ADATFELDOLGOZÁSI RENDELKEZÉSEK

1. Fogalmak:

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. Adatkezelő jellemzően Adatfeldolgozó ügyfele, akinek informatikai jellegű szolgáltatást (fejlesztés, üzemeltetés, stb.) nyújt.

Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az Adatfeldolgozót vagy az Adatfeldolgozó kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

Al-adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatfeldolgozó nevében személyes adatokat kezel;

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;

További al-adatfeldolgozó: az Al-adatfeldolgozó Adatfeldolgozó hozzájárulásával megbízott további al-adatfeldolgozója, aki jelen adatfeldolgozási megállapodásban meghatározott adatfeldolgozási műveletek meghatározott részének elvégzésére köteles.

2. Előzmények

1. Felek kiemelt figyelmet fordítottak az irányadó magyar adatvédelmi jogszabályokra, különösen de nem kizárólag az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info törvény) valamint az Európai Parlament és Tanács (EU) 2016/679 rendeletére (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló rendeletére (továbbiakban: GDPR).

3. Adatfeldolgozási tevékenység leírása

Adatfeldolgozó a jelen Szerződésben meghatározott, személyes adatokkal érintett feladatellátás jogszerű végrehajtása érdekében megbízza Al-adatfeldolgozót az alábbi adatkezelési műveletek technikai végrehajtásával, adatfeldolgozásával, amely műveleteket Felek az alábbiakban definiálnak:

• Személyes adatok kezelése rendelések felvételéhez és éttermi szolgáltatásokhoz célhoz kötötten.

4. Az Adatfeldolgozóra vonatkozó rendelkezések

Az Adatfeldolgozó a Szerződés tárgyában meghatározott adatkezelési műveletek technikai végrehajtásához átadja, vagy Al-adatfeldolgozó számára hozzáférhetővé teszi a szükséges személyes adatokat és a kapcsolódó technikai információkat. Az al-adatfeldolgozással érintett adatkört a jelen melléklet VIII. pontja tartalmazza. Ezen túlmenően:

1. Adatfeldolgozó garantálja, hogy az átadott adatok között különleges személyes adat nem szerepel.

2. Adatfeldolgozó felelősséget vállal azért, hogy az átadott személyes adatok felvétele jogszerűen történt, azok kezelésére, valamint al-adatfeldolgozásba adására jogosult.

3. Az átadott személyes adatok tekintetében a mindenkori adatminőség-biztosítási kötelezettség Adatkezelőt terheli, aki a jelen szerződéses jogviszonyban nem szerződő fél. Adatkezelővel közvetlen jogviszonyban Adatfeldolgozó áll.
4. Adatfeldolgozó a Szerződésben Al-adatfeldolgozó részére adott Al-adatfeldolgozói utasítások jogszerűségéért teljes körűen felel. Al-adatfeldolgozó haladéktalanul tájékoztatja Adatfeldolgozót, ha úgy véli, hogy annak valamely utasítása sérti a GDPR-t, vagy a tagállami vagy más uniós adatvédelmi rendelkezéseket.

5. Adatfeldolgozó és az általa megjelölt Adatkezelő a Szerződésben Al-adatfeldolgozó részére meghatározott tevékenységek végrehajtását előzetes bejelentést követően jogosult ellenőrizni. Az ellenőrzés részleteit Adatfeldolgozó, valamint Adatkezelő és Al-adatfeldolgozó előzetesen egyezteti és rögzíti.
6. Jelen melléklet és a Szerződés rendelkezései között fennálló ellentmondás esetén a jelen mellékletben foglaltak az irányadók.

7. Al-adatfeldolgozó nem köteles vizsgálni, hogy Adatfeldolgozó kizárólag olyan személyes adatokhoz engedett-e hozzáférést, amelyeknek a jelen Adatfeldolgozási Megállapodás szerinti feldolgozása a Szerződés teljesítéséhez elengedhetetlenül szükséges. Az ilyen adatokkal összefüggésben Al-adatfeldolgozót semmilyen addicionális adatfeldolgozási kötelezettség nem terheli. Az ezzel kapcsolatos minden felelősséget Adatfeldolgozó visel.

5. Az Al-adatfeldolgozóra vonatkozó rendelkezések

Al-adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat. Al-adatfeldolgozó kizárólag Adatfeldolgozó utasításai alapján járhat el, az Adatfeldolgozótól átvett adatokat kizárólag a Szerződésben meghatározott célra használhatja, azokkal kizárólag olyan műveleteket végezhet, amelyek jelen mellékletben rögzítettek. Adatfeldolgozó előzetes írásbeli utasítása nélkül azokat harmadik személyeknek át nem adhatja, ideértve a harmadik személyekkel kötendő al-adatfeldolgozásra történő megbízást is.

