Adatfeldolgozási Függelék
Adatfeldolgozási Függelék
Xxxxx Xxxxxxxxxxxxxxxx Függelék („Függelék”) az Equinox Consulting Kft. megbízási és vállalkozási szerződéseinek („Főszerződés”) szerves részét képezi.
A jelen Függelékben használt kifejezések a jelen Függelékben meghatározott jelentést hordozzák. Az itt nem meghatározott nagybetűs kifejezések a Főszerződésben meghatározott jelentést hordozzák, amely Felek között jött létre. Az alábbi módosítások kivételével, a jelen Függelék a Főszerződésben meghatározott jelentések érvényességét nem érinti.
Az itt meghatározott kölcsönös kötelezettségek figyelembevételével a Felek megállapodnak,
hogy a Főszerződés az alábbi feltételekkel, mint Függelékkel egészül ki.
1. Definíciók
A jelen Függelék alkalmazásában, az alábbi fogalmak, kifejezések az alábbi jelentést hordozzák:
1.1. „Társaság”: Főszerződésben szereplő Megbízó vagy Megrendelő.
1.2. „Feldolgozó”: Equinox Consulting Kft.
1.3. „Alkalmazandó Jogszabályok”: a) az Európai Unió vagy a Tagállamok jogszabályai bármely olyan Társasági Személyes Adat tekintetében, amely vonatkozásában valamely Társasági Csoporttagra az EU Adatvédelmi Jogszabályai vonatkoznak; illetve
b) minden egyéb vonatkozó jogszabály bármely olyan Társasági Személyes Adat tekintetében, amely vonatkozásában a valamely Társasági Csoporttagra valamilyen egyéb Adatvédelmi Jogszabály vonatkozik;
1.4. „Felhatalmazott Alfeldolgozó(k)”: a Feldolgozó által vagy annak nevében kinevezett és a Társaság által kifejezetten jóváhagyott bármely személy vagy harmadik fél (különös tekintettel a Főszerződés teljesítésébe bevont közreműködők és/vagy alvállalkozók), azzal, hogy ezen jóváhagyásnak szigorúan meg kell felelnie a jelen Xxxxxxxxxxxxxxxx Függeléknek;
1.5. „Társaság Kapcsolt Vállalkozása”: olyan üzleti egység, amely a Társaság irányítása, illetve részleges vagy teljes ellenőrzése alatt tart;
1.6. „Társasági Csoport Tagja”: a Társaság vagy a Társaság Kapcsolt Vállalkozása;
1.7. „Társasági Személyes Adatok” vagy a „Társaság Személyes Adatai”: minden olyan Személyes Adat, amelyet a Társaság nevében a Főszerződés és a jelen Függelék alapján vagy azzal összefüggésben a Megbízott Feldolgozó feldolgoz;
1.8. „Adatvédelmi Jogszabályok”: az EU Adatvédelmi Jogszabályai, és - bizonyos
mértékben - bármely más ország adatvédelmi jogszabályai;
1.9. „EGT”: az Európai Gazdasági Térség;
1.10. „EU Adatvédelmi Jogszabályai”: az egyes tagállamok nemzeti jogszabályaiba átültetett, időről időre módosított, felváltott vagy hatályon kívül helyezett 95/46/EK
EU irányelv, ideértve a GDPR-t és a GDPR végrehajtására vagy kiegészítésére vonatkozó jogszabályokat;
1.11. „GDPR”: az EU Általános Adatvédelmi Rendelete 2016/679;
1.12. „Feldolgozó Kapcsolt Vállalkozása”: olyan üzleti egység, amelyet a Feldolgozó irányít, illetve részleges vagy teljes ellenőrzése alatt tart;
1.13. „Szolgáltatások”: a Főszerződés szerint a Társasági Csoporttagok részére a Feldolgozó vagy annak nevében eljáró személy által nyújtandó vagy biztosítandó szolgáltatások, illetve egyéb tevékenységek;
1.14. A „Bizottság”, „Társaság”, „Érintett”, „Tagállam”, „Személyes adat”, „Adatvédelmi Incidens”, „Feldolgozás”, „Adatvédelmi Tisztviselő” és „Felügyeleti Hatóság” kifejezések ugyanazt a jelentést hordozzák, mint a GDPR-ben.
