az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: általános adatvédelmi rendelet, vagy GDPR rendelet^[1]) és az Infotv.^[2] szerint létrejövő adatfeldolgozói irányelv

Megbízó, mint Adatkezelő és Megbízott, mint Adatfeldolgozó között, (együttesen, mint Felek) az alábbiak szerint:

1.      Előzmények

• Felek rögzítik, hogy egymással szerződést kötöttek, amelyben az Adatkezelő megbízta az Adatfeldolgozót szolgáltatás nyújtásával (a továbbiakban: elsődleges szerződés). Felek megállapítják, hogy az elsődleges szerződés teljesítése kapcsán az Adatfeldolgozó természetes személyek személyes adatait is kezeli, melynél fogva Felek között az elsődleges jogviszony mellett egyben adatkezelői/feldolgozói jogviszony is keletkezett. Jelen adatfeldolgozói irányelv Felek ennél fogva az elsődleges szerződés elválaszthatatlan részeként kezelik, mely az elsődleges szerződéssel létrejött jogviszonyhoz kötött, és osztja az elsődleges szerződés jogi sorsát. Amennyiben az elsődleges szerződésben a jelen adatfeldolgozói irányelv foglaltakkal ellentétes adatvédelmi jogi rendelkezés szerepel, a jelen adatfeldolgozói irányelv rendelkezései az irányadóak.
• Felek rögzítik, hogy 2018. május 25. napjától alkalmazandó az Európai Unió Általános Adatvédelmi Rendelete (az Európai Parlament és a Tanács (EU) 2016/679. rendelete – a továbbiakban: GDPR vagy Rendelet), amely kötelezővé teszi adatfeldolgozó igénybe vétele esetén adatfeldolgozói irányelv megkötését. Felek a GDPR-nak való megfelelés érdekében a jelen dokumentummal kiegészítik az elsődleges szerződést az adatfeldolgozásra vonatkozó speciális rendelkezésekkel.

NÉHÁNY FOGALMI MEGHATÁROZÁS

• „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
• „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
• „adatkezelő”: az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
• „adatfeldolgozó”: az a természetes vagy jogi személy, amely az adatkezelő nevében személyes adatokat kezel;
• „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
• „az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
• „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
• „adattörlés”: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges;
• „adatfeldolgozás”: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;
  • Felek rögzítik és kifejezetten elfogadják, hogy az 1. pont szerinti feladatok ellátásával kapcsolatban az Adatkezelő minősül adatkezelőnek, az Adatfeldolgozó ezen feladatok tekintetében adatfeldolgozónak minősül.

2.      A rendelkezés tárgya

• Adatkezelő megbízza Adatfeldolgozót, hogy az elsődleges szerződéssel összefüggésben adatkezelést végezzen számára a jelen irányelv szerint. Adatfeldolgozó a megbízást elfogadja.
• Felek az alábbiak szerint határozzák meg az elsődleges szerződés teljesítéséhez kapcsolódó adatfeldolgozói adatkezelés fő jellemzőit:

1. Az adatkezelés tárgya: az elsődleges szerződés teljesítésével kapcsolatban tudomásra jutott személyes adatok kezelése.
2. Az adatkezelés időtartama: az adatfeldolgozói irányelv az elsődleges szerződés időbeli hatályához kötődik, azaz:

• Felek között fennálló szerződéses jogviszonyból származó igények elévülési ideje, illetve
• a Szerződés alapján a jogszabályi kötelezettségek és az azzal összefüggő igények elévülési ideje közül a hosszabb időtartam.

1. Az adatkezelés jellege és célja: az elsődleges szerződés teljesítéséhez szükséges és elégséges adatkezelés, amelyek közül elsődlegesen az alábbiak:

• az Adatfeldolgozó elsődleges szerződés szerint igénybe vett szolgáltatások teljesítése;
• a szolgáltatásokkal kapcsolatos adatokról, azok változásáról történő tájékoztatás;
• tájékoztatás elektronikus úton főként az ágazati jogszabályok változásával.

1. A személyes adatok típusa: az Adatfeldolgozó által kezelt személyes adatok azon adatok, amelyek az elsődleges szerződésben meghatározott szolgáltatások igénybevétele során a birtokába kerülnek, illetve kerülhetnek a vállalkozás tagjai, vezető tisztségviselői, munkavállalói, ügyfelei, szerződéses partnerei vonatkozásában, továbbá az Adatkezelő által az Adatfeldolgozó részére továbbított minden személyes adat.
2. Az érintettek kategóriái: a szolgáltatás nyújtással érintett személyek
3. Az adatkezelés jogalapja: az adatkezelés az Adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges GDPR 6. cikk (1) bekezdés c) pont, valamint az érintett hozzájárulása – GDPR 6. cikk (1) bekezdés a) pont.

