1.1.

A megállapodás fő szövege mellett a jelen Adatfeldolgozási Szerződés a következő dokumentumokat tartalmazza:

1. sz. melléklet: Az adatfeldolgozásra vonatkozó utasítások

2. sz. melléklet: Minimális biztonsági intézkedések

3. sz. melléklet: Az adatáramlást bemutató folyamatábra (adott esetben)

1.2.

Abban az esetben, ha a jelen Adatfeldolgozási Szerződés bármely rendelkezése ellentmondásban állna a Szolgáltatási Szerződés bármely feltételével, a jelen Adatfeldolgozási Szerződés az irányadó. Az e szerződésben nem értelmezett nagybetűs kifejezések (ha vannak) a Szolgáltatási Szerződésben foglalt jelentéssel bírnak.

2.1.

A jelen Adatfeldolgozási Szerződés alkalmazásában az alábbi kifejezések jelentése a következő:

3.1.

A jelen Adatfeldolgozási Szerződés a Személyes Adatok Adatfeldolgozó által az Adatkezelő részére végzett feldolgozását szabályozza a Szolgáltatási Szerződés szerinti Szolgáltatások teljesítése érdekében. Az Adatfeldolgozó a Személyes Adatokat kizárólag a Jóváhagyott Cél érdekében és a vonatkozó jogszabályoknak, a jelen Adatfeldolgozási Szerződésnek és a Szolgáltatási Szerződésnek megfelelően köteles feldolgozni. Az Adatfeldolgozó köteles haladéktalanul tájékoztatni az Adatkezelőt, ha valamely utasítás a véleménye szerint sérti a vonatkozó jogszabályokat.

3.2.

A Személyes Adatok feletti formális ellenőrzés és az azokhoz fűződő minden tulajdon- és egyéb jog az Adatkezelőnél marad. Az Adatfeldolgozó a Személyes Adatok kapcsán semmilyen jogot nem szerez, eltekintve a Személyes Adatoknak a Jóváhagyott Cél érdekében történő feldolgozására vonatkozó nem kizárólagos, visszavonható és időben korlátozott jogtól.

3.3.

Az adatáramlások áttekintését a 3. sz. melléklet rögzíti (adott esetben).

4.1.

Az Adatfeldolgozó a Személyes Adatokat kizárólag a Jóváhagyott Cél érdekében dolgozhatja fel. A Személyes Adatok bármely egyéb célra történő bármilyen egyéb feldolgozása szigorúan tilos, így a jelen Adatfeldolgozási Szerződés és a Szolgáltatási Szerződés súlyos megszegésének tekintendő.

5.1.

A Személyes Adatok feldolgozása kizárólag az Adatkezelő, az Adatfeldolgozó és a Jóváhagyott Alvállalkozók által felügyelt, a Jóváhagyott Területen található technológiai környezetekben történhet.

5.2.

Ha a Személyes Adatokat távoli helyszínről érik el, az a Személyes Adatok ilyen helyszínre történő továbbításának tekintendő. A Személyes adatok elérése a Jóváhagyott Területen kívülről tilos.

6.1.

6.1 Az Adatfeldolgozó indokolatlan késedelem nélkül köteles segítséget nyújtani az Adatkezelőnek, valamint biztosítani, hogy az Adatfeldolgozó Alvállalkozója segítséget nyújtson az Adatkezelőnek abban, hogy az Érintetteknek és a nemzeti szabályozó hatóságoknak az Adatfeldolgozó és az Adatfeldolgozó Alvállalkozója által az Adatkezelő részére végzett feldolgozási tevékenységekkel összefüggésben választ adjon vagy információkat szolgáltasson. Az Adatfeldolgozó az Adatkezelő által indokolt keretek között igényelt ilyen információkat és segítséget annak érdekében köteles biztosítani, hogy az Adatkezelő eleget tudjon tenni a vonatkozó jogszabályoknak és azilletékes hatóságok felszólításainak. Az Adatfeldolgozó köteles különösen:

a, a pontatlan Személyes adatokat kijavítani vagy törölni;

b, az Adatfeldolgozó vagy bármely Adatfeldolgozó Alvállalkozó birtokában lévő vagy felügyelete alatt álló, bármilyen formájú adat-visszakeresési vagy tárolási létesítményben tárolt Személyes adatokról másolatot kiadni;

c, a Személyes adatok feldolgozásáról tájékoztatást adni;

d, segítséget nyújtani bármely Érintett által vagy nevében történő bármilyen igénylés vagy felszólítás, valamint bármely előre látható igénylés vagy felszólítás tekintetében, amely Személyes adatokra vonatkozik; és

e, szükség szerint egyebekben is indokolt segítséget nyújtani az Adatkezelőnek, hogy az Adatkezelő eleget tudjon tenni jogszabályi kötelezettségeinek.

7.1

Az Adatfeldolgozó kizárólag olyan alvállalkozót vehet igénybe, amely a részére történő, jelen Adatfeldolgozási Szerződés szerinti feladatok elvégzésére Jóváhagyott Alvállalkozó. Az Adatfeldolgozó köteles gondoskodni arról, hogy a Személyes Adatok Jóváhagyott Alvállalkozó által végzett bármilyen feldolgozása eleget tegyen a jelen Adatfeldolgozási Szerződésben rögzített valamennyi követelménynek. Ideértendő az is, hogy a Jóváhagyott Alvállalkozó által alkalmazott biztonsági intézkedéseknek legalább az Adatfeldolgozó számára a jelen Adatfeldolgozási Szerződés szerint előírt védettségi szinttel egyenértékű védettséget kell biztosítania. Az Adatkezelő felhívása esetén az Adatfeldolgozó indokolatlan késedelem nélkül köteles bemutatni bármely Jóváhagyott Alvállalkozó biztonságértékelését.