2. A Társaság Személyes Adatainak feldolgozása
2.1. A Társaság továbbra is a Feldolgozott Személyes Adatok kizárólagos Kezelője marad, kizárólagosan ő határozza meg a Feldolgozó által Feldolgozandó Személyes Adatokat, az ilyen Feldolgozás célját és a Személyes Adatok Feldolgozó általi felhasználását. A jelen pont szerinti kezelői joggyakorlás kizárólagos felelőse a Társaság, Feldolgozó – a Társaság vagy a Személyes Adat Érintettjének ellenkező írásbeli tájékoztatásáig – nem köteles felülvizsgálni a Társaság joggyakorlásának jogszerűségét, azért mindennemű felelősségét kizárja.
2.2. A Feldolgozó csak a Társaság nevében és javára, a Társaság utasításainak megfelelően dolgozza fel a Személyes Adatokat, és nem rendelkezik ezzel kapcsolatban független jogokkal.
2.3. A Feldolgozó haladéktalanul tájékoztatja a Társaságot, ha véleménye szerint valamely utasítás sérti a GDPR-t vagy az Adatvédelmi Jogszabályokat.
2.4. A Feldolgozó nem dolgozhatja fel a Személyes Adatokat saját javára vagy céljára, vagy más egyéb célra, kivéve, ha a Társaság kifejezetten jóváhagyja, illetve, ha a Feldolgozást a Feldolgozóra vonatkozó Alkalmazandó Jogszabályok előírják, mely esetben a Feldolgozó köteles tájékoztatni az Alkalmazandó Jogszabályok által megengedett módon Társaságot ezen jogszabályi követelményről, még a Személyes Adatok Feldolgozása előtt.
2.5. Feldolgozó nem nevezett ki Adatvédelmi Tisztviselőt, a Személyes Adatok Feldolgozásával kapcsolatban további információkat a Főszerződésben megnevezett illetékes kapcsolattartó tud nyújtani.
2.6. Xxxxx Xxxxxxxx 1. melléklete speciális információkat tartalmaz Társasági Személyes Adatok Feldolgozók általi Feldolgozásáról. A Társaság időről időre ésszerű mértékben módosíthatja az 1. mellékletet a Feldolgozónak szóló írásbeli értesítéssel.
3. A Feldolgozó alkalmazottai
3.1. A Feldolgozónak ésszerű lépéseket kell tennie minden olyan alkalmazott megbízhatóságának biztosítására, aki hozzáférhet a Társaság Személyes Adataihoz, minden esetben biztosítva, hogy a hozzáférés szigorúan azokra az egyénekre korlátozódik, akiknek meg kell ismerniük / hozzá kell férniük a releváns Társasági Személyes Adatokhoz, szigorúan a Főszerződés céljainak megfelelően, valamint az
Alkalmazandó Jogszabályoknak való megfelelés érdekében, az adott személy Feldolgozóval szembeni kötelezettségeivel összefüggésben.
3.2. A Feldolgozó biztosítja, hogy a Főszerződés és a Függelék céljaiból a Személyes Adatok Feldolgozására jogosult személyek, ideértve a Feldolgozó alkalmazottait, illetve a Felhatalmazott Alfeldolgozó alkalmazottait, bizalmasan kezelik a Személyes Adatokat, vagy megfelelő jogszabályi titoktartási kötelezettség vonatkozik rájuk.
3.3. A Feldolgozó kötelezi magát arra, hogy alkalmazottai és alvállalkozói megfelelnek az Alkalmazandó Adatvédelmi Jogszabályoknak, és megfelelő képzést kapnak a Személyes Adatok feldolgozásával kapcsolatos kötelezettségeikről.
4. Alfeldolgozás
4.1. A Feldolgozó nem jelölhet ki Alfeldolgozót (illetve nem adhat át annak semmilyen Társasági Személyes Adatatot), csak a Társaság előzetes írásos hozzájárulásával, ugyanakkor ilyen előzetes írásbeli hozzájárulásnak minősül, ha a Társaság az Alfeldolgozót (mint a Főszerződés szerinti alvállalkozót vagy közreműködőt a Feldolgozó bejelentette a Társaság részére és a Társaság az alvállalkozói/közreműködői részvétel ellen a bejelentést követő 3 munkanapon belül nem emelt írásbeli kifogást a részvétellel szemben, vagy külön írásbeli tájékoztatást nem kér az Alfeldolgozó bevonásáról). A Feldolgozónak – az alvállalkozói/közreműködői bejelentésén kívül – kizárólag abban az esetben kell kérnie a Társaság külön hozzájárulását az Alfeldolgozó igénybevételéhez, amennyiben az Alfeldolgozó a Személyes Adat Feldolgozása körében eltér(het) a Feldolgozó általi felhasználás körétől (ebben az esetben a Társaság hozzájárulását kizárólag az alábbi információk megadásával adja meg: megjelölésre kerül az Alfeldolgozó igénybevételének oka, célja, a részére átadásra kerülő, illetve az általa az adatfeldolgozás során szükségszerűen megismert adatok köre, és az Alfeldolgozó igénybevételének időtartama).
