ADATFELDOLGOZÓI MEGÁLLAPODÁS
ADATFELDOLGOZÓI MEGÁLLAPODÁS
A Szolgáltató általános szerződési feltételeinek (a továbbiakban: “ÁSZF” vagy “Szerződés”) 13.5. pontjában írtakra tekintettel a Felhasználó és a Szolgáltató a Szolgáltatás vonatkozásában közöttük létrejött jogviszony alapján fennálló kapcsolatra tekintettel a GDPR 29. cikkében foglaltakkal összhangban a Szolgáltató által végzett adatfeldolgozás tekintetében az alábbiakban állapodnak meg.
1. A felek rögzítik, tekintettel arra, hogy a Szolgáltatás végzése körében a Szolgáltató a Felhasználó adatfeldolgozó partnere, így harmadik személyek, mint érintettek személyes adatait is megismerheti, ezért szükséges a felek között adatfeldolgozói megállapodás megkötése, amely kötelezettségüknek a felek, az ÁSZF mellékletét képező, jelen dokumentum szerint tesznek eleget.
2. A felek nyilatkoznak, hogy jelen adatfeldolgozói megállapodásban foglalt rendelkezéseket megismerték, a benne foglalt rendelkezéseket magukra nézve kötelezőnek ismerik el.
3. Ennek megfelelően a felek megállapodnak, hogy amennyiben a Szolgáltató a Szolgáltatás nyújtása körében a Felhasználó által kezelt adatokkal kapcsolatosan adatfeldolgozást végez, úgy az alábbi kötelezettségvállalást teszi:
• adatfeldolgozását a GDPR és egyéb nemzeti, Európai Uniós vagy nemzetközi adatvédelmi jogszabályoknak megfelelően végzi;
• biztosítja, hogy a személyes adatok feldolgozására jogosult valamennyi személy titoktartási kötelezettséget vállaljon;
• minden szükséges szervezeti és technikai intézkedést megtesz az adatok biztonsága érdekében;
• rendelkezésére bocsát minden olyan információt, amely az adatvédelmi jogszabályoknak való megfelelés bizonyításához szükséges, lehetővé teszi és ésszerűen hozzájárul a Felhasználó által végzett vagy megbízotti auditokhoz, beleértve az ellenőrzéseket is;
• a Felhasználó adatbázisának a birtokában lévő összes másolatát véglegesen törli, vagy a Felhasználó választása szerint a jelen megállapodás megszűnésekor az adatvédelmi tájékoztatójában meghatározott határidők betartásával visszaszolgáltatja ezeket az adatokat
4. A felek megállapodnak, hogy a Szolgáltató kizárólag a Szolgáltatás nyújtásával összefüggésben és a Felhasználó írásbeli utasításainak megfelelően kezeli a számára elérhető személyes adatokat. A Felhasználó az utasítást dokumentált elektronikus formában teheti meg, mellyel kapcsolatosan a felek megállapodnak, hogy az e-mailen történő kommunikáció ezt a követelményt kielégíti. A Szolgáltató a Felhasználó szakszerűtlen vagy jogszabálysértő utasítása esetén erre, illetve a lehetséges következményekre felhívja a Felhasználó figyelmét.
5. A feldolgozással esetlegesen érintett adatok körét a Szolgáltató adatkezelési tájékoztatója tartalmazza.
6. A Szolgáltató bármilyen utasítást a xxx@xxxxxxxxx.xx címen fogad. Bármilyen utasítás adására csak a Felhasználó törvényes képviselője, vagy olyan személy jogosult, akiről a Szolgáltató okkal feltételezheti, hogy utasítás adásra jogosult. Amennyiben a Szolgáltatónak kétsége támad arra, vonatkozóan, hogy a Felhasználó részéről utasítást adó személy kellő felhatalmazással rendelkezik, az erről való meggyőződésig a Szolgáltató jogosult az utasítás teljesítését felfüggeszteni.
7. A 3-5. pontok szerinti kötelezettségek teljesíthetősége érdekében a Felhasználó köteles biztosítani, hogy a Szolgáltató számára rendelkezésre álló elérhetőségei mindig naprakészek
legyenek, hogy a Szolgáltató a jelen megállapodás szerint lényeges körülményekről időben értesíteni tudja.
