy az adatvédelmi hatóság vagy egyéb vonatkozó kormányzati szerv részére kötelezően hozzáférést biztosítson személyes adatokhoz. Az ilyen értesítést lehetőség szerint és a vonatkozó jogszabályokban megengedett mértékben az adatfeldolgozó által teljesített bármilyen adatszolgáltatás előtt kell megtenni.
Ha az adatfeldolgozót bármilyen jogszabály vagy előírás, illetve hatóság arra kötelezi vagy hívja fel, hogy őrizzen meg bármely olyan dokumentumot vagy anyagot, amelyet a 17. pont szerint egyébként vissza kellene szolgáltatnia vagy meg kellene semmisítenie, a jogszabályokban megengedett mértékben írásban köteles értesíteni az adatkezelőt az adott adatmegőrzésről, megadva az általa megőrzendő dokumentumok vagy anyagok adatait. Az adatfeldolgozó a megőrzött dokumentumok vagy anyagok tekintetében nem szegheti meg a 17. pontot; a 10. pont azonban továbbra is érvényes marad azokra.
Bármilyen értesítés akkor tekintendő kézbesítettnek, amikor emailben megérkezett az adatkezelő kapcsolattartójához. Az adatfeldolgozó kapcsolattartójának rendelkezésre kell állnia gyors segítségnyújtás céljából és azért, hogy meg tudjon válaszolni az adatkezelő részéről felvetődő bármilyen utólagos kérdést.
Hatály
A jelen adatfeldolgozási szerződés a felek általi aláírása napján lép hatályba, és mindaddig hatályban marad, ameddig az adatfeldolgozó vagy bármelyik jóváhagyott alvállalkozó személyes adatokat kezel vagy ilyenekhez hozzáfér.
SZERZŐDÉSSZEGÉS
A jelen adatfeldolgozási szerződésben rögzített követelményeknek való bármilyen meg nem felelés szerződésszegésnek tekintendő az adatfeldolgozó részéről. Az adatfeldolgozó köteles gondoskodni az esetleges szerződésszegések lehető leggyorsabb orvosolásáról. Az adatfeldolgozó köteles folyamatosan tájékoztatni az adatkezelő kapcsolattartóját az esetleges fejleményekről, és dokumentálnia kell a nem megfelelés orvoslása érdekében bevezetett összes intézkedést.
A jelen adatfeldolgozási szerződés bármilyen megszegése esetén az adatkezelő a fentiektől függetlenül azonnali hatállyal utasíthatja az adatfeldolgozót a személyes adatok bármely további kezelésének felfüggesztésére vagy megszüntetésére.
Az adatfeldolgozó köteles teljes körűen kártalanítani és mentesíteni az adatkezelőt minden olyan igény, kötelezettség, költség, kiadás és kár, valamint veszteség tekintetében, amely abból ered, hogy az adatfeldolgozó nem tesz eleget a jelen adatfeldolgozási szerződésben foglalt követelményeknek és az adatfeldolgozó által végzett adatkezelési tevékenységekre vonatkozó jogszabályoknak. Bármely harmadik fél részéről támasztott igény esetén az adatkezelő köteles: i) indokolatlan késedelem nélkül értesíteni az adatfeldolgozót; ii) az adatfeldolgozóval együttműködni és annak segítséget nyújtani; és iii) lehetővé tenni az adatfeldolgozónak a részvételt az igénnyel szembeni védekezésben, ideértve annak rendezését is.
Segítségnyújtás adatmigrációhoz
A szolgáltatási szerződés lejáratakor vagy megszűnésekor az adatfeldolgozó térítésmentesen köteles átadni az adatkezelő részére a személyes adatokat az adatkezelő által meghatározott módon (írásban vagy elektronikusan) és formátumban úgy, hogy azokat megfelelő szabványos formátumban át lehessen adni más adatfeldolgozónak, az érintettnek és/vagy valamely harmadik fél szolgáltatónak. A személyes adatok visszaadására elsősorban olyan formátumban kerül sor, amilyenben az adatfeldolgozó az adatokat nyilvántartotta. Az adatkezelő utasítása szerint, vagy, ha az adott formátumban történő átadást jogszabály, vagy harmadik féllel kötött szerződés nem teszi lehetővé, a vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban kell átadni.