7.2

Az Adatfeldolgozó köteles biztosítani, hogy az Adatfeldolgozó és a Jóváhagyott Alvállalkozók között adatfeldolgozási megállapodás jöjjön létre, mielőtt az adott Jóváhagyott Alvállalkozó megkezdene bármilyen Személyes Adat feldolgozását. Az adatfeldolgozási megállapodás(ok) biztosítja/biztosítják, hogy legalább olyan szigorú, valamint az Adatkezelőnek és az Adatfeldolgozónak legalább azokkal az előírásokkal egyenértékű védettséget nyújtó előírások vonatkozzanak az ilyen Jóváhagyott Alvállalkozókra, mint amelyeket a jelen Adatfeldolgozási Szerződés és a feldolgozási tevékenységeivel kapcsolatos vonatkozó jogszabályok az Adatfeldolgozóra rónak.

7.3

A jelen Adatfeldolgozási Szerződés alkalmazásában az alvállalkozók (legyenek akár Jóváhagyott Alvállalkozók, akár nem) bármely esetleges, az Adatkezelőre vagy valamely Érintettre kiható intézkedéséért vagy mulasztásáért kizárólag az Adatfeldolgozó tartozik felelősséggel.

7.4

Az Adatkezelő saját kizárólagos hatáskörében visszavonhat bármilyen jóváhagyást, amely valamely konkrét alvállalkozó igénybevételével kapcsolatos. Ilyen esetben az Adatkezelő a visszavonás mögött húzódó okot feltáró magyarázatot szolgáltat az Adatfeldolgozó részére. Annyiban, amennyiben a visszavonás megakadályozza az Adatfeldolgozót a Szolgáltatás teljesítésében, a felek jóhiszemű tárgyalásokat folytatnak a Szolgáltatás további biztosítását célzó alternatív megoldások és/vagy alvállalkozók tárgyában.

8.1

Ha a Személyes Adatoknak a Jóváhagyott Területeken zajló feldolgozása nem a/ az Európai Gazdasági Térségben vagy b/ olyan területen történik, amelyet az Európai Bizottság megfelelő védettséget biztosító területként jelölt meg az 1995. évi Adatvédelmi Irányelv, illetve adott esetben az Általános Adatvédelmi Rendelet (vagy az annak helyébe lépő jogi aktus) értelmében, úgy a Személyes Adatok feldolgozását a Személyes Adatok harmadik országokba továbbításáról szóló vonatkozó Uniós mintaszerződéseknek megfelelően kell végezni (Uniós mintaszerződések).[1] Ha az Adatkezelő a fenti a. vagy b. pontokban foglaltaktól eltérő országokba engedélyez adatátadást, vagy a fenti a. vagy b. pontokban foglaltaktól eltérő országból bármilyen hozzáférést enged a Személyes Adatokhoz, a Felek bármely ilyen adatátadás vagy hozzáférés előtt kötelesek vállalni az Uniós mintafeltételeket, továbbá ha az ilyen átadás Személyes Adatok átadásával jár az Adatfeldolgozó Alvállalkozója részére, az Adatfeldolgozó köteles gondoskodni arról, hogy az Uniós mintafeltételek kikötéseit az ilyen Adatfeldolgozó Alvállalkozóra is kiterjesszék azáltal, hogy az ilyen Adatfeldolgozó Alvállalkozó részére előírja az Uniós mintafeltételek kikötéseinek vállalását az Uniós mintafeltételekben „adatexportőrként” szereplő Adatkezelővel szemben, mielőtt az említett adatátadás vagy hozzáférés megtörténne.

8.2

Az Adatkezelő ezúton felhatalmazza az Adatfeldolgozót arra, hogy az Adatkezelő nevében megkösse az Uniós mintafeltételekkel kapcsolatos szerződéseket bármely releváns Jóváhagyott Alvállalkozóval a fenti célból és bármely vonatkozó Jóváhagyott Terület tekintetében.

8.3

Ha az Adatkezelőt felszólítják az aláírt Uniós mintafeltételekről készített másolat helyi adatvédelmi hatóságnak történő benyújtására, a benyújtás érdekében az Adatfeldolgozó átadja az Adatkezelőnek az aláírt szerződés másolatát.

8.4

A kétségek kizárása érdekében a követelmény, miszerint biztosítani kell, hogy a Jóváhagyott Alvállalkozók a jelen 8 pont szerint előírt esetekben az Uniós mintafeltételek használatával kössenek adatfeldolgozási megállapodást, nem mentesíti az Adatfeldolgozót a 7 pontban rögzített kötelezettségei alól, ideértve annak biztosítását is, hogy a releváns Jóváhagyott Alvállalkozó által bevezetett biztonsági intézkedéseknek legalább az Adatfeldolgozó számára a jelen Adatfeldolgozási Szerződésben előírt követelményekkel egyenértékű védettséget kell nyújtaniuk az Adatkezelő és az Érintettek számára.

8.5

Annyiban, amennyiben az Adatfeldolgozó olyan törvények és jogszabályok hatálya alatt van, amelyek előírják az Adatfeldolgozónak a Személyes Adatok Európai Gazdasági Térségen kívülre továbbítását, az Adatfeldolgozó köteles a továbbítást (ideértve a távoli hozzáférés esetét is) megelőzően tájékoztatni az Adatkezelőt az adott jogszabályi előírásról és beszerezni az Adatkezelő hozzájárulását a továbbításhoz.

9.1

Az Adatfeldolgozó köteles a jelen Adatfeldolgozási Szerződés szerinti kötelezettségeit és intézkedéseit a teljes elvárható szakértelemmel, odafigyeléssel és gondossággal teljesíteni.

9.2

Az Adatfeldolgozó megfelelő műszaki és szervezeti biztonsági és intézkedéseket köteles alkalmazni a Személyes Adatok bármely illetéktelen vagy jogellenes feldolgozásából, elvesztéséből, megsemmisüléséből, sérüléséből, megváltoztatásából vagy nyilvánosságra kerüléséből származó esetleges károk megelőzése érdekében, figyelemmel a megóvandó Személyes Adatok jellegére is. A biztonsági szintnek legalább a 2. sz. mellékletben foglalt biztonsági intézkedéseknek meg kell felelnie.