4.2. A 4.1. pont szerinti felhatalmazás esetén a Feldolgozó köteles biztosítani, hogy az Alfeldolgozó a Főszerződésben és a jelen Függelékben foglalt követelmények betartásával használja fel a Társaság Személyes Adatait.
4.3. Amennyiben a Felhatalmazott Alfeldolgozó nem tesz eleget adatvédelmi kötelezettségeinek, a Feldolgozó továbbra is teljes mértékben felel a Társaságnak a Felhatalmazott Alfeldolgozó kötelezettségeinek teljesítéséért.
5. Biztonság
5.1. A Feldolgozó szavatolja, hogy megfelelő technikai és szervezeti intézkedéseket foganatosít a Társasági Személyes Adatok védelmére a veszteségek, illetve a jogellenes vagy a jogosulatlan feldolgozás bármely formája ellen. Ezen intézkedéseknek biztosítaniuk kell a GDPR 32. cikkében meghatározott megfelelő biztonsági szintet.
5.2. A megfelelő biztonság szint felmérése során a Feldolgozónak figyelembe kell vennie a Feldolgozással kapcsolatos kockázatokat, különös tekintettel a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítésére, elvesztésére, módosítására, jogosulatlan közzétételére vagy hozzáférésére.
5.3. A Feldolgozó által foganatosított intézkedéseknek, minimum követelményként, meg kell felelniük a jelen Függelék 2. mellékletében meghatározott biztonsági intézkedéseknek.
6. A Társaság Személyes Adatainak helye
6.1. A Feldolgozó nem továbbíthat, tárolhat és nem dolgozhat fel semmilyen Társasági Személyes Adatot az Európai Gazdasági Térség (EGT) területén kívül a Társaság kifejezett előzetes írásbeli hozzájárulása nélkül.
6.2. A Feldolgozó minden esetben biztosítja a Társaság számára az összes releváns információt, amely lehetővé teszi a Társaság számára, hogy az Adatátvitelek során megfeleljen kötelezettségeinek. A Feldolgozó meghozza a szükséges védelmi intézkedéseket annak érdekében, hogy megfelelő szintű védelmet nyújtson a Társaság azon Személyes Adatainak, amelyeket a GDPR 44. cikke alapján harmadik országoknak vagy nemzetközi szervezeteknek továbbítanak.
7. Érintetti jogok
7.1. Figyelembe véve a Feldolgozás jellegét, a Feldolgozó megfelelő technikai és szervezeti intézkedéseket foganatosít, amennyiben ez lehetséges, a Társasági Csoporttagok kötelezettségeinek teljesítésének segítése érdekében az Adatvédelmi Jogszabályok alapján történő Érintetti kérelmek megválaszolásával kapcsolatban.
7.2. A Feldolgozó köteles:
a) haladéktalanul, de legkésőbb a kézhezvételtől számított huszonnégy (24) órán belül jelenteni, amennyiben a Feldolgozó/Feldolgozó alkalmazottja/Alfeldolgozó panaszt vagy kérelmet kap valamely Érintettől valamilyen Adatvédelmi Jogszabály alapján a Társasági Személyes Adatokra vonatkozóan;
b) teljes körű együttműködést és segítséget nyújtani a Társasági Személyes Adatok feldolgozásával kapcsolatos bármely, Érintettől származó panasz vagy kérelem vonatkozásában;
c) gondoskodni arról, hogy sem a Feldolgozó, sem az Alfeldolgozó nem válaszol a kérelmekre a Társaság tájékoztatása előtt (kivéve a Társaság által adott dokumentált utasításokat, vagy a Feldolgozóra/Alfeldolgozóra vonatkozó Alkalmazandó Jogszabályok szerinti kötelező eseteket);
d) elektronikusan nyilvántartani azokat a panaszokat vagy kérelmeket, amelyek az Alkalmazandó Adatvédelmi Jogszabályok alapján jogaikat gyakorolni kívánó Érintettektől származnak. A jelen pontban meghatározott nyilvántartásoknak tartalmazniuk kell a panasz vagy a kérelem másolatait, a hozzáfért és adott esetben továbbított adatokkal kapcsolatos részleteket, a Feldolgozó által a panasz kezelésére tett intézkedéseket, illetve a panaszhoz vagy a kérelemhez kapcsolódó levelezést vagy telefonhívásokat.