Adattörlési kötelezettség
A személyes adatokat az adatfeldolgozó általi adatkezelés eredeti céljának végrehajtásához szükséges időszaknál tilos tovább tárolni. Az adatfeldolgozó köteles eleget tenni az 1. sz. mellékletben szereplő adatok folytatólagos törlését célzó rutinszerű és egyéb munkafolyamatoknak.
A 16. pont szerinti adatmigrációs segítségnyújtásra vonatkozó kötelezettség értelmében az adatfeldolgozó a szolgáltatási szerződés lejárta vagy megszűnése esetén köteles ténylegesen törölni az összes személyes adatot, kivéve, ha az adatkezelő eltérő utasítást ad. A jelen rendelkezés alkalmazásában a tényleges törlés azt jelenti, hogy az adattörlés az ágazati legjobb gyakorlatot jelentő szabványok szerint történik oly módon, hogy a személyes adatokat semmilyen ismert technológiával ne lehessen helyreállítani.
Az adatfeldolgozó bármilyen törlés előtt köteles arra vonatkozó igazolást kérni az adatkezelő kapcsolattartójától, hogy elvégezheti a törlést. Ha ilyen igazolást nem kap, az adatfeldolgozó a szolgáltatási szerződés lejáratának vagy megszűnésének hatályba lépésétől számított 30 nap eltelte után jogosult a személyes adatok törlésére.
A fentiek korlátozása nélkül a jelen adatfeldolgozási szerződés hatálya alatt az adatfeldolgozó annyiban köteles bármikor ténylegesen törölni a személyes adatokat, amennyiben az adatkezelő kapcsolattartója kéri vagy az 1. sz. melléklet előírja.
A RENDELKEZÉSEK FENNMARADÁSA
Annyiban, amennyiben az adatkezelőnek az adatvédelmi hatóságok vagy érintettek azzal kapcsolatos megkereséseire kell válaszolnia, hogy a szolgáltatási szerződés és a jelen adatfeldolgozási szerződés szerint miként történt a személyes adatok feldolgozása, az adatfeldolgozó a jelen adatfeldolgozási szerződés lejárata után is köteles biztosítani a szükséges segítséget.
A kétségek kizárása érdekében a jelen adatfeldolgozási szerződés 10. pontjában foglalt titoktartási kötelezettségek, ideértve a munkavállalók, tanácsadók stb. személyes adatok titokban tartására vonatkozó kötelezettségét is, a jelen adatfeldolgozási szerződés lejárata vagy megszűnése után is fennmaradnak.
A jelen adatfeldolgozási szerződés 2 (két) példányban készült, amelyekből a felek egy-egy példányt kapnak.
___, 2018. [.]
_____________________________ Adatkezelő __ képviseletében: __ |
_____________________________ Adatfeldolgozó __ képviseletében: __ |
|
|
1. sz. melléklet – Az adatfeldolgozásra vonatkozó utasítások
Szolgáltatási szerződés
A szolgáltatási szerződés, amelyre a jelen adatfeldolgozási szerződés vonatkozik, a felek között [.] napján jött létre „[.]” tárgyában.
Feldolgozandó személyes adatok
Az alábbi érintettek adatai kerülnek feldolgozásra:
___ pl. közjegyzőhelyettes, közjegyzőjelölt, munkavállaló, ügyfél, szerződéses partner, stb.
A személyes adatok alábbi típusai kerülnek feldolgozásra:
___
Jóváhagyott terület
A személyes adatok feldolgozása tekintetében jóváhagyott terület vagy területek az alábbi régiók vagy térségek:
___ pl. Magyarország
Jóváhagyott alvállalkozók
A személyes adatok feldolgozásához igénybe venni kívánt jóváhagyott alvállalkozók az alábbi vállalkozások:
___
A jóváhagyott alvállalkozók által végzett adatkezelés
Az alábbi táblázat tartalmazza az adatkategóriák, tárolási helyek, adatáramlások és az adott jóváhagyott alvállalkozó feldolgozási tevékenységeinek összefoglalását.