9.3

Az Adatfeldolgozó köteles dokumentálni a 2. sz. mellékletben rögzített követelmények teljesítése érdekében általa alkalmazott műszaki biztonsági és szervezetbiztonsági intézkedéseket. A dokumentációt igény esetén az Adatkezelő rendelkezésére kell bocsátani.

9.4

Amennyiben az Adatfeldolgozó tudomást szerez arról, hogy akár a saját, akár valamely Jóváhagyott Alvállalkozójának szervezete nem felel meg a 2. sz. mellékletben foglalt biztonsági intézkedéseknek, az adott meg nem felelést az Adatvédelmi Incidensek vonatkozásában a 12 pontban rögzített eljárás szerint köteles bejelenteni az Adatkezelőnek.

10.1.

Az Adatfeldolgozó köteles biztosítani, hogy maga és munkavállalói egyaránt titokban tartsanak minden Személyes Adatot, valamint azt, hogy a Személyes Adatokhoz az Adatfeldolgozó munkavállalói kizárólag a munkavégzésükhöz szükséges mértékben férhessenek hozzá. Az Adatfeldolgozó különösen köteles gondoskodni arról, hogy a Személyes Adatok feldolgozásában érintett összes munkatársa kellő oktatásban és vizsgáztatásban részesüljön a Személyes adatok kezelése tekintetében.

10.2.

A Személyes Adatokat az Adatkezelő és/vagy az Érintett tulajdonát képező bizalmas információnak kell tekinteni, amelyre a jelen Adatfeldolgozási Szerződés feltételei mellett a felek által a Szolgáltatási Szerződésben vagy egyéb helyen elfogadott, a titoktartásra vonatkozó kötelezettségvállalásoknak megfelelő bizalmas kezelési előírások vonatkoznak.

11.1.

Az Adatfeldolgozó köteles megőrizni a jelen megállapodásban foglalt kötelezettségeknek való megfelelőség igazolásához szükséges összes információt, ideértve bármely releváns adatvédelmi hatásvizsgálatot, valamint az Adatfeldolgozó számvitele szerinti, Személyes Adatok feldolgozásával és mindazon technológiai rendszerével (rendszereivel) kapcsolatos részletes, pontos, naprakész nyilvántartást vezetni (Nyilvántartás), amelyek segítségével a Személyes adatokat fogadja vagy szolgáltatja (Rendszerek), továbbá köteles ezeket az információkat igény esetén bármikor az Adatkezelő rendelkezésére bocsátani.

11.2.

Az Adatkezelő jogosult az Adatfeldolgozó jelen Adatfeldolgozási Szerződésnek való megfelelőségét évente legfeljebb 1 alkalommal saját költségén ellenőrizni.

12.1.

Ha az Adatfeldolgozó tudomást szerez bármilyen adatvédelmi incidensről, úgy az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb 24 órán belül köteles értesíteni az Adatkezelőt, és teljeskörűen együttműködni a probléma ésszerű keretek közötti lehető leggyorsabb orvoslásában. Az értesítésnek az alábbi információkat kell tartalmaznia (ha azok rendelkezésre állnak):

–        azadatvédelmi incidens ismertetése, ideértve az abban érintett Érintettek kategóriáit és számát; azadatvédelmi incidenshez vezető esemény összefoglalását; az adott esemény napját és időpontját; az érintett adatrekordok kategóriáit és darabszámát; az érintett Személyes Adatok jellegét és tartalmát, valamint az adatvédelmi incidens természetbeni helyszínét és az érintett adathordozókat;

–        azadatvédelmi incidens körülményeinek ismertetése (pl. elvesztés, lopás, másolás);

–        azadatvédelmi incidens által okozott káros hatások mérséklése érdekében ajánlott intézkedések ismertetése;

–        mindazon valószínűsíthető következmények és potenciális kockázatok ismertetése, amelyeket azadatvédelmi incidens okozhat az Érintett(ek)nek;

–        az adott esetnek megfelelően az Adatfeldolgozó és/vagy a Jóváhagyott Alvállalkozó által azadatvédelmi incidens kezelése érdekében javasolt vagy foganatosított intézkedések ismertetése;

–        azadatvédelmi incidens vagy annak mérséklése kapcsán esetleg releváns bármilyen további információ ismertetése, különösen olyan információké, amelyeket az Adatkezelő korábban releváns információként jelölt meg; és

12.2.

Az értesítést e-mailben, az Adatkezelő 1. sz. mellékletben azonosított Műszaki Kapcsolattartójának meg kell küldeni). Az Adatfeldolgozó Műszaki Kapcsolattartójának rendelkezésre kell állnia gyors segítségnyújtás céljából és azért, hogy meg tudjon válaszolni az Adatkezelő részéről felvetődő bármilyen utólagos kérdést.

12.3.

Azadatvédelmi incidens természetétől függően az Adatkezelőt jelentéstételi kötelezettség terhelheti a letelepedése szerinti ország adatvédelmi hatósága felé. Az Adatfeldolgozó tehát az Adatkezelő felhívására köteles átadni az Adatkezelő által ésszerű keretek között bekért bármely egyéb információt annak érdekében, hogy az eleget tudjon tenni a vonatkozó adatvédelmi szabályzatnak és/vagy az adatvédelmi hatóság adatkéréseinek. Az Adatfeldolgozó nem jogosult bejelentést tenni egyetlen adatvédelmi hatóság felé sem, kivéve, ha ezt a vonatkozó jogszabály kifejezetten előírja, vagy ha ezt az Adatkezelő jóváhagyásával vagy utasítására teszi.

13.1.