8. Nyilvántartás
8.1. A 7.2.d) pont szerinti nyilvántartási kötelezettségek mellett a Feldolgozó vállalja, hogy elektronikus nyilvántartást vezet a Főszerződés és a jelen Függelék alapján feldolgozott Társasági Személyes Adatokról, valamint feldolgozási tevékenységeiről.
8.2. A nyilvántartásnak a GDPR (különös tekintettel annak 30. cikkére) szerinti információkat mindenképp tartalmaznia kell.
8.3. Feldolgozó biztosítja a Társaságnak, hogy bármikor ellenőrizze a Feldolgozó által vezetett nyilvántartásokat a 7.2 (d) és a 8. pont szerint.
9. Adatvédelmi incidens
9.1. A Feldolgozó szigorúan köteles értesíteni a Társaságot minden, a Társaság Személyes Adataira vonatkozó Adatvédelmi Incidensről minden indokolatlan késedelem nélkül, és legkésőbb huszonnégy (24) órával azután, hogy a Feldolgozó tudomást szerzett az incidensről.
9.2. A Feldolgozónak elegendő információt kell nyújtania a Társaságnak ahhoz, hogy a Társaság teljesíteni tudja a GDPR 33. cikke vagy bármely más Adatvédelmi Jogszabály szerinti értesítési kötelezettségét az illetékes felügyeleti hatóság felé, valamint adott esetben az Érintetteket is tájékoztathassa az Adatvédelmi Incidensről. A Feldolgozónak egy adatvédelmi incidens bejelentő dokumentumot kell a lehető legteljesebb mértékben kitöltenie, amelynek mindig tartalmaznia kell az alábbiakat:
a) a kapcsolattartó nevét és elérhetőségét, akitől további információ nyerhető;
b) az adatvédelmi incidens jellegét, beleértve az Érintettek kategóriáit és az érintett Társasági Személyes Adatok és adatállományok kategóriáit;
c) a Társaság által az adatvédelmi incidens esetleges nemkívánatos hatásainak enyhítésére hozott intézkedések leírását;
d) az adatvédelmi incidens következményeit;
e) a Feldolgozó által javasolt vagy a Társasággal együttműködve meghozott intézkedéseket az adatvédelmi incidens kezelésére.
9.3. Amennyiben a Feldolgozónak nincs lehetősége az adatvédelmi incidenssel kapcsolatos összes információ egyidejű közlésére, a Feldolgozó rendelkezésre bocsátja ezeket az információkat, amint azok elérhetővé válnak.
9.4. A Feldolgozó együttműködik a Társasággal és minden Társasági Csoporttaggal, valamint megteszi a Társaság utasításai szerinti ésszerű lépéseket az Adatvédelmi Incidensek kivizsgálásának, mérséklésének és orvoslásának segítésére.
10. Adatvédelmi hatásvizsgálatok
10.1. A Feldolgozó ésszerű mértékű együttműködést és segítséget nyújt a Társaság GDPR szerinti kötelezettségeinek teljesítéséhez, vagyis, hogy felmérje a Feldolgozó által tervezett feldolgozási műveletek hatását a Társasági Személyes Adatok védelmére, figyelembe véve a Feldolgozás jellegét, hatókörét, kontextusát és céljait a GDPR 35. cikke alapján. A Feldolgozónak ésszerű mértékű segítséget nyújt a Társaságnak a Felügyeleti Hatósággal folytatott együttműködése vagy előzetes konzultációja során a jelen Adatfeldolgozási Függelék 10.1 pontjában meghatározott feladataival kapcsolatosan.