8. A Felek rögzítik, hogy a Szolgáltatás nyújtásával kapcsolatosan minden esetben a Felhasználó minősül a feldolgozással érintett személyes adatok adatkezelőjének, melynek kizárólagos tulajdonosai és jogosultjai a Felhasználó ügyfelei, partnerei, alvállalkozói vagy munkavállalói. A Szolgáltató adatkezelésével érintett adatok körét jelen megállapodás 1. számú melléklete tartalmazza.
9. A Felek rögzítik, amennyiben harmadik személy terjeszt elő követelést a Szolgáltatóval szemben a személyes adatai kezelésével összefüggésben, amennyiben bizonyítható módon nem a Szolgáltatónak felróható okból ered a harmadik személy követelése, akkor a Felhasználó köteles mindent megtenni annak érdekében, hogy mentesítse a Szolgáltatót minden kár, költség alól, amely az igényérvényesítéssel kapcsolatban felmerülhet. Ez esetben a Szolgáltató köteles a Felhasználóval, mint adatkezelővel együttműködni.
10. A felek rögzítik, hogy minden esetben a Felhasználó felelős az adatkezelés jogszerűségével kapcsolatos bármely kérdés tárgyában. Erre tekintettel a Szolgáltató köteles minden harmadik személytől érkező az adatkezeléssel kapcsolatos megkeresést haladéktalanul továbbítani a Felhasználó részére. Ennek elmaradásából eredő károk viselésére a Szolgáltató köteles.
11. A felek megállapodnak, hogy a Szolgáltató a Felhasználó által hozzáférhetővé tett személyes adatokat kizárólag az ÁSZF-fel összefüggésben dolgozhatja fel, így azokat nem használhatja fel egyéb, így különösen saját céljaira. Ez nem vonatkozik arra az esetre, ha a Szolgáltató az uniós jog vagy bármely olyan tagállami jog alapján köteles egyéb adatfeldolgozást végezni, amelynek a Szolgáltató alá van vetve (pl. állami hatóságok vagy bűnüldöző szervek által végzett vizsgálatok). Adatfeldolgozása során minden esetben be kell tartania a hatályos magyar, valamint Európai Uniós jogszabályokat.
12. Ha a feldolgozással olyan személyes adatok érintettek, amelyek faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra, genetikai adatokra vagy egy természetes személy egyedi azonosítása céljából biometrikus adatokra, egészségi állapotra, szexuális életre vagy szexuális irányultságra vonatkoznak, vagy büntetőítéletekre és bűncselekményekre vonatkozó adatokat tartalmaznak (a továbbiakban: "Érzékeny Adatok"), a Szolgáltatónak különleges korlátozásokat és/vagy további biztosítékokat kell alkalmaznia
13. A Felhasználó felel az ügyfél és egyéb érintettek adatai gyűjtésének minőségéért és jogszerűségéért. A Felhasználó köteles haladéktalanul és teljeskörűen értesíteni az Szolgáltatót, ha a szerződéses jogviszony tartama során az adatvédelmi előírásokkal vagy az utasításaival kapcsolatos hibákat vagy szabálytalanságokat tapasztal.
14. A Szolgáltató hatóságoknak vagy harmadik félnek egyrészről az ÁSZF teljesítése érdekében szolgáltat adatot, egyéb esetben azonban csak akkor szolgáltathat információt az általa kezelt személyes adatokról, amennyiben erről előzetesen informálta a Felhasználót, aki ezt követően átadja részére az adatkezelő hozzájárulását az adatok közlése tárgyában. Amennyiben a Felhasználó keresi meg a Szolgáltatót annak érdekében, hogy a Felhasználót terhelő adatszolgáltatási kötelezettséget teljesíteni tudja, abban az esetben a Szolgáltató köteles haladéktalanul a kért információkat a Felhasználó részére átadni, valamint szükség esetén köteles hozzáférést, bejárást biztosítani azon rendszerekhez, illetve azon helyiségbe, ahol az adatfeldolgozás megvalósul.
15. A fentiekre tekintettel a Szolgáltató kötelezettséget vállal, hogy biztosítja az adatkezelés tárgyául szolgáló személyes adatok tulajdonosainak valamennyi adatkezeléshez kapcsolódó jogát, teljesíti a rá irányadó GDPR rendelkezéseket, végezetül nyilvántartást vezet az adatfeldolgozói tevékenységéről.
