Adatfeldolgozási tevékenységek általános szerződési feltételei Etalon Zala Kft.
7. számú melléklet
Adatfeldolgozási tevékenységek általános szerződési feltételei Etalon Zala Kft.
1. Bevezetés
1.1.1. Jelen Adatfeldolgozási tevékenyégek Általános Szerződési Feltételi dokumentum elválaszthatatlan részét képezi az Etalon Zala Kft. (8900. Zalaegerszeg, Xxxxxx Xxxxxx xxxx 00.) általános szerződési feltételeinek, és kizárólag azzal együtt értelmezhető. A dokumentum elérhető a cég székhelyén.
2. Általános rendelkezések
2.1.1. Abban az esetben, ha a Szolgáltató a szolgáltatás igénybe vevőjeének utasításai alapján adatkezelési műveletekhez kapcsolódó technikai feladatokat lát el, a Szolgáltató adatfeldolgozónak, a szolgáltatás igénybe vevője (Megrendelője) pedig adatkezelőnek minősül. A Szolgáltató az általa nyújtott szolgáltatásokhoz kapcsolódó adatfeldolgozói tevékenysége során az alábbi feltételek szerint jár el, illetve arra az alábbi rendelkezések az irányadók.
2.1.2. A Szolgáltató, mint adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, azonban szükséges a tájékoztatása, amely a szolgáltatás igénybe vevőjeének feladata.
2.1.3. A Szolgáltató a személyes adatokat kizárólag a szolgáltatás igénybe vevőjének írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –, kivéve akkor, ha az adatkezelést a Szolgáltatóra alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról a Szolgáltató a szolgáltatás igénybe vevőjét az adatkezelést megelőzően értesíti, kivéve, ha a szolgáltatás igénybe vevőjének értesítését az adott jogszabály fontos közérdekből tiltja.
3. Az adatfeldolgozás célja és időtartama
3.1.1. A Szolgáltató által végzett adatfeldolgozás célját/céljait a szolgáltatás igénybe vevője jogosult meghatározni. A Szolgáltató a 4. pont szerinti személyes adatokat a jelen ÁSZF-ben foglaltak szerint, a szolgáltatás nyújtására vonatkozó szerződésben foglalt célok elérése érdekében, az ott meghatározott ideig kezeli. Ezt követően a Szolgáltató a szolgáltatás igénybe vevőjeének döntése alapján a személyes adatokat véglegesen és helyreállíthatatlanul törli vagy visszajuttatja a szolgáltatás igénybe vevőjének és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.
4. Az adatfeldolgozással érintett személyes adatok típusa és az érintettek kategóriái
4.1.1. A Szolgáltatás keretein belül kezelt adatok körét Megrendelő, mint adatkezelő határozza meg, és teszi közzé saját Adatkezelési nyilatkozatában. A kezelt adatok lehetnek például név, cím, e-mail cím, IP cím stb.
4.1.2. A szolgáltatás jellegéből adódóan, mivel adatkezelő az adatokat maga tölti fel szolgáltató eszközeire és nem történik átadás vagy átvétel, jelen szerződés keretein belül felek az adatok körét nem határozzák meg pontosan, csak leszögezik, hogy Megrendelő tárolhat személyes adatokat Szolgáltató eszközein.
4.1.3. A kezelt adtatok köréről Szolgáltatónak, mint adatkezelőnek a szolgáltatás jellegéből adódóan nincs tudomása, csak abban az esetben, ha az eszközén tárolt adatokat kifejezetten megnézi, és azokat technikailag elemzi.
4.1.4. Előfordulhat olyan eset, amikor Megrendelő adatkezelőként Szolgáltató eszközein úgy tárol adatokat, hogy azt Szolgáltató, mint adatkezelő nem képes megtekinteni, értelmezni. Például titkosított adatok.
5. Adatbiztonság
5.1.1. A Szolgáltató biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
5.1.2. A Szolgáltató a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
▪Szolgáltató szervereinek tűzfal védelmét
▪Az adathordozók magasabb szintű védelmét
▪A szerveren futó felhasználók elkülönítését
▪A szerveren tárolt fájlok jogosultságainak megfelelő kezelését.