Jóváhagyott alvállalkozó [A társaság nevét, cégjegyzékszámát, címét, elérhetőségeit kell feltüntetni] |
Az adatkezelés köre és célja |
Személyes adatok kategóriái |
Az adatkezelés (és tárolás) helye (pl. ország/állam) |
A személyes adatok átadásának jogalapja |
___ |
___ |
___ |
___ |
___ |
A személyes adatok folytatólagos törlését célzó rutinszerű és egyéb munkafolyamatok
Az adatfeldolgozó az adatkezelő utasításainak megfelelően jár el az adatok törlése során. Az adatfeldolgozó a szerződés teljesítése során általa esetlegesen megismert, a szerződés szerinti cél eléréséhez nem szükséges személyes adatokat köteles a saját rendszereiből törölni, azokkal az adatkezelő kifejezett utasítása ellenére semmilyen adatkezelési műveletet nem végezhet.
Kapcsolattartó
A jelen adatfeldolgozási szerződés alkalmazásában az alábbi személyek lesznek a felek kapcsolattartói:
Az adatkezelő kapcsolattartója |
Az adatfeldolgozó kapcsolattartója |
__ |
__ |
__ |
__ |
__ |
__ |
|
|
A fenti elérhetőségek bármilyen módosítását vagy a felek kapcsolattartójának személyében bekövetkező változásokat indokolatlan késedelem nélkül, írásban vagy emailben kell közölni a másik féllel.
2. sz. melléklet – Minimális biztonsági intézkedések
Biztonsági audit, tesztelés és ellenőrzés
Az adatkezelő fenntartja a jogot, hogy a biztonsággal kapcsolatban auditokat, tesztelést és ellenőrzéseket hajtson végre, amelyekhez az adatfeldolgozó köteles megadni az indokolt segítséget.
Az adatkezelő fenntartja a jogot, hogy egy vagy több általa kiválasztott harmadik felet bízzon meg azzal, hogy az adatkezelő számára segítséget nyújtson a biztonsággal kapcsolatos auditok, tesztelés és ellenőrzések végrehajtásában, vagy azokat az adatkezelő nevében végrehajtsa.
Az egyértelműség érdekében, az ilyen biztonsági auditoknak, tesztelésnek és ellenőrzéseknek az olyan területekre, rendszerekre és infrastruktúrára kell korlátozódniuk, amelyek potenciálisan befolyásolhatják az adatkezelő adatkezelési biztonságát, a személyes adatokat vagy az adatfeldolgozó képességét a jelen adatfeldolgozási szerződés szerinti kötelezettségei teljesítésére.
Az adatfeldolgozó felelősséggel tartozik munkatársaiért és magatartásukért. Az adatfeldolgozó köteles szerződést kötni minden munkatársával, amelyben rögzíti az adatfeldolgozó felé fennálló kötelezettségeiket, ideértve a szakmai titoktartásra, valamint az informatikai és biztonsági szabályzatok betartására vonatkozó kötelezettségüket is.
Az adatfeldolgozónak olyan folyamatot kell kialakítania, amellyel tájékoztatja és oktatja az összes érintett munkatársat a szolgáltatási szerződés feltételeiről, az általános biztonságról, valamint a szolgáltatási szerződéssel és a jelen adatfeldolgozási szerződéssel összefüggő konkrét biztonsági követelményekről, továbbá biztosítania kell, hogy az összes munkatársa megkapja a szervezeten belül betöltött szerepkörével kapcsolatos biztonsági elvárásokat rögzítő iránymutatásokat. A jelen adatfeldolgozási szerződésben foglalt biztonsági előírásokat megszegő munkatársaira vonatkozó fegyelmi folyamatot kell kialakítania. Megfelelő eljárást kell kialakítania a munkatársai munkaviszonyának megszüntetésére, amely kiterjed az alábbiakra:
az összes rendszerelérési jogosultság visszavonása;
a felhasználói fiók letiltása, és az adatkezelő kezelésében lévő személyes adatok feldolgozásához használt mobileszközök törlése;
az adatkezelő kezelésében lévő személyes adatok feldolgozásához használt informatikai eszközök (pl. laptop) visszavétele;
fizikai belépési jogosultság visszavonása;
a személyazonosító beléptető kártya, kód, hash kód, stb. visszavétele és megsemmisítése.