16. Amennyiben a Felhasználó arról tájékoztatja a Szolgáltatót, hogy köteles az általa kezelt adatokat törölni, korlátozni, vagy hozzáférhetetlenné tenni, haladéktalanul köteles a kérést teljesíteni kivéve abban az esetben, amikor igazolja, hogy az az ő jogos érdekével ellentétes cselekedet lenne, így különösen, ha törlés megtagadásának indoka a jogszabályi előírásoknak történő megfelelőség biztosítása vagy az adatok feldolgozása Szerződés megfelelő teljesítéséhez szükséges.
17. A Szolgáltató kötelezettséget vállal arra, hogy az adatfeldolgozással kapcsolatos titoktartási szabályokat betartja, amely kötelezettség a Szerződés megszűnését követően is terheli.
18. A Szolgáltató szavatolja, hogy az adatfeldolgozásban résztvevő munkavállalóival, alvállalkozóival az adatfeldolgozás megkezdését megelőzően az adatvédelemre vonatkozó rendelkezéseket megismerteti, továbbá vállalja, hogy a munkavállalói, illetve alvállalkozói, al- adatfeldolgozói is betartják a rájuk vonatkozó titoktartási rendelkezéseket.
19. A Szolgáltató további adatfeldolgozót kizárólag a Felhasználó előzetes írásbeli hozzájárulása alapján vehet igénybe, mely alól kivételt képeznek a jelen megállapodás 2. számú mellékletében meghatározott további adatfeldolgozók és a Szolgáltató adatkezelési tájékoztatójában megjelölt egyéb alvállalkozók, akiknek tevékenysége szorosan kapcsolódik a Szolgáltatás nyújtásához. Az előbbiek, illetve a Felhasználó által külön engedélyezett adatfeldolgozók tekintetében a Szolgáltatónak biztosítania kell a jelen megállapodásban foglaltak betartását.
20. A Szolgáltató az al-adatfeldolgozókkal köteles írásbeli szerződést kötni. Ez a formai követelmény akkor is teljesül, ha az elektronikus formában történik.
21. A Szolgáltató köteles biztosítani, hogy az al-adatfeldolgozó(kat) az al-adatfeldolgozói szerződésben a jelen megállapodásban foglalt vagy annál szigorúbb adatfeldolgozási eljárásokat kövessenek. A Szolgáltató biztosítja továbbá, hogy a Szolgáltató és az al-adatfeldolgozó, valamint a többi al-adatfeldolgozó közötti felelősségek egyértelműen elhatárolásra kerüljenek. A Szolgáltató biztosítja, hogy a Felhasználó az al-adatfeldolgozókkal kapcsolatosan megfelelő értékelést és ellenőrzést végezhessen, vagy az általa megbízott harmadik féllel elvégeztesse, kivéve, ha a GDPR-nak való megfelelés igazolása tanúsítással vagy jóváhagyással biztosítható.
22. A Szolgáltató kellő időben értesíti a Felhasználót az új al-adatfeldolgozó alkalmazására vonatkozó igényéről vagy a korábbiak lecserélésére vonatkozó tervezett változásokról. A Felhasználónak lehetősége van arra, hogy 14 napon belül alapos okból kifogást emeljen e változások ellen. A kifogást írásban és indokolással kell benyújtani. Amennyiben a 14 napos határidőn belül nem kerül jóváhagyásra vagy kifogásolásra, az érintett al-adatfeldolgozó, az igénybevételét jóváhagyottnak kell tekinteni. Ha a Felhasználó jogszerűen tiltakozik, és a Szolgáltató nem tud eleget tenni a tiltakozásban foglaltaknak, a Szolgáltató erről haladéktalanul értesíti a Felhasználót.
23. Ha a Szolgáltató harmadik országban (azaz az EGT-n kívül) végez adatfeldolgozást, ahhoz a Felhasználó előzetes írásbeli vagy elektronikusan dokumentált hozzájárulása szükséges, és csak a GDPR-ban rögzített speciális követelményeinek teljesülése esetén kerülhet rá sor. Ha a Bizottság úgy dönt, hogy egy harmadik ország megfelelő szintű adatvédelmet biztosít, az adatok továbbításához nincs szükség további engedélyre. A Szolgáltató tájékoztatja a Felhasználót, hogy
az adatok az EU-n kívül, harmadik országban is kezelhetők amennyiben a Szolgáltató és az adatok címzettje között a Bizottság (EU) 2021/914 számú az 2016/679 (EU) számú európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről szóló végrehajtási rendeletének (a továbbiakban:
„SCC”) megfelelő megállapodást köt, mely esetben a GDPR 45. cikke értelmében nem szükséges a Felhasználó írásbeli hozzájárulása.
