ADATFELDOLGOZÁSI RENDELKEZÉSEK
- Fogalmak:
Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
Adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. Adatkezelő jellemzően Adatfeldolgozó ügyfele, akinek informatikai jellegű szolgáltatást (fejlesztés, üzemeltetés, stb.) nyújt.
Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az Adatfeldolgozót vagy az Adatfeldolgozó kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
Al-adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatfeldolgozó nevében személyes adatokat kezel;
Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
Álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
További al-adatfeldolgozó: az Al-adatfeldolgozó Adatfeldolgozó hozzájárulásával megbízott további al-adatfeldolgozója, aki jelen adatfeldolgozási megállapodásban meghatározott adatfeldolgozási műveletek meghatározott részének elvégzésére köteles.
- Előzmények
- Felek kiemelt figyelmet fordítottak az irányadó magyar adatvédelmi jogszabályokra, különösen de nem kizárólag az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info törvény) valamint az Európai Parlament és Tanács (EU) 2016/679 rendeletére (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló rendeletére (továbbiakban: GDPR).
- Adatfeldolgozási tevékenység leírása
Adatfeldolgozó a jelen Szerződésben meghatározott, személyes adatokkal érintett feladatellátás jogszerű végrehajtása érdekében megbízza Al-adatfeldolgozót az alábbi adatkezelési műveletek technikai végrehajtásával, adatfeldolgozásával, amely műveleteket Felek az alábbiakban definiálnak:
- Személyes adatok kezelése rendelések felvételéhez és éttermi szolgáltatásokhoz célhoz kötötten.
- Az Adatfeldolgozóra vonatkozó rendelkezések
Az Adatfeldolgozó a Szerződés tárgyában meghatározott adatkezelési műveletek technikai végrehajtásához átadja, vagy Al-adatfeldolgozó számára hozzáférhetővé teszi a szükséges személyes adatokat és a kapcsolódó technikai információkat. Az al-adatfeldolgozással érintett adatkört a jelen melléklet VIII. pontja tartalmazza. Ezen túlmenően:
- Adatfeldolgozó garantálja, hogy az átadott adatok között különleges személyes adat nem szerepel.
- Adatfeldolgozó felelősséget vállal azért, hogy az átadott személyes adatok felvétele jogszerűen történt, azok kezelésére, valamint al-adatfeldolgozásba adására jogosult.
- Az átadott személyes adatok tekintetében a mindenkori adatminőség-biztosítási kötelezettség Adatkezelőt terheli, aki a jelen szerződéses jogviszonyban nem szerződő fél. Adatkezelővel közvetlen jogviszonyban Adatfeldolgozó áll.
- Adatfeldolgozó a Szerződésben Al-adatfeldolgozó részére adott Al-adatfeldolgozói utasítások jogszerűségéért teljes körűen felel. Al-adatfeldolgozó haladéktalanul tájékoztatja Adatfeldolgozót, ha úgy véli, hogy annak valamely utasítása sérti a GDPR-t, vagy a tagállami vagy más uniós adatvédelmi rendelkezéseket.
- Adatfeldolgozó és az általa megjelölt Adatkezelő a Szerződésben Al-adatfeldolgozó részére meghatározott tevékenységek végrehajtását előzetes bejelentést követően jogosult ellenőrizni. Az ellenőrzés részleteit Adatfeldolgozó, valamint Adatkezelő és Al-adatfeldolgozó előzetesen egyezteti és rögzíti.
- Jelen melléklet és a Szerződés rendelkezései között fennálló ellentmondás esetén a jelen mellékletben foglaltak az irányadók.
- Al-adatfeldolgozó nem köteles vizsgálni, hogy Adatfeldolgozó kizárólag olyan személyes adatokhoz engedett-e hozzáférést, amelyeknek a jelen Adatfeldolgozási Megállapodás szerinti feldolgozása a Szerződés teljesítéséhez elengedhetetlenül szükséges. Az ilyen adatokkal összefüggésben Al-adatfeldolgozót semmilyen addicionális adatfeldolgozási kötelezettség nem terheli. Az ezzel kapcsolatos minden felelősséget Adatfeldolgozó visel.
- Az Al-adatfeldolgozóra vonatkozó rendelkezések
Al-adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat. Al-adatfeldolgozó kizárólag Adatfeldolgozó utasításai alapján járhat el, az Adatfeldolgozótól átvett adatokat kizárólag a Szerződésben meghatározott célra használhatja, azokkal kizárólag olyan műveleteket végezhet, amelyek jelen mellékletben rögzítettek. Adatfeldolgozó előzetes írásbeli utasítása nélkül azokat harmadik személyeknek át nem adhatja, ideértve a harmadik személyekkel kötendő al-adatfeldolgozásra történő megbízást is.