A munkavállaló kezdeményezésére történő munkaviszony-megszüntetés esetén az említett intézkedéseket akkor kell végrehajtani, amikor a feladatvégzés alapján az adott hozzáférésre, felhasználói fiókra vagy eszközre nincs további szükség, de legkésőbb a kilépés napján. Az adatfeldolgozó köteles megfelelően értékelni annak kockázatát, hogy az ilyen hozzáférés, fiókok vagy eszközök továbbra is a munkavállaló rendelkezésére állnak, és az értékelése szerint kell eljárnia. Az adatfeldolgozó köteles külön figyelmet fordítani az említett hozzáférés, fiókok és eszközök munkavállaló további rendelkezésére bocsátásával járó kockázatra, továbbá mérlegelnie kell a felmondás közlése és az említett hozzáférés, fiókok és eszközök visszavonása közötti időszak tekintetében a kiegészítő kockázatcsökkentő intézkedések lehetőségét.
A munkáltató által szerződésszegés vagy jogellenes magatartás miatt kezdeményezett felmondás esetén a fenti intézkedéseket azonnal végre kell hajtani.
Az adatfeldolgozó köteles biztosítani, hogy az adatfeldolgozóval kötött szerződésüket, a munkaviszonyukra vonatkozó feltételeket vagy az adatfeldolgozó felé fennálló bármilyen szempontból biztonsági vonatkozású egyéb kötelezettségüket vagy az adatkezelő jelen adatfeldolgozási szerződésben foglalt előírásait megszegő munkatársakat – ha a kötelezettségszegést az adatfeldolgozó nem tekinti kisebb fokúnak, nem szándékosnak és gyakorlati következménytől mentesnek – eltiltsák az adatkezelő kezelésében lévő személyes adatokkal végzett munkától, valamint azonnali hatállyal visszavonják az összes fizikai és logikai hozzáférési jogosultságukat minden olyan információhoz vagy funkcióhoz, amely bármilyen elképzelhető módon releváns a jelen adatfeldolgozási szerződés szerinti teljesítések szempontjából.
Fizikai és környezeti biztonság
Az adatfeldolgozó a személyes adatok őrzése céljából alkalmazott fizikai biztonság biztosítása érdekében köteles szabályzattal rendelkezni, amit az adatkezelő felhívására és értesítése mellett dokumentáltan igazolnia kell.
A személyes adatok megvédésének és őrzésének biztosítása érdekében minden területet, ahol az adatfeldolgozó olyan feladatokat végez az adatkezelő részére, amelyek potenciálisan kihathatnak az adatkezelő kezelésében lévő személyes adatokra, kötelezően biztosítani kell a fizikai biztonsági szabályzatnak vagy szabályzatoknak megfelelően.
Az adatfeldolgozó köteles biztosítani, hogy az adatfeldolgozó fizikai biztonsági szabályzatát minden területen alkalmazzák, ahol az adatfeldolgozó az adatkezelő részére végez feladatokat, oly módon, hogy az így elért fizikai védettség megfeleljen az adatkezelő alábbiakban meghatározott saját fizikai védelmi követelményeinek, vagy meghaladja azokat.