10.2. A Feldolgozó észszerű mértékű együttműködést és segítséget nyújt a kockázatok kezelése érdekében meghatározott intézkedések végrehajtásában, beleértve a védelmi intézkedéseket, biztonsági intézkedéseket és mechanizmusokat a Társasági Személyes Adatok védelmének, valamint a GDPR-nak való megfelelés biztosítására, figyelembe véve az Érintettek és az egyéb illetékes személyek jogait és jogos érdekeit.
11. Ellenőrzési jogok
11.1. A Feldolgozó a Társaság kérésére rendelkezésre bocsát minden olyan információt, amely a jelen Függeléknek való megfelelés igazolásához szükséges, és lehetővé teszi vagy segíti az ellenőrzéseket, beleértve a vizsgálatokat, bármely Társasági Csoporttag vagy bármely Társasági Csoporttag által megbízott ellenőr számára, a Társaság Személyes Adatainak a Feldolgozó és a Felhatalmazott Alfeldolgozó(k) Feldolgozásával kapcsolatban.
12. A Szerződés megszüntetése
12.1. Felek megállapodnak, hogy a Főszerződés megszűnésekor vagy lejáratakor, illetve az adatfeldolgozási szolgáltatások befejeztével a Megbízott Feldolgozók haladéktalanul megszüntetik a Társaság Személyes Adatainak Feldolgozását, és visszajuttatják a Társaság összes Személyes Adatát és azok másolatait a Társaságnak legkésőbb 1 hónappal az adatfeldolgozási szolgáltatások megszüntetését vagy megszűnését követően.
12.2. Társaság írásbeli kérésére Feldolgozó/Alfeldolgozó a Társaság Személyes Adatait visszajuttatja, ennek hiányában megsemmisíti azokat, kivéve ha az adatátvevőkre vonatkozó jogszabályok nem engedélyezik, hogy részben vagy egészben visszajuttassák vagy megsemmisítsék a személyes adatokat. Ebben az esetben a Feldolgozó/Alfeldolgozó szavatol azért, hogy garantálja az átadott Személyes Adatok bizalmasságát, és nem fogja tovább aktívan feldolgozni a Személyes Adatokat.
Jelen Függelék a fent meghatározott Főszerződés kötelező érvényű része.
1. melléklet:
Részletek a Társaság Személyes Adatainak feldolgozásáról
Jelen 1. melléklet bizonyos részleteket tartalmaz a Társaság Személyes Adatainak Feldolgozásáról a GDPR 28. §-ának (3) bekezdésében előírtak szerint.
A Társaság Személyes Adataival kapcsolatos feldolgozás tárgya és időtartama
A Társaság Személyes Adataival kapcsolatos Feldolgozás tárgyát és időtartamát a Főszerződés és a jelen Függelék határozza meg.
A Társaság Személyes Adataival kapcsolatos feldolgozás jellege és célja
Az adatfeldolgozás jellege:
▪ ajánlatadás és szerződéskötés esetében személyes adatok összegyűjtése;
▪ projekt-előkészítési tevékenység esetében személyes adatok összegyűjtése, szakmai
dokumentumokban szerepeltetése;
▪ pályázati tanácsadás esetében személyes adatok összegyűjtése, pályázati dokumentációban, elektronikus pályázati rendszerekben szerepeltetése;
▪ projektmenedzsment szolgáltatás esetében személyes adatok összegyűjtése, szakmai és pályázati dokumentumokban, elektronikus pályázati rendszerekben szerepeltetése;
▪ stratégiai tanácsadási szolgáltatás esetében személyes adatok összegyűjtése, szakmai dokumentumokban szerepeltetése;
▪ szervezetfejlesztési szolgáltatás esetében személyes adatok összegyűjtése, szakmai dokumentumokban szerepeltetése.
Az adatfeldolgozás célja:
▪ ajánlatadás és szerződéskötés esetében az ajánlat adásához szükséges vagy a szerződésben meghatározott követelmények teljesítéséhez kapcsolódó személyes adatok nyilvántartása;
▪ projekt-előkészítési tevékenység esetében a projekt szerződéses követelményrendszerének megfelelő szakmai dokumentumok összegyűjtése, elkészítése;
▪ pályázati tanácsadás esetében a projekt szerződéses követelményrendszerének és a pályázati intézményrendszer előírásainak megfelelő dokumentumok összegyűjtése, elkészítése, valamint az elektronikus pályázati rendszerekben szerepeltetése;
▪ projektmenedzsment szolgáltatás esetében a projekt szerződéses követelményrendszerének és a pályázati intézményrendszer előírásainak megfelelő
dokumentumok összegyűjtése, elkészítése, valamint az elektronikus pályázati rendszerekben szerepeltetése;
▪ stratégiai tanácsadási szolgáltatás esetében a projekt szerződéses követelményrendszerének megfelelő szakmai dokumentumok összegyűjtése, elkészítése;
▪ szervezetfejlesztési szolgáltatás esetében a projekt szerződéses követelményrendszerének megfelelő szakmai dokumentumok összegyűjtése, elkészítése.