Adatfeldolgozó az alábbi adatkategóriák tekintetében végez adatfeldolgozást:

Adatok: a Megrendelő által rendszerben rögzített adatok, amelyeket a Megrendelő a szolgáltató által biztosított készülékek segítségével rögzít.

Szolgáltató a Megbízó részére végzett szolgáltatás nyújtása során a beérkező adatok feldolgozása során Megbízó természetes személy ügyfelei, munkavállalói, szerződő partnerei (vevők és szállítók) személyes adatait kezeli.

Rendszer belépéshez szükséges adatok, értesítések küldése:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a beléptető rendszert használó természetes személyek
• Tevékenységért felelős szervezeti egység az adatfeldolgozónál: Support
• Az adatok tárolásának helye: elektronikusan, VPS, RackForest

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján

Személyes adatok/információk felsorolása: név, e-mail cím, telefonszám

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése
• Adatkezelés forrása: Érintettől felvett

Munkalap átvételének igazolása:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a munkalap átadásában és átvételében érintett természetes személyek
• Tevékenységért felelős szervezeti egység az adatfeldolgozónál: Support
• Az adatok tárolásának helye: elektronikusan, VPS, RackForest

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján Megbízó

Személyes adatok/információk felsorolása: név, e-mail cím, aláírás

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése
• Adatkezelés forrása: Érintettől felvett

Hiba bejelentése:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a hibabejelentésben érintett természetes személyek
• Tevékenységért felelős szervezeti egység az adatfeldolgozónál: Support
• Az adatok tárolásának helye: elektronikusan, ZenDesk

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján Megbízó

Személyes adatok/információk felsorolása: név, e-mail cím, telefonszám

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése
• Adatkezelés forrása: Érintettől felvett

Rendszer riportok készítése:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a riport készítésben érintett természetes személyek
• Tevékenységért felelős szervezeti egység az adatfeldolgozónál: Support
• Az adatok tárolásának helye: elektronikusan, ZenDesk

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján Megbízó

Személyes adatok/információk felsorolása: név, e-mail cím, telefonszám

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése
• Adatkezelés forrása: Érintettől felvett

Checkingsystem szolgáltatás esetén:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a szolgáltatás használatában érintett természetes személyek

Adatkezelő:

• Tevékenységért felelős szervezeti egység az adatfeldolgozónál: Support
• Az adatok tárolásának helye: elektronikusan, VPS, RackForest

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján Megbízó

Személyes adatok/információk felsorolása: RFID koronghoz/kártyához rendelt név, helyszínre érkezés időpontja (RFID korong olvasása), helyszínről való távozás időpontja (RFID korong olvasása)

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése
• Adatkezelés forrása: Érintettől felvett

OSM szolgáltatás esetén:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a területre belépő természetes személyek

Adatkezelő:

• Tevékenységért felelős szervezeti egység az adatfeldolgozónál: Support
• Az adatok tárolásának helye: elektronikusan, VPS, RackForest

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján Megbízó

Személyes adatok/információk felsorolása:

Vendég be- és kiléptetés: Be- és kilépés ténye, be- és kilépés időpontja, be- és kilépés helye, gépjármű rendszámának automatikus felismerése és rögzítése, személy regisztrálása, személyes adatokok rögzítése, cég nevének rögzítése, fényképes dokumentáció készítésének lehetősége, aláírás rögzítése, rakomány ellenőrzésének lehetősége – fényképes dokumentáció készítésének lehetősége, behozott eszközök regisztrálása

Gépjármű be- és kiléptetés: Be- és kilépés ténye, Be- és kilépés időpontja, be- és kilépés helye, gépjármű rendszámának automatikus felismerése és rögzítése, gépjármű vezető személy regisztrálása, személyes adatokok rögzítése, cég nevének rögzítése, fényképes dokumentáció készítésének lehetősége, aláírás rögzítése, rakomány ellenőrzésének lehetősége – fényképes dokumentáció készítésének lehetősége, behozott eszközök regisztrálása, plomba számának rögzítése, szállítólevél számának rögzítése, CMR szám rögzítése

Eseménykezelés: Esemény típusának rögzítése (előre megadott lista alapján), esemény időpontjának rögzítése, eseményt rögzítő személy adatainak rögzítése, fényképes dokumentáció készítésének lehetősége és rögzítés