Minden irodai területet, ahol az adatfeldolgozó az adatkezelő részére végez feladatokat, úgy kell biztosítani, hogy ez megfeleljen legyen az adatkezelő saját fizikai biztonsági intézkedéseinek. Továbbá minden szervert, tárhelyet vagy routert és egyéb hálózati vagy számítástechnikai berendezést, amely révén az adatkezelő kezelésében lévő személyes adatokat tárolják, és célja szerint nem igényel folyamatos végfelhasználói használatot, olyan megoldásokkal biztosított létesítményekben kell elhelyezni, amelyek az adatkezelő fizikai biztonsági intézkedéseinek megfelelő fizikai biztonságot nyújtanak.
Berendezésekkel, hálózattal és adathordozókkal kapcsolatos biztonság
A jelen adatfeldolgozási szerződés megkötése előtt az adatfeldolgozó megfelelő és időszerű biztonsági intézkedések alkalmazásával köteles kellő szintű biztonságot kialakítani, és a szolgáltatási szerződés teljes időtartama alatt fenntartani, az összes olyan végfelhasználói berendezés, szerver, hálózat, digitális adathordozó és mobileszköz vonatkozásában, amelyet az adatkezelőnek nyújtott szolgáltatás céljából használ.
A használaton kívüli és elveszett eszközök esetén is biztosítani kell az adatok védelmét, adott esetben titkosítási technológia használatával.
A feladatok elkülönítése
A jelen szerződés szerinti személyes adatok feldolgozásával és kezelésével kapcsolatos feladatok személyekhez rendelése során kötelezően érvényesíteni kell a feladatok szigorú elkülönítését.
A hozzáférési jogokat, jogosultságokat és tevékenységeket kezelő, kiosztó vagy felügyelő bármely rendszerben a felelősségi és feladatkörök személyekhez rendelésének úgy kell történnie, hogy egyetlen személynek se legyen lehetősége a saját hozzáférési jogai, jogosultságai és tevékenységei kezelésére, kiosztására vagy felügyeletének befolyásolására, emellett magában a rendszerben is szükségesek olyan ellenőrzések és korlátozások, amelyek megakadályozzák ennek véletlenszerű vagy szándékos előfordulását. Az adatkezelő által kezelt személyes adatokhoz történő hozzáférés minimálisra szorítása érdekében a legkisebb körű hozzáférés és legkevesebb jogosultság elveit kell alkalmazni.
Változáskezelés
A személyes adatok információbiztonságát érintő információs rendszerek, üzleti folyamatok és rendszerek megváltoztatását ellenőrzés alatt kell tartani.
Az adatfeldolgozó köteles gondoskodni auditálható változtatási naplók létrehozásáról és későbbi rendelkezésre állásáról. A változtatási naplóknak tartalmazniuk kell a változtatási folyamat lépésein keresztül történő nyomonkövethetőség támogatása céljából releváns információkat. A naplókban minimálisan fel kell tüntetni a felhasználó-, dátum-, időpont-azonosítókat, és a kulcsfontosságú események adatait. A változtatási naplók elérhetőségét korlátozni kell, biztosítva a letagadás lehetőségének megakadályozását, így azokhoz hozzáférést kizárólag a munkavégzéshez szükséges mértékben lehet biztosítani.
Az adatvédelmi incidensek kezelése
Az adatfeldolgozó indokolatlan késedelem nélkül köteles minden ésszerű lépést megtenni, és minden indokolt intézkedést bevezetni annak érdekében, hogy minimalizálja az adatvédelmi incidensek miatti negatív hatásokat. Az adatfeldolgozó indokolatlan késedelem nélkül köteles közölni az adatkezelővel minden olyan információt, amely befolyásolhatja az adatkezelő képességét a jelen szerződés szerinti személyes adatok titkosságának és épségének fenntartására, vagy az adatkezelő képességét az adatvédelmi incidens miatt felmerülő bármilyen negatív hatás minimalizálására.
Az adatfeldolgozó a jelen adatfeldolgozási szerződés megkötése előtt köteles az adatkezelő rendelkezésére bocsátani az adatfeldolgozónak az adatvédelmi incidensek kezelése vonatkozásában irányadó belső eljárásaival, irányelveivel és folyamataival kapcsolatos információkat.
16