A feldolgozandó Társasági Személyes Adatok típusai az alábbiak lehetnek:
A Feldolgozással kapcsolatban álló Érintettek kategóriái | A Személyes Adatok kategóriái | A Feldolgozó alkalmazotti csoportjai, amelyek hozzáférnek a Társaság Személyes Adataihoz | Ezen alkalmazottak által a Személyes Adatokkal kapcsolatosan lefolytatott tevékenységek |
▪ Társaság munkatársai ▪ Társaság alvállalkozói ▪ Feldolgozó munkatársai ▪ Feldolgozó alvállalkozói ▪ Közreműködő Szervezetek, Irányító Hatóságok | ▪ Személyi azonosítók (név, cím, telefonszám, e-mail cím) ▪ Hivatalok által kibocsátott igazolványok (személyi igazolvány száma, adóazonosító jel) ▪ Pénzügyi adatok (bankszámlaszám) ▪ Végzettség, képzettség (iskolai végzettség, képzések, tréningek, publikációk, díjak, kitüntetések, civil/szakmai szervezetek, önkéntes klubok) ▪ Foglalkoztatás, munkaviszony (munkakör, fokozat, gyakorlat, fizetés) | ▪ Feldolgozó munkatársai ▪ Feldolgozó alvállalkozói (Főszerződésben jelölve) | ▪ Adatrögzítés ▪ Megőrzés ▪ Törlés ▪ Módosítás |
2. melléklet:
Technikai és szervezeti intézkedések
1. A Társaság Személyes Adatainak feldolgozása olyan adatfeldolgozó rendszerekben történik, amelyekben a személyes adatok védelmére vonatkozó technikai és szervezeti intézkedéseket valósítottak meg. Ebben az összefüggésben a Feldolgozó biztosítja a Társaság számára, hogy megtesz minden olyan intézkedést, amely a Társaság Személyes Adatainak a Feldolgozó adatfeldolgozó rendszereiben történő feldolgozásához szükséges, az alábbi táblázatban feltüntetett intézkedéseknek megfelelően:
Biztonsági intézkedés leírása | A Feldolgozó általi megvalósítás leírása |
Eszköz hozzáférési ellenőrzés: a jogosulatlan személyek hozzáférésének megtagadása a személyes adatok feldolgozásához használt adatfeldolgozó eszközökhöz | Személyes adatok tárolása központi helyen (szerveren) történik. Minden notebookon, munkaállomáson, szerveren Eset NOD32 Vírusirtó szoftvert és beépített tűzfalat használunk, megelőzési és helyreállítási szabályozásként rendszeres időközönként adatmentést végzünk szerver oldalon, így ezen mentésből visszaállíthatók az adatok. Információbiztonsági szabályzatban (továbbiakban: IBSZ) meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. Laptop: felhasználói névvel és jelszóval hitelesítés, BitLocker használat. Telefon: screen lock (draw pattern, PIN vagy password), továbbá az ún. „Adatok törlése” funkció bekapcsolása, távolról történő adatmegsemmisítés lehetősége. Szerver naplózási funkciója biztosítja, hogy ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az automatizált adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket. |
Adathordozó ellenőrzés: megakadályozza az adathordozó jogosulatlan személyek általi olvasását, másolását, módosítását vagy törlését | Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. Laptop: felhasználói névvel és jelszóval hitelesítés, BitLocker használat. Telefon: screen lock (draw pattern, PIN vagy password), továbbá az ún. „Adatok törlése” funkció bekapcsolása, távolról történő adatmegsemmisítés lehetősége. Szerver naplózási funkciója biztosítja, hogy ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az automatizált adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket. |
Biztonsági intézkedés leírása | A Feldolgozó általi megvalósítás leírása |
Tárolás ellenőrzés: megakadályozza a személyes adatok jogosulatlan személyek általi bevitelét és a tárolt személyes adatok jogosulatlan személyek általi megtekintését, módosítását vagy törlését | Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. Laptop: felhasználói névvel és jelszóval hitelesítés, BitLocker használat. Telefon: screen lock (draw pattern, PIN vagy password), továbbá az ún. „Adatok törlése” funkció bekapcsolása, távolról történő adatmegsemmisítés lehetősége. Szerver naplózási funkciója biztosítja, hogy ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az automatizált adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket. |