24. Az EGT-n belüli adattovábbításra a GDPR és jelen megállapodás rendelkezései irányadóak.
25. A Szolgáltató minden szükséges műszaki és szervezeti intézkedést megtesz az előírt feldolgozási szintek fenntartása érdekében a Szerződés teljes időtartama alatt annak érdekében, hogy az érintett személyek védelmi szintje és jogai a megfelelő mértékben biztosítottak legyenek. A Szerződés időtartama alatt a kockázatok lehető legkisebb mértékre történő szorítása érdekében figyelembe köteles venni a védelem céljait, így a rendszerek és szolgáltatások titkosságát, integritását és rendelkezésére állását, valamint kötelezettséget vállal, hogy megfelelő technikai és szervezési intézkedésekkel, a lehetséges mértékben segíti a Felhasználót abban, hogy teljesíteni tudja az érintett jogainak gyakorlásához kapcsolódó kérelmeket, segíti továbbá a Felhasználót, hogy a GDPR előírásait be tudja tartani. A Szolgáltató által megtett pontos technikai és biztonsági intézkedéseket, a jelen megállapodás 3. számú melléklete tartalmazza.
26. A Szolgáltató kötelezettséget vállal arra, hogy évente felülvizsgálja rendszereit annak érdekében, hogy az általa alkalmazott technikai és szervezeti megoldások az adatfeldolgozás biztonságát fenntartsák.
27. A Szolgáltató 72 órán belül köteles értesíteni a Felhasználót amennyiben adatvédelmi incidenst észlel, továbbá az adatvédelmi incidens bejelentésével összefüggő, a Felhasználót terhelő jogszabályi kötelezettség teljesítése érdekében köteles teljes mértékben együttműködni a Felhasználóval, részére a szükséges információkat rendelkezésre bocsátani.
28. A Szolgáltató által a fenti 27. pont szerinti értesítésének tartalmaznia kell:
a) az incidens jellegének leírása (beleértve, ha lehetséges, az érintettek és adatok kategóriáit és hozzávetőleges számát);
b) annak a kapcsolattartási pontnak az adatait, ahol az incidenssel kapcsolatos további információk beszerezhetők;
c) annak valószínűsíthető következményeit és az incidens kezelése érdekében hozott vagy tervezett intézkedések, beleértve az esetleges káros hatások enyhítését.
Amennyiben nem lehetséges az összes ilyen információt egyszerre megadni, az első értesítésnek az akkor rendelkezésre álló információkat kell tartalmaznia, és a további információkat - amint azok rendelkezésre állnak - a későbbiekben indokolatlan késedelem nélkül kell megadni.
29. A Szolgáltató köteles továbbá ésszerű lépéseket tenni az adatvédelmi incidens megfékezésére, kivizsgálására és hatásainak enyhítésére. A Felhasználónak az incidensről való értesítése vagy az arra adott válasz a jelen szakasznak megfelelően nem értelmezhető úgy, hogy a Szolgáltató elismeri az adatvédelmi incidenshez kapcsolódó hibát vagy felelősséget.
30. Az adatvédelmi incidens hatóságnak történő bejelentése a Felhasználó kötelezettsége, kivéve amennyiben a Felhasználó akként utasítja a Szolgáltatót, hogy a bejelentést a nevében tegye meg.
31. A Felhasználó jogosult az adatkezelést megelőzően, valamint az adatkezelés fennállta alatt folyamatosan megbizonyosodni arról, hogy a Szolgáltató adatkezelési, illetve adatfeldolgozási
tevékenysége, különös tekintettel a technikai és szervezeti intézkedések összhangba vannak-e a jelen megállapodásban a Szolgáltatót terhelő kötelezettségekkel, jogszabályi előírásokkal, amely keretében a Szolgáltató köteles a Felhasználó részére valamennyi kért információt megadni.
32. A felek megállapodnak, hogy a Szolgáltató a Szerződés megszűnésétől kezdődően nem jogosult a Felhasználó rendszereiből való adatok igénylésére, a részére a Szerződés teljesítésével összefüggésben hozzáférhetővé tett adatok feldolgozására, azok tárolására, tehát a Szerződés megszűnését követően köteles a feldolgozott adatokat vagy a Felhasználó részére annak utasítása alapján visszaszolgáltatni, vagy azokat helyreállíthatatlanul törölni. Ez utóbbi alól kivételt képeznek azon adatok, melyek további kezelése a Szolgáltatóra irányadó jogszabályi kötelezettség teljesítése érdekében szükséges vagy amelyet a Szolgáltató a saját jogos érdeke alapján kezel.