Al-adatfeldolgozó a hatályos jogszabályoknak megfelelően

1. biztosítja azt, hogy a személyes adatok feldolgozására feljogosított személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,
2. Adatfeldolgozó utasításai szerint meghozza az adatbiztonságot érintő technikai és szervezési intézkedéseket (IX. pont), melyek alkalmazását Adatfeldolgozó a jelen szerződés aláírásával elfogad,
3. a feladatkörében segíti az Adatfeldolgozót abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,
4. szolgáltatás nyújtásának befejezését követően az Adatfeldolgozó döntésének megfelelően megsemmisíti, vagy visszajuttatja a személyes adatokat tartalmazó adathordozókat Adatfeldolgozó részére kivéve, ha uniós vagy tagállami jog a személyes adatok tárolását írja elő,
5. Adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az e szerződésben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatfeldolgozó által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is,
6. garantálja, hogy amennyiben további Al-adatfeldolgozó szolgáltatásait is igénybe veszi, erre a további Al-adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségek telepíti, mint amelyek Adatfeldolgozó és Al-adatfeldolgozó között jelen melléklet rögzít, különösen úgy, hogy a további Al-adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további Al-adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, Al-adatfeldolgozó teljes felelősséggel tartozik az Adatfeldolgozó felé a további Al-adatfeldolgozó kötelezettségeinek a teljesítéséért.
7. köteles Adatfeldolgozót a szerződés megkötését megelőzően tájékoztatni, amennyiben az általa végzendő adatfeldolgozási tevékenységet az Európai Gazdasági Térségen kívül kívánja ellátni annak érdekében, hogy Adatfeldolgozó erről Adatkezelőt tájékoztatni tudja, hogy Adatkezelő a GDPR szerinti harmadik országokba történő adattovábbításra vonatkozó jogi kötelezettségeinek eleget tehessen.
8. Al-adatfeldolgozó kijelenti, hogy az általa végzett adatfeldolgozás minden tekintetben, maradéktalanuk megfelel az Európai Parlament és Tanács (EU) 2016/679 számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló rendeletében foglaltaknak.

6. Adatbiztonság

1. Adatfeldolgozó kizárólagos felelőssége az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az Info tv. és a GDPR, valamint az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa a személyes adatok védelmét.

2. Adatfeldolgozó felelőssége Al-adatfeldolgozó számára előírni azokat a technikai és szervezési intézkedéseket, amelyek a tudomány és technológia állására, a megvalósítás költségeire, valamint a feldolgozandó személyes adatokat fenyegető valós veszélyekre tekintettel az adatok megfelelő szintű védelmét garantálják. Az Adatfeldolgozó által meghatározott technikai és szervezési intézkedéseket a jelen melléklet IX. pontja tartalmazza.

7. Megőrzési idő

1. Al-adatfeldolgozó a részére átadott személyes adatokat a feladatellátáshoz szükséges ideig, de legkésőbb a jelen Szerződésből eredő jogok és kötelezettségek elévüléséig köteles megőrizni.

2. A megőrzési idő leteltét követően az adatokat Al-adatfeldolgozó köteles törölni, vagy igénytől függően azokat Adatfeldolgozó részére az visszaszolgáltatni.

8. Az adatfeldolgozással érintett személyes adatok köre:

• Név
• Telefonszám
• Email cím
• Cím

9. Technikai és szervezési intézkedések

1. a személyes adatokat is feldolgozó Al-adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megakadályozása (hozzáférés kontroll);
2. annak biztosítása, hogy az Al-adatfeldolgozó rendszerekhez hozzáféréssel rendelkező személyeknek kizárólag a jogosultsági szintjüknek megfelelő adatokhoz legyen hozzáférésük, és hogy a személyes adatokat az összegyűjtésük és felhasználásuk során illetve rögzítésüket követően jogosulatlan személyek ne olvashassák, másolhassák, módosíthassák vagy törölhessék (az adatokhoz való hozzáférés kontrollja);
3. annak biztosítása, hogy a személyes adat ne legyen jogosulatlan személyek által olvasható, másolható, módosítható vagy törölhető az elektronikus átadás, szállítás vagy adathordozóra való rögzítés során, és hogy megvizsgálható, ill. beazonosítható legyen, hogy a személyes adatot hol adták át az adatátviteli berendezés segítségével (adat átadási kontroll);
4. annak biztosítása, hogy visszamenőlegesen megállapítható legyen, hogy ki és mikor vitte fel, módosította vagy törölte a személyes adatot az Al-adatfeldolgozó rendszerbe/rendszerből;
5. annak biztosítása, hogy az alvállalkozók által feldolgozott személyes adatot csak a megrendelő fél utasításainak megfelelően lehessen feldolgozni (alvállalkozói kontroll);
6. annak biztosítása, hogy a személyes adat védett a nem szándékos megsemmisüléssel vagy adatvesztéssel szemben (rendelkezésre állási kontroll);
7. annak biztosítása, hogy a személyes adat védett a véletlen, vagy jogellenes megváltoztatással, jogosulatlan nyilvánosságra hozatallal szemben;
8. a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége;
9. fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
10. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, értékelése.