5.1.3. A Szolgáltató intézkedéseket hoz annak biztosítására, hogy az irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag a szolgáltatás igénybe vevője utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
5.1.4. Szolgáltató bizonyos szolgáltatások nyújtásához további adatfeldolgozó szolgáltatásait is igénybe veszi. Az uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek a Szolgáltató és a szolgáltatás igénybe vevője között létrejött szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen e rendelet követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó Szolgáltató teljes felelősséggel
tartozik a szolgáltatás igénybe vevője felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
5.1.5. A szolgáltatás igénybe vevője jogosult ellenőrizni a Szolgáltatónál a szerződés szerinti adatfeldolgozói tevékenysége végrehajtását. Ellenőrzési jogkörében eljárva szolgáltatás igénybe vevője jogosult a Szolgáltatótól az általa végzett adatfeldolgozással kapcsolatban felvilágosítást, illetve tájékoztatást kérni, amelynek a Szolgáltató a szolgáltatás igénybe vevőjének megkeresésétől számított 30 (harminc) napon belül köteles eleget tenni.
6. Adatvédelmi incidensek kezelése
6.1.1. A Szolgáltató a tudomására jutott adatvédelmi incidensről a szolgáltatás igénybe vevőjét haladéktalanul, de legkésőbb 72 (hetvenkét) órán belül értesíti. A Szolgáltató
ennek során – amennyiben ez lehetséges – tájékoztatja a szolgáltatás igénybe vevőjeét az incidens bekövetkeztének időpontjáról és körülményeiről, várható hatásairól, az incidenssel érintett személyek köréről és hozzávetőleges számáról, valamint az incidens orvoslása érdekében megtett intézkedéseiről.
7. Felelősség
7.1.1. Az adatkezelés jogszerűségéért – ideértve az adatkezelési műveletekre vonatkozó utasításokat is – a szolgáltatás igénybe vevője, mint adatkezelő tartozik felelősséggel.
7.1.2. A Szolgáltató felelőssége kizárólag a szerződés szerinti adatfeldolgozói tevékenysége körében végzett adatkezelések biztonságára, valamint a szolgáltatás igénybe vevője utasításainak végrehajtására terjed ki. A Szolgáltató nem tartozik felelősséggel a szolgáltatás igénybe vevője általi nem jogszerű adatkezelésekért, továbbá azon esetekért, amelyek a szolgáltatás igénybe vevőjének az adatfeldolgozás körében adott célszerűtlen, szakszerűtlen vagy jogszerűtlen utasítására vezethető vissza, különös tekintettel arra az esetre, amikor a szolgáltatás igénybe vevője elavult, könnyedén feltörhető szoftvert telepít Szolgáltató eszközére. A Szolgáltató haladéktalanul tájékoztatja a szolgáltatás igénybe vevőjét, amennyiben úgy véli, hogy a szolgáltatás igénybe vevőjeének utasítása vagy annak végrehajtása sérti az uniós vagy tagállami adatvédelmi rendelkezéseket. Ebben az esetben a Szolgáltató megtagadja a szolgáltatás igénybe vevője által adott utasítás végrehajtását.
8. A Felek együttműködési és tájékoztatási kötelezettsége
8.1.1. Felek az általuk végzett adatkezelési/adatfeldolgozói műveletek során kötelesek egymással kölcsönösen együttműködni és tájékoztatni egymást valamennyi az adatkezeléssel/adatfeldolgozással kapcsolatos lényeges körülményről. Ennek elmulasztásából eredő kárért a mulasztó fél tartozik felelősséggel.
8.1.2. A Szolgáltató az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a szolgáltatás igénybe vevőjét abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében. A Szolgáltató segíti továbbá a szolgáltatás igénybe vevőjeét az Európai Parlament és a Tanács (EU) 2016/679
rendeletének (a továbbiakban: GDPR) 32–36. cikkében foglalt kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és a Szolgáltató rendelkezésére álló információkat.
8.1.3. Szolgáltató a szolgáltatás igénybe vevőjének rendelkezésére bocsát minden olyan információt, amely a GDPR 28. cikkben az adatfeldolgozó vonatkozásában meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti a szolgáltatás igénybe vevője által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.
9. Eljárás a Felek közötti alapszerződés megszűnése esetén
9.1.1. A szolgáltatás igénybe vevője és a Szolgáltató közötti alapszerződés (ÁSZF, amely alapján a Szolgáltató az adatfeldolgozást végzi) megszűnése a jelen adatfeldolgozási szerződés megszűnését eredményezi. Az adatfeldolgozási szerződés megszűnését követően a Szolgáltató az általa kezelt személyes adatokat törli eszközeiről, valamint 60 napon belül az azokról készült másolatot, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.
10. Záró rendelkezések
10.1.1. A jelen szerződésben nem szabályozott kérdésekben a Polgári Törvénykönyvről szóló 2013. évi V. törvény (Ptk.), az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény) rendelkezései irányadók.
10.1.2. A szolgáltatás igénybe vevője a jelen szerződés elfogadásával kijelenti, hogy a Szolgáltató által végzett adatfeldolgozásra vonatkozó általános szerződési feltételeket teljesterjedelemben megismerte és elfogadta.