33. Jelen megállapodás a felek közötti szerződéses jogviszony létrejöttével egyidejűleg lép hatályba.
34. Jelen megállapodásnak a Szerződéstől független megszűntetése kizárt.
35. A Szerződés szerinti jogviszony megszűnésével jelen megállapodás is automatikusan, minden további jognyilatkozat nélkül megszűnik.
36. Felek rögzítik, hogy a jelen megállapodás a felek közötti egyetlen megállapodás a Szolgáltatásokkal kapcsolatos adatfeldolgozás tárgyában és hatályon kívül helyez minden korábban megkötött adatfeldolgozói megállapodást és annak helyébe lép.
37. A jelen megállapodás módosításának, kiegészítésének és megszüntetésének írásban vagy dokumentált elektronikus formában kell történnie. Ez vonatkozik az írásbeliség követelményének módosítására vagy megszüntetésére is.
38. Jelen megállapodásban nem szabályozott kérdésekben a GDPR és egyéb vonatkozó Európai Uniós vagy magyar adatvédelmi jogszabályok rendelkezései az irányadóak. A jelen megállapodásból eredő minden vitás kérdés vonatkozásában a felek kikötik Magyarország joghatóságát és a Szolgáltató székhelye szerinti hatáskörrel rendelkező bíróságok kizárólagos illetékességét.
39. Ha a jelen megállapodás egyes rendelkezései érvénytelenek vagy hatályukat vesztik, vagy hiányosságot tartalmaznak, a fennmaradó rendelkezéseket ez nem érinti. A felek vállalják, hogy az érvénytelen rendelkezést olyan jogilag megengedett rendelkezéssel helyettesítik, amely az érvénytelen rendelkezés céljához a legközelebb áll, és a legjobban megfelel a követelményeknek.
1. számú melléklet Feldolgozással érintett adatok
Felhasználói-adatbázisok: Amennyiben a Felhasználó a Szolgáltatást használja és létrehozza saját adatbázisát, akkor minden olyan információ vagy tartalom, amelyet az adatbázisában rögzít vagy feltölt a Szolgáltató adatfeldolgozásával érintett adattá válik.
Ezek az adatok gyakran személyes adatokat tartalmaznak, például: a Felhasználó alkalmazottainak listáját, kapcsolatait és ügyfeleit, üzeneteit, képeit, videóit stb. Ezeket az adatokat a Szolgáltató a Felhasználó nevében gyűjti, azonban annak tulajdonosa és azok felett a rendelkezésre jogosult minden esetben a Felhasználó.
2. számú melléklet További adatfeldolgozók
1) Digitalocean
Cégnév: Digitalocean LLC
Székhely: 000 0xx Xxxxxx, Xxx Xxxx, XX 00000, Amerikai Egyesült Államok
Nyilvántartási szám: 5182649 Képviseli: Xxxxxx X. Spruill igazgató E-mail: xxxxxxx@xxxxxxxxxxxx.xxx Telefonszám: x0 000 000 0000
(a továbbiakban: “Digitalocean”)
A Szolgáltatás a Digitalocean által biztosított szervereken fut, a Digitalocean Frankfurtban, Németországban és Amszterdamban, Hollandiában, azaz az Európai Unión belül található adatközpontjában.
Habár a Szolgáltató a Digitalocean Európai Unión belüli, Frankfurtban és Amszterdamban található szervereit használja, azonban a Digitalocean az Európai Unión kívüli, az Amerikai Egyesült Államokban található szolgáltató, így előfordulhat, hogy bizonyos adatok az Európai Unión kívülre kerülnek továbbításra. Ennek ellenére adatai mégis biztonságban vannak és azok a GDPR rendelkezései által biztosított védelmet élvezik, mivel a Digitalocean Európai Unión kívüli adatkezelése az SCC szabályaival összhangban történik, melyről bővebb információ a xxxxx://xxx-xxxxxx.xxx.xxxxxxx.xx/xxx- static/4578633e-ba6b-4c45-845c-1e69848c6e3b_DigitalOcean+SCC+Template.pdf linken érhető el.