Az Adatfeldolgozó köteles:

a, indokolatlan késedelem nélkül, írásban értesíteni az Adatkezelőt a Szolgáltatások Adatfeldolgozó által végzett nyújtása műszaki, szervezeti vagy pénzügyi szempontjainak bármely tervezett megváltoztatásáról, valamint az Adatfeldolgozó vagy az Alvállalkozói szervezetét érintő olyan változásokról, amelyek hátrányosan befolyásolhatják az Adatfeldolgozó vagy Alvállalkozói képességét vagy hajlandóságát arra, hogy a Személyes Adatok feldolgozását az Adatkezelő utasításai vagy a jelen Adatfeldolgozási Szerződésben foglalt követelmények szerint végezze;

b, 5 (öt) naptári napon belül, írásban értesíteni az Adatkezelőt, ha (1) valamely Érintettől az illető Személyes Adataiba történő betekintésre vonatkozó kérelmet; vagy (2) az Adatkezelő és/vagy ügyfele vonatkozó adatvédelmi jogszabályok szerinti kötelezettségeivel kapcsolatos kifogást vagy igénylést vesz át. Az Adatfeldolgozó semmit nem ismerhet el, illetve nem foganatosíthat olyan intézkedést, amely hátrányosan befolyásolhatja a bármely ilyen kifogással szembeni védekezést vagy annak rendezését, és köteles az Adatkezelőnek megadni minden ésszerű segítséget, amelyre az ilyen kifogással kapcsolatban szüksége lehet;

c, indokolatlan késedelem nélkül értesíteni az Adatkezelőt, ha bármely adatvédelmi hatóság vagy egyéb kormányzati szerv arra szólítja fel az Adatfeldolgozót vagy bármely Alvállalkozóját, hogy az adatvédelmi hatóság vagy egyéb vonatkozó kormányzati szerv részére kötelezően hozzáférést biztosítson Személyes Adatokhoz. Az ilyen értesítést lehetőség szerint és a vonatkozó jogszabályokban megengedett mértékben az Adatfeldolgozó által teljesített bármilyen adatszolgáltatás előtt kell megtenni.

13.2.

Ha az Adatfeldolgozót bármilyen jogszabály vagy előírás, illetve kormányszerv vagy szabályozó hatóság arra kötelezi vagy hívja fel, hogy őrizzen meg bármely olyan dokumentumot vagy anyagot, amelyet a 17 pont szerint egyébként vissza kellene szolgáltatnia vagy meg kellene semmisítenie, a jogszabályokban megengedett mértékben írásban köteles értesíteni az Adatkezelőt az adott adatmegőrzésről, megadva az általa megőrzendő dokumentumok vagy anyagok adatait. Az Adatfeldolgozó a megőrzött dokumentumok vagy anyagok tekintetében nem szegheti meg a 17 pontot; a 10 pont azonban továbbra is érvényes marad azokra.

13.3.

Bármilyen értesítés akkor tekintendő kézbesítettnek, amikor e-mail útján megküldték az Adatkezelő Műszaki Kapcsolattartójának. Az Adatfeldolgozó Műszaki Kapcsolattartójának rendelkezésre kell állnia gyors segítségnyújtás céljából és azért, hogy meg tudjon válaszolni az Adatkezelő részéről felvetődő bármilyen utólagos kérdést.

14.1.

A jelen Adatfeldolgozási Szerződés a (valamennyi fél általi) elfogadás napján lép hatályba, és mindaddig hatályban marad, ameddig az Adatfeldolgozó vagy bármelyik Jóváhagyott Alvállalkozó Személyes Adatokat dolgozz fel, vagy ilyenekhez hozzáfér (Hatály).

15.1.

A jelen Adatfeldolgozási Szerződésben rögzített követelményeknek való bármilyen meg nem felelés szerződésszegésnek tekintendő az Adatfeldolgozó részéről. Az Adatfeldolgozó köteles gondoskodni az esetleges szerződésszegések lehető leggyorsabb orvosolásáról. Az Adatfeldolgozó köteles folyamatosan tájékoztatni az Adatkezelő Műszaki Kapcsolattartóját az esetleges fejleményekről, és dokumentálnia kell a nem megfelelés orvoslása érdekében bevezetett összes intézkedést.

15.2.

A jelen Adatfeldolgozási Szerződés bármilyen megszegése esetén az Adatkezelő a fentiektől függetlenül azonnali hatállyal utasíthatja az Adatfeldolgozót a Személyes Adatok bármely további feldolgozásának felfüggesztésére vagy megszüntetésére.

16.1.

A Személyes Adatokat a feldolgozás eredeti céljának végrehajtásához szükséges időszaknál tilos tovább tárolni. Az Adatfeldolgozó köteles eleget tenni az 1. sz. mellékletben szereplő adatok folytatólagos törlését célzó rutinszerű és egyéb munkafolyamatoknak.

16.2.

Az Adatfeldolgozó a Szolgáltatási Szerződés lejárta vagy megszűnése esetén köteles ténylegesen törölni az összes Személyes Adatot, kivéve, ha az Adatkezelő eltérő utasítást ad. A jelen rendelkezés alkalmazásában a tényleges törlés azt jelenti, hogy az adattörlés az ágazati legjobb gyakorlatot jelentő szabványok (pl. NIST 800-88) szerint történik oly módon, hogy a Személyes Adatokat semmilyen ismert technológiával ne lehessen helyreállítani.

16.3.

Az Adatfeldolgozó bármilyen törlés előtt köteles arra vonatkozó igazolást kérni az Adatkezelő Műszaki Kapcsolattartójától, hogy elvégezheti a törlést. Ha ilyen igazolást nem kap, az Adatfeldolgozó a Szolgáltatási Szerződés lejáratának vagy megszűnésének hatályba lépésétől számított 30 nap eltelte után jogosult a Személyes Adatok törlésére.

16.4.

A fentiek korlátozása nélkül a jelen Adatfeldolgozási Szerződés hatálya alatt az Adatfeldolgozó annyiban köteles bármikor ténylegesen törölni a Személyes Adatokat, amennyiben az Adatkezelő Műszaki Kapcsolattartója kéri vagy az 1. sz. melléklet kiköti.