Felhasználó ellenőrzés: megakadályozzák az adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli eszközökkel történő használatát | Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. |
Adathozzáférési ellenőrzés: biztosítja, hogy az adatfeldolgozó rendszer használatára jogosult személyek csak a hozzáférési engedélyükhöz tartozó személyes adatokhoz férjenek hozzá | Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. |
Kommunikáció ellenőrzés: biztosítja annak ellenőrzését és megállapítását, hogy az érintettek személyes adatait milyen módon továbbították vagy továbbítják, illetve bocsáthatják rendelkezésre az adatátviteli eszközök használatával | Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. Szerver naplózási funkciója biztosítja, hogy ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az automatizált adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket. |
Beviteli ellenőrzés: biztosítja, hogy később ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket | ISO 9001 minőségirányítási rendszer által szabályozott folyamatok. Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. Szerver naplózási funkciója biztosítja, hogy ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az automatizált adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket. Az adatvédelmi nyilvántartás tartalmazza Feldolgozó folyamatait, tevékenységeit, a tevékenységeknél felmerülő adatok típusát, a kapcsolódó dokumentumok típusát, formátumát. |
Biztonsági intézkedés leírása | A Feldolgozó általi megvalósítás leírása |
Átviteli ellenőrzés: megakadályozza a személyes adatok jogosulatlan személyek általi olvasását, másolását, módosítását vagy törlését az adatok továbbítása vagy az adathordozók szállítása során | Személyes adatok tárolása központi helyen (szerveren) történik. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. Szerver naplózási funkciója biztosítja, hogy ellenőrizhető és megállapítható legyen, mely személyes adatok kerültek az automatizált adatfeldolgozó rendszerekbe, illetve ki és mikor vitte be őket. |
Helyreállítás: biztosítja, hogy a telepített rendszerek megszakítás esetén helyreállíthatók legyenek | Személyes adatok tárolása központi helyen (szerveren) történik. Megelőzési és helyreállítási szabályozásként rendszeres időközönként adatmentést végzünk szerver oldalon, így ezen mentésből visszaállíthatók az adatok. |
Integritás: biztosítja, hogy a rendszer funkciói működjenek, a funkciókkal kapcsolatos hibákat jelentsék (megbízhatóság), és hogy a tárolt személyes adatok ne sérüljenek a rendszer hibás működésekor | Személyes adatok tárolása központi helyen (szerveren) történik. Minden notebookon, munkaállomáson, szerveren Eset NOD32 Vírusirtó szoftvert és beépített tűzfalat használunk, megelőzési és helyreállítási szabályozásként rendszeres időközönként adatmentést végzünk szerver oldalon, így ezen mentésből visszaállíthatók az adatok. IBSZ-ben meghatározott módon, munkakörönként kerülnek meghatározásra és rögzítésre a hozzáférési jogosultságok. |
2. A Feldolgozó nem jelölhet ki mást a személyes adatok feldolgozására, kivéve, ha az adott személy:
a) kompetens és képzett a számára kijelölt feladatok elvégzésére;
b) a Feldolgozó felhatalmazta; illetve
c) a Feldolgozó teljes körű tájékoztatással látta el a Feldolgozó jelen Adatfeldolgozási Függelék szerinti kötelezettségeinek teljesítése szempontjából releváns eljárásokat és jogszabályokat illetően.
3. Tilos a Társaság által a Feldolgozónak továbbított Társasági Személyes Adatokról másolatot készíteni, azzal, hogy a Feldolgozó a neki, egy kapcsolódó szerződésben átadott személyes adatok másolatát megőrizheti a szerverein biztonsági mentési és archiválási célokra mindaddig, amíg a jelen Adatfeldolgozási Függelékben meghatározottak szerinti szolgáltatásait teljesíti.