Al-adatfeldolgozó a hatályos jogszabályoknak megfelelően
- biztosítja azt, hogy a személyes adatok feldolgozására feljogosított személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak,
- Adatfeldolgozó utasításai szerint meghozza az adatbiztonságot érintő technikai és szervezési intézkedéseket (IX. pont), melyek alkalmazását Adatfeldolgozó a jelen szerződés aláírásával elfogad,
- a feladatkörében segíti az Adatfeldolgozót abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,
- szolgáltatás nyújtásának befejezését követően az Adatfeldolgozó döntésének megfelelően megsemmisíti, vagy visszajuttatja a személyes adatokat tartalmazó adathordozókat Adatfeldolgozó részére kivéve, ha uniós vagy tagállami jog a személyes adatok tárolását írja elő,
- Adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az e szerződésben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatfeldolgozó által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is,
- garantálja, hogy amennyiben további Al-adatfeldolgozó szolgáltatásait is igénybe veszi, erre a további Al-adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségek telepíti, mint amelyek Adatfeldolgozó és Al-adatfeldolgozó között jelen melléklet rögzít, különösen úgy, hogy a további Al-adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további Al-adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, Al-adatfeldolgozó teljes felelősséggel tartozik az Adatfeldolgozó felé a további Al-adatfeldolgozó kötelezettségeinek a teljesítéséért.
- köteles Adatfeldolgozót a szerződés megkötését megelőzően tájékoztatni, amennyiben az általa végzendő adatfeldolgozási tevékenységet az Európai Gazdasági Térségen kívül kívánja ellátni annak érdekében, hogy Adatfeldolgozó erről Adatkezelőt tájékoztatni tudja, hogy Adatkezelő a GDPR szerinti harmadik országokba történő adattovábbításra vonatkozó jogi kötelezettségeinek eleget tehessen.
- Al-adatfeldolgozó kijelenti, hogy az általa végzett adatfeldolgozás minden tekintetben, maradéktalanuk megfelel az Európai Parlament és Tanács (EU) 2016/679 számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló rendeletében foglaltaknak.
- Adatbiztonság
- Adatfeldolgozó kizárólagos felelőssége az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az Info tv. és a GDPR, valamint az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa a személyes adatok védelmét.
- Adatfeldolgozó felelőssége Al-adatfeldolgozó számára előírni azokat a technikai és szervezési intézkedéseket, amelyek a tudomány és technológia állására, a megvalósítás költségeire, valamint a feldolgozandó személyes adatokat fenyegető valós veszélyekre tekintettel az adatok megfelelő szintű védelmét garantálják. Az Adatfeldolgozó által meghatározott technikai és szervezési intézkedéseket a jelen melléklet IX. pontja tartalmazza.
- Megőrzési idő
- Al-adatfeldolgozó a részére átadott személyes adatokat a feladatellátáshoz szükséges ideig, de legkésőbb a jelen Szerződésből eredő jogok és kötelezettségek elévüléséig köteles megőrizni.
- A megőrzési idő leteltét követően az adatokat Al-adatfeldolgozó köteles törölni, vagy igénytől függően azokat Adatfeldolgozó részére az visszaszolgáltatni.
- Az adatfeldolgozással érintett személyes adatok köre:
- Név
- Telefonszám
- Email cím
- Cím
- Technikai és szervezési intézkedések
- a személyes adatokat is feldolgozó Al-adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megakadályozása (hozzáférés kontroll);
- annak biztosítása, hogy az Al-adatfeldolgozó rendszerekhez hozzáféréssel rendelkező személyeknek kizárólag a jogosultsági szintjüknek megfelelő adatokhoz legyen hozzáférésük, és hogy a személyes adatokat az összegyűjtésük és felhasználásuk során illetve rögzítésüket követően jogosulatlan személyek ne olvashassák, másolhassák, módosíthassák vagy törölhessék (az adatokhoz való hozzáférés kontrollja);
- annak biztosítása, hogy a személyes adat ne legyen jogosulatlan személyek által olvasható, másolható, módosítható vagy törölhető az elektronikus átadás, szállítás vagy adathordozóra való rögzítés során, és hogy megvizsgálható, ill. beazonosítható legyen, hogy a személyes adatot hol adták át az adatátviteli berendezés segítségével (adat átadási kontroll);
- annak biztosítása, hogy visszamenőlegesen megállapítható legyen, hogy ki és mikor vitte fel, módosította vagy törölte a személyes adatot az Al-adatfeldolgozó rendszerbe/rendszerből;
- annak biztosítása, hogy az alvállalkozók által feldolgozott személyes adatot csak a megrendelő fél utasításainak megfelelően lehessen feldolgozni (alvállalkozói kontroll);
- annak biztosítása, hogy a személyes adat védett a nem szándékos megsemmisüléssel vagy adatvesztéssel szemben (rendelkezésre állási kontroll);
- annak biztosítása, hogy a személyes adat védett a véletlen, vagy jogellenes megváltoztatással, jogosulatlan nyilvánosságra hozatallal szemben;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége;
- fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, értékelése.