17.1.

A jelen Adatfeldolgozási Szerződés bármely rendelkezése, amely célja szerint kifejezetten vagy következményes jelleggel a jelen Adatfeldolgozási Szerződés megszűnésekor vagy azt követően teljesül vagy marad fenn hatályában, teljes körűen hatályban marad.

17.2.

Annyiban, amennyiben az Adatkezelőnek az adatvédelmi hatóságok vagy Érintettek azzal kapcsolatos megkereséseire kell válaszolnia, hogy a Szolgáltatási Szerződés és a jelen Adatfeldolgozási Szerződés szerint miként történt a Személyes Adatok feldolgozása, az Adatfeldolgozó a jelen Adatfeldolgozási Szerződés lejárata után is köteles biztosítani a szükséges segítséget.

17.3.

A kétségek kizárása érdekében a jelen Adatfeldolgozási Szerződés10 pontjában foglalt titoktartási kötelezettségek, ideértve a munkavállalók, tanácsadók stb. Személyes Adatok titokban tartására vonatkozó kötelezettségét is, a jelen Adatfeldolgozási Szerződés lejárata vagy megszűnése után is fennmaradnak.

18.1.

A jelen Adatfeldolgozási Szerződésből vagy annak létrejöttéből eredő, vagy azzal összefüggésben felmerülő bármely perre, jogvitára, eljárásra vagy követelésre, annak jellegétől függetlenül, a magyar jog irányadó és az említetteket e jog szerint kell értelmezni. A jelen Adatfeldolgozási Szerződésből eredő vagy azzal összefüggésben felmerülő bármely per, jogvita, eljárás vagy követelés vonatkozásában a hatáskörtől függően az Egri Járásbíróság, illetve az Egri Törvényszékjogosult eljárni.

1.1.

A Szolgáltatási Szerződés, amelyre a jelen Adatfeldolgozási Szerződés vonatkozik, a felek között az alábbiak tárgyában jött létre:

–        BEES webáruházmotor

–        THARANIS ügyviteli programrendszer használata

2.1.

Az alábbi Érintettek adatai kerülnek feldolgozásra:

–        azok a természetes személyek, akik adatait az Adatfeldolgozó a „BEES és THARANIS ügyviteli programrendszer használata” szolgáltatás nyújtása során kezelheti adatfeldolgozóként

–        az Adatkezelő részéről fejlesztési igényt bejelentő természetes személyek

2.2.

A Személyes Adatok alábbi típusai kerülnek feldolgozásra:

–        az Adatfeldolgozó által a BEES és THARANIS ügyviteli programrendszer adatbázisaiban tárolt személyes adatok, így különösen az elektronikus hírközlési szolgáltatások igénybevételéhez kapcsolódó adatok (pl. név, lakcím, hívásforgalmi adatok, használati minták, számlázási adatok stb.)

–        az Adatkezelő részéről fejlesztési igényt bejelentő természetes személyek neve, szükség esetén kapcsolati adatai (pl. e-mail cím, telefonszám)

1.1.

A Személyes Adatok feldolgozása tekintetében Jóváhagyott Terület vagy területek az alábbi régiók vagy térségek:

  Magyarország

4.1.

A Személyes Adatok feldolgozásához igénybe venni kívánt Jóváhagyott Alvállalkozók az alábbi vállalkozások:

–        Rackforest Kft.

–        GLS General Logistics Systems Hungary Csomag-Logisztikai Kft.

–        DPD Hungária Kft.

–        Fámafirst Kft.

–        Csomagpiac Kft.

–        Magyar Posta Zrt.

–        FOXPOST Zrt.

–        Sprinter Futárszolgálat Kft.

–        Express One Hungary Kft.

–        OTP mobil Kft.

–        Voov Kft.

5.1.

Az alábbi táblázat tartalmazza az adatkategóriák, tárolási helyek, adatáramlások és az adott Jóváhagyott Alvállalkozó feldolgozási tevékenységeinek összefoglalását.

6.1.

Az Adatfeldolgozó az Adatkezelő rendszereiben tárolt adatokat kizárólag az Adatkezelő utasításainak megfelelően törli. Az Adatfeldolgozó a saját rendszereiben kizárólag a szolgáltatások nyújtásához szükséges mértékben és ideig tárolhat személyes adatokat, amelyeket köteles haladéktalanul törölni, amennyiben azok a szolgáltatások nyújtásához már nem szükségesek.

1.1.

A jelen Adatfeldolgozási Szerződés alkalmazásában az alábbi személyek lesznek a felek Kapcsolattartói:

A fenti elérhetőségek bármilyen módosítását vagy a felek Kapcsolattartójának személyében bekövetkező változásokat indokolatlan késedelem nélkül, írásban kell közölni a másik féllel.

1.1.

Az Adatkezelő fenntartja a jogot, hogy a biztonsággal kapcsolatban auditokat, tesztelést és ellenőrzéseket hajtson végre, amelyekhez az Adatfeldolgozó köteles megadni az indokolt segítséget és az audit célja szerinti végeredményt alátámasztó dokumentációt.

1.2.

Az Adatkezelő fenntartja a jogot, hogy egy vagy több általa kiválasztott harmadik felet bízzon meg azzal, hogy az Adatkezelő számára segítséget nyújtson a biztonsággal kapcsolatos auditok, tesztelés és ellenőrzések végrehajtásában, vagy azokat az Adatkezelő nevében végrehajtsa.

1.3.

Az egyértelműség kedvéért, az ilyen biztonsági auditoknak, tesztelésnek és ellenőrzéseknek az olyan területekre, rendszerekre és infrastruktúrára kell korlátozódniuk, amelyek potenciálisan befolyásolhatják az Adatkezelő biztonságát, a Személyes Adatokat vagy az Adatfeldolgozó képességét a jelen Adatfeldolgozási Szerződés szerinti kötelezettségei teljesítésére.