A Digitalocean több szinten gondoskodik az adatok védelméről, így fizikailag védve az adatokat tároló szervereket, infrastrukturális szinten szünetmentes tápokat és egyéb korszerű eszközöket alkalmazva, az adatok szintjén a hozzáférés korlátozásával, a rendszer folyamatos monitorozásával, titkosítással, végezetül környezeti szinten az adatközpontok helyszínének kiválasztásával, mivel adatközpontjait olyan helyeken hozza létre, ahol az nincs kitéve a természet viszontagságainak, például szeizmikus aktivitásnak. A Digitalocean védelmi megoldásaival és azok hatékonyságával kapcsolatos további információ a következő linken közzétett független szakértői jelentésben található: xxxxx://xxx- xxxxxx.xxx.xxxxxxx.xx/xxx-xxxxxx/00xxx0x0-000x-0x00-0x00-xxxx00x0x00x_XxxxxxxXxxxxx-
+2021+Type+2+SOC+3+-+Report.pdf
A Digitalocean a következő biztonsági és adatvédelmi tanúsítványokkal rendelkezik: xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxxxxxx-xxxxxxx
A Digitalocean általános adatvédelmi tájékoztatója az alábbi linken érhető el: xxxxx://xxx.xxxxxxxxxxxx.xxx/xxxxx/xxxxxxx-xxxxxx/
3. számú melléklet Technikai és biztonsági intézkedések
A Szolgáltató az alábbi szervezési és technikai intézkedéseket alkalmazza az adatok biztonsága érdekében:
1. Az adatkezelés biztonsága
a. A helyiségekbe és létesítményekbe történő belépés, hozzáférés ellenőrzése
Az illetéktelen hozzáférést meg kell akadályozni (fizikai értelemben).
Technikai és szervezési intézkedések a helyiségekbe és létesítményekbe való belépés, illetve hozzáférés ellenőrzésére, különösen a jogosultság ellenőrzésére:
A Szolgáltató által megvalósított intézkedések:
☒ Belépés ellenőrzése
ID olvasó, mágneskártya, chipkártya
☐ kulcsok (kiadása)
☐ Ajtózárak (elektronikus ajtónyitás stb.)
☒ Biztonsági személyzet, karbantartók
☒ Megfigyelő rendszerek
riasztó rendszer, zártláncú kamerarendszer
☒ Egyéb: infrastruktúra privát felhőben tárolva, a hozzáférés csak az arra jogosultak számára biztosított, az infrastruktúrához való hozzáférés csak többszintű biztonsági azonosítással lehetséges
b. Rendszerekhez való hozzáférés
Meg kell akadályozni az informatikai rendszerekhez való jogosulatlan hozzáférést.
Technikai (azonosító/jelszó biztonság) és szervezeti (felhasználói törzsadatok) intézkedések a felhasználók azonosítására és hitelesítésére:
A Szolgáltató által megvalósított intézkedések:
☒ Jelszavas védelem (beleértve a speciális karaktereket, minimális hosszúságot, a jelszó megváltoztatását)
☐ Automatikus blokkolás (pl. jelszó vagy időkorlát)
☒ Törzsadat létrehozása felhasználónként
☒ Kétfaktoros azonosítás
☐ Az adathordozók titkosítása
☒ Egyéb: a felhasználók jelszóval védett, legalább 2048 bites kódolt SSH-kulcsokkal rendelkeznek, a segítségével.
c. Adathoz való hozzáférés
Az informatikai rendszerekben a kiosztott hozzáférési jogok által nem érintett tevékenységeket meg kell akadályozni.
A jogosultsági rendszer és a hozzáférési jogok követelményalapú meghatározása, valamint a hozzáférések nyomon követése és naplózása:
A Szolgáltató által megvalósított intézkedések:
☒ Differenciált hozzáférési jogok (profilok, szerepek, tranzakciók és objektumok)
☐ Jelentések
☒ Hozzáférés
☐ Módosítás
☐ Törlés
☒ Jogok engedélyezésének koncepciója
☒ Szükségletalapú hozzáférési jogok
☐ A rendszer hozzáférési eseményeinek naplózása
☐ Egyéb:
d. A közzététel szabályozása
A személyes adatok nyilvánosságra hozatalának szempontjait ellenőrizni kell: elektronikus továbbítás, adattovábbítás, adattovábbítás ellenőrzése stb.