Alkoholszondázás jegyzőkönyv: Ittassági vizsgálat tényének és időpontjának rögzítése, személy adatainak rögzítésének lehetősége, ittassági vizsgálatot végző személy és adatainak rögzítése, ittassági vizsgálati jegyzőkönyv tanúinak személye és adatainak rögzítése, fényképes dokumentáció készítésének lehetősége és rögzítése

Feladatlistás ellenőrzés: Feladatot elvégző személy nevének rögzítése, feladat elvégzésének helye és időpontja, elvégzett feladatok rögzítése, fényképes dokumentáció készítésének lehetősége és rögzítése

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése
• Adatkezelés forrása: Érintettől felvett

Beléptető esetén:

Adatkezelési tevékenység:

• Az adatkezelés célja: Megbízási szerződés alapján
• Érintett körök: a területre belépő természetes személyek

Adatkezelő:

• Tevékenységért felelős szervezeti egység az adatkezelőnél: Support
• Az adatok tárolásának helye: elektronikusan, VPS, RackForest

Adattovábbítás:

• Célja: Szerződés teljesítése
• Címzettje: Megbízási jogviszony alapján Megbízó

Személyes adatok/információk felsorolása: Dolgozó/vendég neve, cégnév, munkakör, beosztás, belépés időpontja, belépés helyszíne, kilépés időpontja, helyszínen töltött időintervallum

Adatkezelés jogszerűsége:

• Adatkezelés időtartama: megbízási jogviszony ideje alatt és abból fakadó kötelezettségek érvényesítéséig
• Adatkezelés jogalapja: Szerződéses kötelezettség teljesítése, jogos érdek
• Adatkezelés forrása: Érintettől felvett

3.      Az adatfeldolgozás egyéb szabályai

Az Adatfeldolgozó a karbantartás keretein belül ellenőrzi a kamerák és rögzítőegység működőképességét. Elvégzi a kamerák tisztítását, beállítja a kamerák látószögét, ellenőrzi a tápellátást. A rögzített élőképet és képfelvételeket kizárólag az Adatkezelő kezeli. Az adatfeldolgozó a karbantartási és javítási tevékenység során a legszükségesebb mértékben és kizárólag a tevékenységhez szükséges célból és ideig férhet hozzá a személyes adatokhoz. Az adatkezelő utasítására történő adatmentés az arra célra kijelölt eszközre történik, adatfeldolgozó ezen adatokat minden esetben adatkezelő rendelkezésére bocsátja azokról másolatot nem készít, azokat harmadik félnek nem továbbítja és nem tárolja.

4.      Az Adatfeldolgozó jogai és kötelezettségei

4.1      Munkavállalók oktatása

4.1.1   Az Adatfeldolgozó a jelen irányelvben meghatározott feladatok ellátása érdekében megfelelő ismerettel és gyakorlattal rendelkező személyeket köteles igénybe venni. Köteles továbbá gondoskodni az általa igénybe vett személyek felkészítéséről a betartandó adatvédelmi, adatbiztonsági rendelkezésekről, a jelen irányelvben foglalt kötelezettségekről, valamint az adatkezelés céljáról és módjáról.

4.1.2   Az Adatfeldolgozó biztosítja, hogy az adatkezelésben résztvevő személyek/munkavállalók megfelelő adatvédelmi oktatásban részesültek, így különösen az Adatfeldolgozó szavatolja, hogy az általa a jelen irányelv teljesítéséhez igénybe vett munkavállalók és más személyek megfelelő ismeretekkel rendelkeznek a személyes adatokhoz kapcsolódó kockázatokról, valamint a Rendelet kötelező előírásairól. Az oktatás megtörténte megfelelően dokumentált és az erre vonatkozó dokumentációt az Adatfeldolgozó bármikor az Adatkezelő számára be tudja mutatni/rendelkezésre bocsátja.

4.2       További adatfeldolgozó igénybevétele

4.2.1   Amennyiben az Adatfeldolgozó további adatfeldolgozót kíván igénybe venni, köteles az Adatkezelőt egyidejűleg tájékoztatni az igénybe venni kívánt adatfeldolgozó személyéről, valamint arról is, ha az adatfeldolgozóját lecseréli. Az Adatkezelő jogosult az igénybe vett adatfeldolgozó ellen kifogással élni. Ebben az esetben az Adatfeldolgozó az adott további adatfeldolgozót nem jogosult igénybe venni. Az így emelt kifogásra Felek formai kritériumokat nem állapítanak meg, azt az Adatkezelő a jelen irányelv kapcsolattartásra vonatkozó szabályok figyelembevételével szabadon megteheti.

4.2.2   Az Adatfeldolgozó köteles az igénybe vett további adatfeldolgozókkal írásbeli, a GDPR és a jelen irányelv rendelkezéseinek megfelelő adatfeldolgozói szerződést kötni, és ezt igazolni az Adatkezelő felé.