1.4.

Az ilyen biztonsági auditok, tesztek és ellenőrzések 12 havonta legfeljebb egy alkalommal végezhetők.

1.5.

Az Adatkezelő köteles legkevesebb két héttel korábban értesíteni az Adatfeldolgozót az ilyen biztonsági auditokról, tesztelésről és ellenőrzésekről.

1.6.

Az Adatkezelő köteles biztosítani, hogy az audit során igénybe vett közreműködői megfelelő titoktartási kötelezettséget vállaljanak és a személyes adatok védelme biztosított legyen.

2.1.

Az Adatfeldolgozónak ki kell alakítania az Adatvédelmi Hatásvizsgálatok (AVHV) végrehajtását szabályozó folyamatot, valamint az ezt alátámasztó hatékony és működőképes eljárásokat és ellenőrzéseket, amelyeket az Adatkezelő felhívására és ésszerű előzetes értesítése mellett dokumentáltan igazolnia kell az Adatkezelő számára. Az Adatfeldolgozó köteles aktívan arra törekedni, hogy a fentebb említett dokumentumok bárminemű jelentős átdolgozása vagy módosítása esetén rendelkezésre bocsássa azok felújított változatát.

3.1.

Az Adatfeldolgozó köteles az Adatkezelőnek az információs eszközök minősítésére és kezelésére vonatkozó szabályzatának megfelelő vagy azt meghaladó megoldásokkal kezelni és tárolni az Adatkezelő Személyes Adatait, a felek által a Szolgáltatási Szerződésben vagy egyéb helyen közösen megállapítottaknak megfelelően. Amennyiben ezt indokoltnak tartja, az Adatfeldolgozó belátása szerint szigorúbban is minősítheti saját információminősítési rendszerében az általa kezelt Személyes Adatokat.

3.2.

Az Adatfeldolgozó köteles a Személyes Adatok jelen Adatfeldolgozási Szerződés szerinti feldolgozására használt valamennyi alkalmazásról és rendszerről leltárjegyzéket kialakítani, vezetni és legalább negyedéves gyakorisággal aktualizálni.

3.3.

Az Adatfeldolgozó az Adatkezelő felhívására és ésszerű előzetes értesítése esetén köteles a Személyes Adatok jelen Adatfeldolgozási Szerződés szerinti feldolgozására általa használt valamennyi alkalmazást és rendszert tartalmazó leltárjegyzéket az Adatkezelő rendelkezésére bocsátani.

4.1.

Az Adatfeldolgozó átvilágítási folyamatának biztosítania kell, hogy az Adatkezelő Személyes Adataival dolgozó munkatársai:

a, valóban azok, akiknek állítják magukat, tehát felvételük során el kell végezni független személyazonosításukat;

b, a munkavégzéshez megfelelő szakképzettséggel rendelkeznek, erkölcsi hátterük megfelelő és személyes feddhetetlenségük kimagasló, tehát tőlük referenciákat vagy erkölcsi bizonyítványt kell bekérni.

4.2.

Az Adatfeldolgozó felelősséggel tartozik munkatársaiért és magatartásukért. Az Adatfeldolgozó köteles:

–        kötelező erejű szerződés(eke)t kötni minden munkatársával, amelyben rögzíti az Adatfeldolgozó felé fennálló kötelezettségeiket, ideértve a szakmai titoktartásra, valamint az informatikai és biztonsági szabályzatok betartására vonatkozó kötelezettségüket is. A nyilatkozatnak (vagy hasonlóképp kötelező erejű dokumentum(ok)nak) az alábbiakat kell tartalmaznia:

–        biztosítani kell, hogy az Adatkezelő Személyes Adataival dolgozó minden munkatárs aláírja a kötelező erejű szerződés(eke)t;

–        olyan folyamatot kell kialakítani, amellyel tájékoztatja és oktatja az összes érintett munkatársat a Szolgáltatási Szerződés feltételeiről, az általános biztonságról, valamint a Szolgáltatási Szerződéssel és a jelen Adatfeldolgozási Szerződéssel összefüggő konkrét biztonsági követelményekről;

–        biztosítani kell, hogy az összes munkatárs megkapja a szervezeten belül betöltött szerepkörével kapcsolatos biztonsági elvárásokat rögzítő iránymutatásokat;

–        a jelen Adatfeldolgozási Szerződésben foglalt biztonsági előírásokat megszegő munkatársaira vonatkozó fegyelmi folyamatot kell kialakítani;

folyamatot kell kialakítani munkatársai munkaviszonyának megszüntetésére, amely kiterjed az alábbiakra:

– az összes rendszerelérési jogosultság visszavonása;
– a felhasználói fiók letiltása, és az Adatkezelő Személyes Adatainak feldolgozásához használt mobileszközök törlése;
– az Adatkezelő Személyes Adatainak feldolgozásához használt informatikai eszközök (laptop) visszavétele;
– fizikai belépési jogosultság visszavonása;
– a személyazonosító beléptető kártya visszavétele és megsemmisítése.

4.3.

A munkavállaló kezdeményezésére történő megszüntetés esetén az említett intézkedéseket akkor kell végrehajtani, amikor a feladatvégzés alapján az adott hozzáférésre, felhasználói fiókra vagy eszközre nincs további szükség, de legkésőbb a felmondás napján. Az Adatfeldolgozó köteles megfelelően értékelni annak kockázatát, hogy az ilyen hozzáférés, fiókok vagy eszközök továbbra is a munkavállaló rendelkezésre álljanak, és az értékelése szerint kell eljárnia. Az Adatfeldolgozó köteles külön figyelmet fordítani az említett hozzáférés, fiókok és eszközök munkavállaló további rendelkezésére bocsátásával járó kockázatra, továbbá mérlegelnie kell a felmondás közlése és az említett hozzáférés, fiókok és eszközök visszavonása közötti időszak tekintetében a kiegészítő kockázatcsökkentő intézkedések lehetőségét. A munkáltató által szerződésszegés vagy jogellenes magatartás miatt kezdeményezett felmondás esetén a fenti intézkedéseket azonnal végre kell hajtani.