Az adatok szállítására, továbbítására és közlésére vagy adathordozón (kézi vagy elektronikus) történő tárolására és utólagos ellenőrzésére vonatkozó intézkedések:
A Szolgáltató által megvalósított intézkedések:
☒ Titkosítás/zárt láncú továbbítás (VPN)
☐ Elektronikus aláírás
☒ Naplózás
☒ Szállítás/továbbítás közbeni biztonsági intézkedések
☐ Egyéb:
e. Szétválasztás ellenőrzése
A különböző célokból gyűjtött adatokat szintén külön kell kezelni
A különböző célokra gyűjtött adatok elkülönített feldolgozását (tárolása, módosítása, törlése, továbbítása) biztosító intézkedések:
A Szolgáltató által megvalósított intézkedések:
☐ "Belső ügyfél" koncepció / felhasználási korlátozás
☒ A funkciók elkülönítése (létrehozás/tesztelés)
☒ Egyéb: csak tárolás
f. Álnevesítés és titkosítás (GDPR 32. cikk (1) bekezdés a) pont, 25. cikk (1) bekezdés)
A személyes adatok olyan módon történő feldolgozása, hogy az adatok további információk nélkül nem kapcsolhatók egy adott Érintetthez, feltéve, hogy ezeket a további információkat külön tárolják, és megfelelő technikai és szervezési intézkedések hatálya alá tartoznak.
A Szolgáltató által megvalósított intézkedések:
☒ Egyéb: minden felhasználónak külön adatbázisa és linux felhasználója van a fájlrendszer eléréséhez
2. Integritás
a. A közzététel szabályozása
A személyes adatok nyilvánosságra hozatalának szempontjait ellenőrizni kell: elektronikus továbbítás, adattovábbítás, adattovábbítás ellenőrzése stb.
Az adatok szállítására, továbbítására és közlésére vagy adathordozón (kézi vagy elektronikus) történő tárolására és utólagos ellenőrzésére vonatkozó intézkedések:
A Szolgáltató által megvalósított intézkedések:
Lásd 1.b.
b. A bevitel szabályozása
Az adatkezelésről és -karbantartásról teljes dokumentációt kell vezetni.
Intézkedések annak utólagos ellenőrzésére, hogy az adatokat bevitték-e, megváltoztatták-e vagy eltávolították-e (törölték-e), és ki által:
A Szolgáltató által megvalósított intézkedések:
☐ Naplózási és jelentési rendszerek
☐ Dokumentumkezelés
☐ Egyéb:
3. Elérhetőség és ellenállóképesség
Az adatokat védeni kell a véletlen megsemmisülés vagy elvesztés ellen.
Az adatbiztonságot garantáló intézkedések (fizikai/logikai):
a. Az elérhetőség biztosítása
A Szolgáltató által megvalósított intézkedések:
☒ Biztonsági mentések
☒ Merevlemezek tükrözése, pl. RAID technológia
☒ Szünetmentes tápegység (UPS)
☒ Távoli tárolás
☒ Vírusirtó/tűzfalrendszerek
☐ Jelentési eljárások és vészhelyzeti tervezés
☒ Katasztrófa utáni helyreállítási terv
☐ Egyéb: biztonsági intézkedések, mint például multi A-Z adatbázis.
b. A rendszerek ellenállóképessége
A Szolgáltató által megvalósított intézkedések:
☒ Az adatközpont paramétereinek és az alkalmazások használatának folyamatos nyomon követése
☒ Hibatűrő rendszerek használata
☒ Vészhelyzeti terv
☐ Egyéb:
c. Gyors helyreállítás
A Szolgáltató által megvalósított intézkedések:
☒ Helyreállítás
☒ A vészhelyzeti terv ellenőrzése
☒ Helyreállítási tesztelés
☐ Egyéb:
4. A rendszeres tesztelésre és felmérésre és értékelésre vonatkozó eljárások
A Szolgáltató által megvalósított intézkedések:
☐ ISO 27001 szerinti tanúsított adatkezelési rendszer
☐ ISO 27001 tanúsítás
☒ Adatvédelmi menedzsment
☒ Incidenskezelés
☐ Adatvédelmi tisztviselő
☒ Az alkalmazottak képzése
☐ Tervezett és alapértelmezett adatvédelem (GDPR 25. cikk (2) bekezdés)
☐ Megrendelés vagy szerződéses ellenőrzés (GDPR 28. cikk)
☐ Egyéb: