Magyar Telekom Csoport Általános Adatfeldolgozási Szerződéses Feltételek (Adatfeldolgozási ÁSZF)
124-M8v9.0.
Magyar Telekom Csoport Általános Adatfeldolgozási Szerződéses Feltételek (Adatfeldolgozási ÁSZF)
1. A szerződés szerkezete
Jelen Egyszerűsített Szerződéses Feltételek a Magyar Telekom Csoport beszerzési megrendelésen feltüntetett tagvállalata, mint megrendelő
(továbbiakban MT) és a Partner (továbbiakban Partner) közötti szerződés feltételeit tartalmazza amely valamely MT által megrendelt áru/szolgáltatás igénybevétele során feldolgozásra kerülő személyes adatokra vonatkozik.
2. Fogalmak
Adatkezelés: a személyes adatokon vagy adatállományokon
automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés,
tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés,
betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy
összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
MT vagy Adatkezelő: az a természetes vagy jogi személy, közhatalmi
szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt
meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő
kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
Partner vagy Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az MT nevében személyes adatokat kezel;
Adatvédelmi hatásvizsgálat: a GDPR 35. cikke szerinti kötelezettség;
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy
jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
GDPR: AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679
RENDELETE (2016. április 27.) a természetes személyeknek a
személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről;
Személyes adat: azonosított vagy azonosítható természetes személyre („Érintett”) vonatkozó bármely információ; azonosítható az a
természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai,
szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
3. Jogok és kötelezettségek Partner vállalja, hogy:
a) a személyes adatokat kizárólag az MT írásbeli utasításai alapján kezeli – beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is –,
kivéve akkor, ha az adatkezelést az Partnerre alkalmazandó uniós vagy tagállami jog írja elő; ebben az esetben erről a jogi előírásról az Partner az MT-t az adatkezelést megelőzően értesíti;
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy
jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
c) amennyiben a Partner az MT rendszereitől eltérő
rendszerben dolgozza fel a személyes adatokat, vállalja, hogy a
tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a
természetes személyek jogaira és szabadságaira jelentett, változó
valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
(i) a személyes adatok álnevesítését és titkosítását;
(ii) a személyes adatok kezelésére használt rendszerek és
szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
(iii) fizikai vagy műszaki incidens esetén az arra való
képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; továbbá
(iv) az adatkezelés biztonságának garantálására hozott
technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt
személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra
hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
d) intézkedéseket hoz annak biztosítására, hogy a Partner
irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az MT utasításának megfelelően
kezelhessék az említett adatokat;
e) az MT előzetesen írásban tett eseti vagy általános
felhatalmazása nélkül további Partnert nem vesz igénybe. Az általános írásbeli felhatalmazás esetén az Partner tájékoztatja az MT-t minden olyan tervezett változásról, amely további Partnerek igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az MT-nek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen;
f) amennyiben az MT nevében végzett konkrét adatkezelési tevékenységekhez további Partner szolgáltatásait is igénybe veszi,
uniós vagy tagállami jog alapján létrejött szerződés vagy más jogi aktus útján erre a további Partnerre is ugyanazokat az adatvédelmi
kötelezettségeket telepíti, mint amelyek jelen Adatfeldolgozási ÁSZF- ben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a
további Partnernek megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR
követelményeinek. Ha a további Partner nem teljesíti adatvédelmi
kötelezettségeit, az őt megbízó Partner teljes felelősséggel tartozik az MT felé a további Partner kötelezettségeinek a teljesítéséért;
g) az adatkezelés jellegének figyelembevételével megfelelő
technikai és szervezési intézkedésekkel a lehetséges mértékben segíti a Megbízót abban, hogy teljesíteni tudja kötelezettségét az Érintett
GDPR III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében;
h) segíti az MT-t a GDPR 32–36. cikk (Az adatkezelés biztonsága, Az adatvédelmi incidens bejelentése a felügyeleti
124-M8v9.0.
hatóságnak, Az érintett tájékoztatása az adatvédelmi incidensről,
Adatvédelmi hatásvizsgálat, Előzetes konzultáció) szerinti
kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az Partner rendelkezésére álló információkat;
i) az adatkezelési szolgáltatás nyújtásának befejezését követően az MT döntése alapján minden személyes adatot töröl vagy visszajuttat az MT-nek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő;
j) az MT rendelkezésére bocsát minden olyan információt, amely az adatok, illetve a másolatok törlésének igazolásához
szükséges, továbbá amely lehetővé teszi és elősegíti az MT által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a
helyszíni vizsgálatokat is. A Partner haladéktalanul tájékoztatja az MT-t, ha úgy véli, hogy annak valamely utasítása sérti ezt a GDPR vagy a
tagállami vagy uniós adatvédelmi rendelkezéseket.
k) az adatvédelmi incidenst, az arról való tudomásszerzését követően haladéktalanul, de legkésőbb az adatvédelmi incidensről való tudomásszerzéstől számított 24 órán belül bejelenti az MT-nek. Az
említett bejelentésben legalább:
(i) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az Érintettek kategóriáit és hozzávetőleges számát,
valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
(ii) közölni kell az adatvédelmi tisztviselő vagy a további
tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
(iii) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; valamint
(iv) ismertetni kell az Partner által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
l) támogatja az MT-t abban, hogy az az Érintetteknek a GDPR- ben biztosított egy vagy több joguk gyakorlására irányuló kéréseit
teljesítse;
m) amennyiben Partner bármely Érintettől a GDPR-ben biztosított egy vagy több joga gyakorlására irányuló kérést kap, akkor Partner az Érintettet arról tájékoztatja, hogy megkeresésével
közvetlenül az MT-hez forduljon, egyúttal a megkeresésről az MT-t is
haladéktalanul tájékoztatja;
n) vezeti a GDPR 30. cikke (2) bekezdésében előírt összes nyilvántartást, és amennyiben a személyes adatok MT nevében történő feldolgozása ezt lehetővé teszi, kérésre az MT rendelkezésére bocsátja ezeket a nyilvántartásokat.
MT jogosult a jelen szerződésben rögzített tevékenység ellátását, így különösen az Érintettek személyes adatai tárolásának, kezelésének a módját bármikor ellenőrizni. Az ellenőrzés időpontjával kapcsolatban MT a Partnerrel előzetes időpont-egyeztetésre nem köteles.
4. Felelősség
Amennyiben MT-t a Partner adatfeldolgozási tevékenységével
kapcsolatban kár éri, úgy Partner köteles azt megtéríteni. Amennyiben az MT-nél a Partner tevékenységével kapcsolatban kártérítési
igényérvényesítéssel lépnek fel vagy eljárást indítanak, úgy Partner köteles Adatkezelőt a kártérítés, kiszabott bírság, büntetés alól
mentesíteni 30 napon belül.
5. Irányadó jog, joghatóság
A jelen Adatfeldolgozási Szerződés irányadó joga Magyarország és az Európai Unió joga. A jelen Adatfeldolgozási Szerződésben nem
szabályozott kérdésekben különösen a GDPR, az Info tv., illetve a Magyar Polgári Törvénykönyv rendelkezései az irányadóak.
Felek a jelen Adatfeldolgozási Szerződésből eredő vitáikat Felek a
Szerződésben meghatározott módon rendezik.