4.4.

Az Adatkezelő felhívására és ésszerű előzetes értesítése mellett az Adatfeldolgozó köteles az Adatkezelő rendelkezésére bocsátani az Adatfeldolgozó kötelező erejű szerződéseit, az oktatási folyamatra és a munkaviszony megszüntetési folyamatára vonatkozó dokumentációt.

4.5.

Az Adatfeldolgozó köteles biztosítani, hogy az Adatfeldolgozóval kötött kötelező erejű szerződésüket (szerződéseiket), a munkaviszonyukra vonatkozó feltételeket vagy az Adatfeldolgozó felé fennálló bármilyen szempontból biztonsági vonatkozású egyéb kötelezettségüket vagy az Adatkezelő jelen Adatfeldolgozási Szerződésben foglalt előírásait megszegő munkatársakat – ha a kötelezettségszegést az Adatfeldolgozó nem tekinti kisebb fokúnak, nem szándékosnak és gyakorlati következménytől mentesnek – eltiltsák az Adatkezelő Személyes Adataival végzett munkától, valamint azonnali hatállyal visszavonják az összes fizikai és logikai hozzáférési jogosultságukat minden olyan információhoz vagy funkcióhoz, amely bármilyen elképzelhető módon releváns a jelen Adatfeldolgozási Szerződés szerinti teljesítések szempontjából.

5.1.

Az Adatfeldolgozó a Személyes Adatok őrzése céljából alkalmazott fizikai biztonság biztosítása érdekében köteles az üzemi gyakorlatba ültetett és bevezetett szabályzattal vagy szabályzatokkal rendelkezni, amit az Adatkezelő felhívására és ésszerű értesítése mellett dokumentáltan igazolnia kell.

5.2.

A Személyes Adatok megvédésének és őrzésének biztosítása érdekében minden területet, ahol az Adatfeldolgozó olyan feladatokat végez az Adatkezelő részére, amelyek potenciálisan kihathatnak az Adatkezelő Személyes Adataira, kötelezően biztosítani kell a fizikai biztonsági szabályzatnak vagy szabályzatoknak megfelelően.

5.3.

Az Adatfeldolgozó köteles biztosítani, hogy az Adatfeldolgozó fizikai biztonsági szabályzatát minden területen alkalmazzák, ahol az Adatfeldolgozó az Adatkezelő részére végez feladatokat, oly módon, hogy az így elért fizikai védettség megfeleljen az Adatkezelő alábbiakban meghatározott saját fizikai védelmi követelményeinek, vagy meghaladja azokat.

5.4.

A biztosított területekre vonatkozó fenti követelményektől függetlenül az Adatfeldolgozó nem felel az Adatkezelő tulajdonában lévő vagy általa bérelt területek fizikai biztonságának kialakításáért vagy fenntartásáért.

6.1.

Az Adatfeldolgozó megfelelő és időszerű biztonsági intézkedések alkalmazásával köteles kellő szintű biztonságot kialakítani, és a Szolgáltatási Szerződés teljes időszaka alatt fenntartani, az összes olyan végfelhasználói berendezés, szerver, hálózat, digitális adathordozó és mobileszköz vonatkozásában, amelyet az Adatkezelőnek nyújtott szolgáltatás céljából használ.

6.2.

Konkrétan, az Adatfeldolgozó köteles:

–        hosztgép alapú rosszindulatú programok elleni védelmet (anti-malware) telepíteni az összes felhasznált olyan végpontra, amelyen a rosszindulatú program elleni védekezés releváns, ideértve az anti-malware szoftver folyamatos frissítési mechanizmusát is;

–        hosztgép alapú tűzfal megoldást telepíteni az összes felhasznált végpontra;

–        módszeresen megerősíteni a rendszereit, hogy minimálisra szorítsa azok támadható felületét;

–        mechanizmusokat alkalmazni a releváns adatok összes node-számítógépről történő központosított biztonsági mentése, valamint bármilyen központi tárhely biztonsági mentése érdekében;

–        megoldásokat alkalmazni úgy az összes layer naplóadatainak (hálózati eszközökről az operációs rendszer útján és az adatbázisokból alkalmazásokkal történő), mint forgalmi (adatcsere) adatainak gyűjtésére és elemzésére a teljes infrastruktúrájából, valamint folyamatosan proaktívan figyelemmel kísérni az elemzési eredményeket azzal a céllal, hogy a gyanús vagy anomáliát jelentő megfigyeléseket kimutassa, azokra reagálni tudjon;

–        biztonsági mechanizmusokat alkalmazni a hálózati forgalom megfigyelése tekintetében, hogy a rosszindulatú tevékenységeket és potenciális támadásokat felderítse és megakadályozza; és

–        az Adatkezelő felhívása és ésszerű előzetes értesítése esetén az Adatkezelő rendelkezésére bocsátani az Adatfeldolgozó által abból a célból bevezetett intézkedésekkel kapcsolatos információkat, hogy fellépjen a rosszindulatú programkód Adatfeldolgozó környezetébe (környezeteibe) vagy olyan környezetekbe történő bevezetése ellen, amelyeket az Adatkezelő rendszereinek vagy infrastruktúrájának távoli eléréséhez vesznek igénybe.

6.3.

Az adatokat kötelező védeni a használaton kívüli és elveszett eszközök esetén, adott esetben, igény esetén titkosítási technológia használatával.

7.1.

Az Adatkezelő Személyes Adatainak feldolgozásával kapcsolatos feladatok személyekhez rendelése során kötelezően érvényesíteni kell a feladatok szigorú elkülönítését.

7.2.

A hozzáférési jogokat, jogosultságokat és tevékenységeket kezelő, kiosztó vagy felügyelő bármely rendszerben vagy mechanizmusban (műszaki vagy irányítási értelemben) a felelősségi és feladatkörök személyekhez rendelésének úgy kell történnie, hogy egyetlen személynek se legyen lehetősége a saját hozzáférési jogai, jogosultságai és tevékenységei kezelésére, kiosztására vagy felügyeletének befolyásolására, emellett magában a rendszerben is szükségesek olyan ellenőrzések és korlátozások, amelyek megakadályozzák ennek véletlenszerű vagy szándékos előfordulását. Az Adatkezelő adataihoz történő hozzáférés minimálisra szorítása érdekében a legkisebb körű hozzáférés és legkevesebb jogosultság elveit kell alkalmazni.

8.1.

A Személyes Adatok információbiztonságát érintő információs rendszerek, üzleti folyamatok és rendszerek megváltoztatását ellenőrzés alatt kell tartani, ideértve a vezetőség alakszerű felelősségét is a változás megfelelő megvalósításáért.

9.1.

Amikor az Adatkezelő vagy az Adatkezelő kapcsolt vállalkozása viszonylatában Személyes Adatok továbbítására kerül sor, erőteljes tartalomtitkosítást vagy erőteljes végpontok közötti titkosítást kell alkalmazni.

10.1.

Az Adatfeldolgozó hozzáférés-kezelési folyamata eleget kell, hogy tegyen az alábbiaknak:

–        Csak korlátozott számú vezető kaphat lehetőséget hozzáférés biztosítására olyan rendszerekhez, amelyekben az Adatkezelő Személyes Adatait dolgozzák fel (a továbbiakban: engedélyezők).

–        Az Adatkezelő igény esetén bármikor megtekintheti az engedélyezők listáját.

–        A rendszerekhez és információkhoz kizárólag illetékes személyek, azaz olyanok férhetnek hozzá, akik az Adatkezelő részére végeznek munkát. Minden folyamatnak tényleges igényeken kell alapulnia.

–        Minden fióknak visszavezethetőnek kell lennie egy ismert és ellenőrzött személyazonosságú tulajdonoshoz.

–        Az Adatfeldolgozó köteles naprakész listát vezetni a mindenkor létező engedélyezett fiókokról.

–        Az engedélyezett fiókok listáján fel kell tüntetni az összes olyan fiókot, amely közvetve, tehát „technikai” vagy adminisztratív szerveren, adatbázis- vagy egyéb hozzáférésen keresztül biztosítja az Adatkezelő Személyes Adatainak tárolására, feldolgozására használt rendszerek elérését.

–        Az Adatkezelő igény esetén bármikor megtekintheti azengedélyezett fiókok listáját.

–        Az Adatkezelőnek bármikor jogában áll az engedélyezők és az engedélyezett fiókok eltávolítását igényelni az engedélyezőket és az engedélyezett fiókokat tartalmazó listákról. Amikor az Adatkezelő engedélyezők és engedélyezett fiókok eltávolítását igényli az engedélyezőket és engedélyezett fiókokat tartalmazó listákról, az Adatfeldolgozó annyiban köteles eleget tenni az ilyen felhívásnak, amennyiben az anélkül kivitelezhető, hogy súlyos hatást gyakorolna az Adatfeldolgozónak az Adatkezelő vagy egyéb Adatkezelők felé fennálló kötelezettségei teljesítésére. Ennek ellenére az Adatfeldolgozónak indokolt erőfeszítéseket kell tennie annak érdekében, hogy ettől függetlenül is a lehető legkorábban teljesítse az említett felhívást. Továbbá jogsértő magatartások vagy a biztonság sérülésének megalapozott gyanúja esetén, amikor a kérdéses meghatalmazott fiókok el nem távolítása kimutatható veszteséget okozhatna az Adatkezelőnek, az Adatfeldolgozó köteles minden tőle telhetőt megtenni az eltávolításra vonatkozó felhívás haladéktalan teljesítése érdekében.

10.2.

Az Adatfeldolgozó az Adatkezelő felhívására és ésszerű előzetes értesítése esetén köteles az Adatkezelő rendelkezésére bocsátani az Adatfeldolgozónál bevezetett hozzáférés-ellenőrzési mechanizmusokra és naplózással megvalósított nyomon követhetőségi eljárásrendekre vonatkozó információkat.

10.3.

Az Adatfeldolgozó köteles folyamatot kialakítani az alábbiak vonatkozásában:

–        az Adatkezelő rendszereivel és Személyes Adataival munkát végző összes munkatársa hozzáférési jogainak és felhasználói fiókjainak negyedéves felülvizsgálata;

–        a munkatársak hozzáférési jogainak visszavonása miatt, hogy a továbbiakban nem végeznek az Adatkezelő Személyes Adataival munkát a jelen Adatfeldolgozási Szerződésnek megfelelően;

–        az Adatkezelő Személyes Adataival kapcsolatos hozzáférési jogok ideiglenes visszavonása hosszabb távollét esetén.

11.1.

Az Adatfeldolgozó indokolatlan késedelem nélkül köteles minden ésszerű lépést megtenni, és minden indokolt intézkedést bevezetni annak érdekében, hogy minimalizálja azadatvédelmi incidensek miatti negatív hatásokat. Az Adatfeldolgozó indokolatlan késedelem nélkül köteles közölni az Adatkezelővel minden olyan információt, amely befolyásolhatja az Adatkezelő képességét az Adatfeldolgozó által felügyelt és egyéb Személyes Adatok titkosságának és épségének fenntartására, vagy az Adatkezelő képességét azadatvédelmi incidens miatt felmerülő bármilyen negatív hatás minimalizálására.

11.2.

Az Adatfeldolgozó köteles az Adatkezelő kérése esetén annak rendelkezésére bocsátani az Adatfeldolgozónak az adatvédelmi incidensek kezelése vonatkozásában irányadó belső eljárásaival, irányelveivel és folyamataival kapcsolatos információkat.