4.2.3   Az Adatfeldolgozó az igénybe vett további adatfeldolgozóért úgy felel, mintha azt az adatfeldolgozási tevékenységet ő maga látná el. Adatkezelővel szemben az adatfeldolgozó felel a további adatfeldolgozó jogszabálysértéséért, szerződésszegéséért és bármilyen mulasztásáért.

4.2.4   Az Adatfeldolgozó csak olyan adatfeldolgozót jogosult igénybe venni, amely megfelel a GDPR és a jelen irányelv adatfeldolgozóra vonatkozó rendelkezéseinek, különös tekintettel, de nem kizárólagosan az adatbiztonsági követelményeknek.

5.      Az Adatkezelő utasítási jog

5.1      Adatkezelő – adatkezelésre vonatkozó döntéseinek végrehajtására – utasításokat ad az Adatfeldolgozó részére, e dokumentumban foglalt feladatok megfelelő ellátásának biztosítása érdekében. Az Adatkezelő az adatkezelésre vonatkozó utasításait az elsődleges szerződésben megadott kapcsolattartó útján elektronikus levélben írásban juttatja el az Adatfeldolgozónak. A Felek megállapodnak, hogy ebben a körben az e-mailben megküldött utasításokat írásbelinek ismerik el. Az utasítás kézhezvételét a kézbesítésről szóló üzenet megérkezése igazolja.

5.2      Adatfeldolgozó tudomásul veszi és kifejezetten elfogadja, hogy a jelen irányelv szerinti adatkezelési, adatfeldolgozási tevékenységét csak és kizárólag Adatkezelő írásbeli utasításai és a jelen irányelv alapján, a GDPR szabályai szerint jogosult végezni. Az Adatfeldolgozó nem jogosult a feldolgozással érintett adatokkal önállóan, saját döntése szerint rendelkezni, nem jogosult azokat az Adatkezelő utasítása nélkül törölni, megváltoztatni, összekapcsolni, felhasználni és semmilyen módon kezelni sem, és nem jogosult az adatkezelés célját és eszközeit meghatározni, erre csak Adatkezelő jogosult.

5.3      Amennyiben az Adatfeldolgozó ezen kötelezettségét megszegi, adatkezelőnek minősül és önállóan felel az érintettekkel szemben

5.4      Adatfeldolgozó a jelen irányelv hatálya alatt semmilyen olyan cselekményre nem jogosult, amely bármely módon vagy mértékben akadályozza vagy gátolja Adatkezelőt a személyes adatok védelméről szóló mindig hatályos jogszabályok szerinti adatkezelői kötelezettségeinek teljesítésében, illetve az érintettet a jogai gyakorlásában vagy amely sérti a személyes adatok védelmére vonatkozó mindenkor hatályos szabályokat.

5.5      Az utasításai jogszerűségéért az Adatkezelőt terheli felelősség, ugyanakkor az Adatfeldolgozó köteles haladéktalanul – a szükséges részletezettségű indokolás mellett ‑ jelezni az Adatkezelőnek, amennyiben az Adatkezelő utasítása vagy annak végrehajtása jogszabályba ütközne.

6.      Nyilatkozat tételi jog

Adatfeldolgozó az érintett személyek felé önállóan a saját nevében nem járhat el, nyilatkozatot nem tehet, valamennyi nyilatkozat megtételére az Adatkezelő jogosult, kivéve, ha az elsődleges szerződés másként nem kötelezi Adatfeldolgozót.

7.      Ellenőrzés, audit

7.1      Az Adatkezelő bármikor jogosult ellenőrizni az Adatfeldolgozónál jelen dokumentum szerinti tevékenység végrehajtását abból a szempontból, hogy az Adatfeldolgozó a tevékenysége során megfelel-e a jogszabályban, jelen dokumentumban rögzített rendelkezéseknek, valamint az Adatkezelő írásbeli utasításaiban foglaltaknak. Az Adatfeldolgozó vállalja, hogy az Adatkezelő rendelkezésére bocsát minden olyan, számára rendelkezésre álló információt, amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

7.2      A vizsgálatról az Adatkezelő az Adatfeldolgozót, illetve a további adatfeldolgozót a vizsgálatot megelőzően ésszerű időn belül írásban értesíti. Az Adatfeldolgozó, illetve a további adatfeldolgozó köteles együttműködni az Adatkezelővel a vizsgálat során. A vizsgálat során az Adatkezelő vagy az általa megbízott harmadik fél Adatfeldolgozó jelen dokumentummal összefüggésben végzett adatkezeléssel érintett helyiségeibe beléphet, az adatkezelésre vonatkozó dokumentumokat, szabályzatokat, nyilvántartásokat és az informatikai rendszereket ellenőrizheti az Adatfeldolgozó vagy az Adatfeldolgozó képviselője jelenlétében. A vizsgálatról készített jelentés megállapításairól az Adatkezelő tájékoztatja az Adatfeldolgozót. Az Adatfeldolgozó a jelentés megállapításaira azok közlésétől számított öt munkanapon belül észrevételt tehet, a vizsgálat során megállapított megteendő intézkedések elvégzésére vonatkozóan azok közlésétől számított ésszerű időn belül tájékoztatást köteles adni.

7.3      A vizsgálat költségét az Adatkezelő viseli, kivéve, ha a vizsgálat során megállapítást nyer, hogy az Adatfeldolgozó, illetve a további adatfeldolgozó mulasztásából eredően további vizsgálat elvégzése szükséges, vagy ha a vizsgálat megállapításai alapján valamilyen jogszabályi vagy szerződésben vállalt kötelezettségnek való megfeleléshez az Adatfeldolgozó részéről további intézkedésre van szükség.

7.4      Az Adatkezelő és az általa megbízott harmadik fél az Adatfeldolgozóra vonatkozó, a vizsgálat során a tudomására jutott üzleti titkot bizalmasan, a jelen irányelv és az elsődleges szerződés titokvédelmi rendelkezéseinek megfelelően kezeli.

8.      Titoktartási kötelezettség

8.1      Adatfeldolgozó köteles biztosítani, hogy a jelen irányelv szerinti adatfeldolgozási feladatai teljesítése során a személyes adatokhoz hozzáférni vagy azokat feldolgozni jogosult, a nevében eljáró személyek titoktartási kötelezettséget vállaljanak, továbbá azt, hogy ezek a személyek kizárólag az Adatkezelő utasításai szerint dolgozzák fel (kezeljék) az adatokat.

8.2      Adatfeldolgozó vállalja, hogy a jelen irányelvsel kapcsolatban vagy annak teljesítése során akár közvetlenül, akár közvetetten, bármilyen formában tudomására jutott valamennyi információt titokban tartja.

8.3      A titoktartási kötelezettség kiterjed a jelen irányelv 20. pontjában meghatározott személyes adatokra is.

8.4      Az Adatfeldolgozó az Adatkezelő erre irányuló írásbeli utasítása nélkül a jelen irányelv kiegészítés alapján kezelt személyes adatokat nem módosíthatja, semmilyen módon nem változtathatja meg, nem hozhatja nyilvánosságra, nem teheti hozzáférhetővé, és nem adhatja át, illetve nem közölheti semmilyen formában, semmilyen célból harmadik személlyel.

8.5      Az Adatfeldolgozó az általa a jelen irányelv kiegészítés alapján kezelt személyes adatokat csak olyan kijelölt személyzeti, alkalmazotti körnek, továbbá a teljesítésben közreműködő harmadik személyeknek és csak olyan mértékben adhatja át, akik jogosultak a személyes adatok megismerésére és amely esetében feltétlenül szükséges a személyes adatok megismerése a jelen irányelv teljesítéséhez.

8.6      Az Adatfeldolgozó harmadik személyek felé – ide nem értve a teljesítésben közreműködő harmadik személyeket – csak akkor és olyan mértékben közölheti az Információt, amikor és amilyen mértékben erre jogszabály vagy bíróság jogerős döntésben őt kötelezi vagy az Adatkezelő erre írásbeli utasítást ad.

8.7      Az Adatfeldolgozó köteles az Adatkezelőt haladéktalanul, de legkésőbb a tudomásszerzéstől számított 48 órán belül értesíteni, amennyiben bármely általa jelen irányelv alapján kezelt személyes adat jogosulatlan felhasználásáról, közléséről vagy terjesztéséről, illetve arról szerez tudomást, hogy illetéktelen harmadik személy részére a személyes adatot jogosulatlanul közölték. Az Adatfeldolgozó köteles minden ésszerű módon együttműködni a jogosulatlan felhasználás és terjesztés megakadályozásában.

8.8      A titoktartási kötelezettség kiterjed az Adatfeldolgozó által foglalkoztatott munkavállalókra, az Adatfeldolgozóval a jelen irányelv teljesítéséhez igénybe vett, az Adatfeldolgozóval megbízási, vállalkozási, munkavégzésre irányuló egyéb, vagy bármely más polgári jogi jogviszonyban álló személyekre és az Adatfeldolgozó vezető tisztségviselőire is.

8.9      Adatfeldolgozót a jelen irányelv szerinti titoktartási kötelezettség az elsődleges szerződés megszüntetését követően is korlátlan mértékben és ideig terheli.

9.      Adatbiztonság biztosítása

9.1      Adatfeldolgozó kötelezettséget vállal arra, hogy a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket alkalmaz az adatfeldolgozói tevékenységének teljes terjedelmére kiterjedően, valamint hogy ezen intézkedésekkel a lehető legteljesebb mértékben segíti az Adatkezelőt abban, hogy teljesíteni tudja a kezelt adatok érintettjei felé fennálló, az érintettek önrendelkezési jogainak gyakorlásához kapcsolódó kötelezettségeit.

9.2      Az Adatfeldolgozó az adatokat megfelelő intézkedésekkel védeni köteles különösen a jogosulatlan vagy jogsértő hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, elvesztés, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés, megváltoztatás és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

9.3      Az Adatfeldolgozó köteles az adatokat a mindenkori legjobb iparági gyakorlatnak, a GDPR-nak, a hatályos magyar jogszabályoknak, a jelen irányelvnek és a bármely egyéb adatvédelmi, adatbiztonsági jogszabálynak megfelelő adatbiztonsági szint alkalmazásával kezelni.

9.4      Részben vagy egészben az Adatfeldolgozó érdekkörében felmerülő okból történő adatvesztés esetén az Adatfeldolgozó köteles díjmentesen az adatokat visszaállítani. Amennyiben az adatvesztés kizárólag az Adatkezelőnek felróható okból következett be, úgy az Adatfeldolgozó az adatok visszaállításáért díjat számíthat fel a nála ezzel kapcsolatban felmerült igazolt költség erejéig.

9.5      Adatfeldolgozó köteles továbbá Adatkezelőnek segíteni az adatbiztonsági kötelezettségek teljesítését és köteles az ehhez szükséges, az Adatfeldolgozó rendelkezésére álló információkat Adatkezelővel 5 munkanapon belül írásban – beleértve az elektronikus levelet is – közölni.

9.6      Az Adatfeldolgozó az általa alkalmazott adatbiztonsági intézkedésekről az Adatkezelőt a jelen irányelv 1.sz. mellékletében tájékoztatja, amely a jelen irányelv elválaszthatatlan részét képezi.

10.   Közreműködés az érintetti jogok gyakorlásában

10.1    Adatfeldolgozó a személyes adatok tekintetében külön díjazás nélkül köteles biztosítani Adatkezelőnek a mindenkor hatályos adatvédelmi szabályok szerinti érintetti jogok gyakorlását (például korlátozás, helyesbítés, hozzáférés, törlés, adathordozhatóság, stb.), és köteles Adatkezelőnek megfelelő szervezési és technikai intézkedésekkel segítséget nyújtani az érintettek jogai gyakorlásához kapcsolódó kérelmek megválaszolásában. Adatfeldolgozó az Adatkezelő által közölt érintetti kéréseknek és az Adatkezelő ezzel kapcsolatos kérdéseinek, kéréseinek legfeljebb 3 munkanapon belül köteles eleget tenni és késedelem nélkül köteles együttműködni Adatkezelővel az érintetti kérések megválaszolása tekintetében.

10.2    Amennyiben az Adatkezelő az adatok, törlését, megsemmisítését, az adatkezelés korlátozását, az adatok hordozását írásban elrendeli, köteles az Adatfeldolgozó haladéktalanul, de legkésőbb 3 munkanapon belül az Adatkezelő kérésének megfelelően azt elvégezni, és köteles az Adatkezelő ezen utasításait az igénybe vett további adatfeldolgozókkal is végrehajtatni, és ezekről az utasításokról a további adatfeldolgozókat is tájékoztatni.

10.3    Az adatkezeléssel kapcsolatban az érintettektől érkező kérelmeket vagy bármely hatóságtól az Adatfeldolgozóhoz érkezett megkereséseket az Adatfeldolgozó köteles a beérkezéstől számított azonnal, de legfeljebb 2 munkanapon belül továbbítani az Adatkezelő részére. Az Adatkezelő válaszának előkészítéshez az Adatfeldolgozó – az Adatkezelő kérésére és az általa megszabott határidőn belül – köteles a szükséges információt és támogatást megadni. Az Adatfeldolgozó együttműködik az Adatkezelővel a hatósági megkeresésekkel kapcsolatos intézkedések végrehajtásában.

11.   Az Adatfeldolgozó kötelezettségei az adatvédelmi incidensekkel kapcsolatban

11.1    Az Adatfeldolgozó külön díjazás nélkül köteles az Adatkezelőt segíteni adatvédelmi incidens esetén az incidens kezeléssel kapcsolatos adatkezelői kötelezettségei teljesítésében, amennyiben az adatvédelmi incidens részben vagy egészben az Adatfeldolgozó érdekkörébe tartozó körülményeket is érint, egyéb esetben pedig az ezzel kapcsolatos tevékenységét a jelen dokumentum rendelkezéseinek megfelelően jogosult elszámolni.

11.2    Az Adatfeldolgozó a nála bekövetkezett adatvédelmi incidens esetén köteles az Adatkezelőnek haladéktalanul, de legkésőbb a tudomásszerzésétől számított 48 órán belül bejelenteni az adatvédelmi incidenst, és köteles Adatkezelővel közölni egyidejűleg az adatvédelmi incidens jellegét, az azzal érintett személyek kategóriáit és számát, az incidenssel érintett adatok kategóriáit és számát, ha van, akkor az adatvédelmi tisztviselője nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket, az Adatfeldolgozó által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve az incidensből eredő esetleges hátrányos következmények enyhítésére tett intézkedéseket is.

12.   Az Adatfeldolgozó kötelezettségei az adatvédelmi hatásvizsgálattal kapcsolatban

12.1    Az Adatfeldolgozó köteles az Adatkezelőnél esetlegesen elvégzendő adatvédelmi hatásvizsgálatban az Adatkezelőnek segítséget nyújtani és köteles az ehhez szükséges, az Adatfeldolgozó rendelkezésére álló információkat Adatkezelővel 3 munkanapon belül írásban – beleértve az elektronikus levelet is – közölni. Az Adatfeldolgozó ezen kötelezettsége körében köteles az Adatkezelő erre irányuló kérésére az Adatfeldolgozó által végzett adatkezelés hatásainak értékeléséhez szükséges információkat a fenti határidőben és módon Adatkezelővel közölni.

12.2    Amennyiben a hatásvizsgálat az Adatfeldolgozó által végzett adatfeldolgozási tevékenységet is érinti, úgy ezen kötelezettségeit az Adatfeldolgozó külön díjazás nélkül köteles elvégezni, más esetben pedig az ezzel kapcsolatos tevékenységét a jelen dokumentum rendelkezéseinek megfelelően jogosult elszámolni.

13.   Az Adatfeldolgozó kötelezettségei az előzetes konzultációval kapcsolatban

Az Adatfeldolgozó köteles segíteni az Adatkezelőnek az adatvédelmi felügyeleti hatósággal történő esetleges konzultációban is, és köteles az ehhez szükséges, az Adatfeldolgozó rendelkezésére álló információkat Adatkezelővel 3 munkanapon belül írásban – beleértve az elektronikus levelet is – közölni. Amennyiben a konzultáció az Adatfeldolgozó által végzett adatfeldolgozási tevékenységet is érinti, úgy ezen kötelezettségeit az Adatfeldolgozó külön díjazás nélkül köteles elvégezni, más esetben pedig az ezzel kapcsolatos tevékenységét a jelen dokumentum rendelkezéseinek megfelelően jogosult elszámolni.

14.   Az Adatfeldolgozó kötelezettségei adatvédelmi audittal és helyszíni vizsgálatokkal kapcsolatban

Az Adatfeldolgozó külön díjazás nélkül köteles az Adatkezelő rendelkezésére bocsátani az erre irányuló kérés kézhezvételétől számított 3 munkanapon belül minden olyan információt, amely a GDPR adatfeldolgozókra vonatkozó kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

15.   Adatkezelés harmadik országban

Az Adatfeldolgozó a jelen irányelv alapján kezelt személyes adatokat kizárólag az Adatkezelő előzetes írásbeli hozzájárulásával továbbíthatja az Európai Unió területén kívülre, vagy engedhet az ilyen személyes adatokhoz az Európai Unió területén kívül tartózkodó személy részére hozzáférést.

16.   Az Adatfeldolgozó kötelezettségei az elsődleges szerződés, illetve az adatfeldolgozás megszűnésekor

16.1    Az Adatfeldolgozó kötelezettséget vállal arra, hogy a jelen irányelv szerint végzett adatkezelési szolgáltatás nyújtásának befejezésekor, vagy a jelen irányelv megszűnésekor minden, a jelen irányelv alapján általa feldolgozott személyes adatot haladéktalanul, de legkésőbb 3 munkanapon belül az Adatkezelő által meghatározott módon és hordozón átad az Adatkezelőnek, és egyidejűleg valamennyi általa kezelt adatot töröl, az Adatkezelő tulajdonát képező fizikai hordozók esetében pedig a fizikai adathordozókat visszajuttatja az Adatkezelőnek, és törli a nála meglévő másolatokat ezzel egyidejűleg.

16.2    Adatfeldolgozó törlési kötelezettsége nem vonatkozik azon adatokra, melyeknek tárolását magyar vagy európai uniós jogszabály előírja, valamint azokra sem, amelyeket az Adatfeldolgozó adatkezelői minőségében kezel. Adatfeldolgozó az adatok törléséről, illetve megsemmisítéséről írásbeli, két tanúval hitelesített jegyzőkönyvet köteles felvenni, és azt Adatkezelőnek egy eredeti példányban átadni, a törlési, megsemmisítési műveleteknél pedig köteles lehetővé tenni Adatkezelő jelenlétét, ha ezt Adatkezelő kéri. Ennek érdekében a törlési, megsemmisítési időpontról az Adatfeldolgozó köteles az Adatkezelőt előzetesen tájékoztatni.

17.   Az Adatfeldolgozó nyilvántartás vezetési kötelezettsége

Adatfeldolgozó tudomásul veszi és vállalja, hogy a GDPR 30. cikkének értelmében a felelősségi körébe tartozóan végzett, valamennyi adatkezelési tevékenységről nyilvántartás vezetésére köteles a GDPR 30. cikk (1) a)-g) pontokban foglalt kritériumok maradéktalan és teljes körű megtartásával. Adatfeldolgozó kijelenti, hogy tudomása van arról, hogy a vonatkozó jogszabályok értelmében a nyilvántartás-vezetési kötelezettségével kapcsolatos, bárminemű esetleges mulasztásaiért vagy kötelezettségszegéseiért egyedül viseli a felelősséget.

18.   Az Adatfeldolgozó adatvédelmi tisztviselője

Adatfeldolgozó tudomásul veszi és vállalja, hogy amennyiben az a GDPR és a hatályos magyar jogszabályok alapján részéről adatvédelmi tisztviselő kijelölése kötelező, ezen kötelezettségének eleget tesz, és az adatvédelmi tisztviselő nevéről és elérhetőségéről, valamint személyében, illetve adataiban bekövetkezett változásról 3 munkanapon belül az Adatkezelőt értesíti.

19.   Az Adatfeldolgozó felelőssége

Az Adatfeldolgozó tudomásul veszi és kifejezetten elfogadja, hogy a saját adatfeldolgozói tevékenységéért, valamint az általa igénybe vett további adatfeldolgozók tevékenységéért korlátlan felelősséggel tartozik. A Felek megállapodnak, hogy az elsődleges szerződés kártérítési vagy egyéb felelősség korlátozására, kizárására vonatkozó rendelkezései nem alkalmazandók az adatfeldolgozói tevékenységért való felelősségre.

Az Adatfeldolgozó jelen irányelvben vállalt bármely kötelezettsége elmulasztásából eredő valamennyi kárért felelősséggel tartozik.

20.   Kapcsolattartás

20.1    Felek megállapodnak abban, hogy a jelen dokumentumban foglaltak teljesítésével kapcsolatos kapcsolattartásra, nyilatkozattételre, közlések elfogadására az elsődleges szerződés szerint járnak el.

20.2    A felek rögzítik, hogy az elsődleges szerződés megkötése és teljesítése során – jogi személy, illetve jogi személyiséggel nem rendelkező társaság – szerződő fél esetén a képviselő(k), illetve a kapcsolattartóként megjelölt személyek, valamint a szerződés teljesítése során közreműködő természetes személyek (munkavállalók, megbízottak stb.) személyes adatainak kezelésére is sor kerül, mely adatkezelés jogalapja a szerződő felek jogos érdeke (GDPR 6. cikk (1) bekezdés f) pontja).

20.3    Az együttműködés során személyes adatokat csak és kizárólag a az elsődleges szerződés és a jelen irányelvben megfogalmazott feladatok teljesítéséhez szükséges mértékben kezelnek a másik fél képviselőiről, munkavállalóiról, közreműködőiről, illetve teljesítési segédjeiről. Ezeket az adatokat bizalmasan kezelik, és csak azon munkavállalóik, közreműködőik, illetve teljesítési segédjeik részére biztosítanak ezekhez hozzáférést, akik részére ez indokolt és szükséges. Harmadik fél részére egyebekben ezeket az adatokat nem adják át, nem hozzák nyilvánosságra és nem teszik hozzáférhetővé. Felek vállalják, hogy megtesznek minden olyan szükséges lépést, ideértve a megfelelő hozzájáruló nyilatkozatok beszerzését is, amely a személyes adatok jogszerű kezelése érdekében szükséges lehet.

[1] az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (GDPR)

[2] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)