Adatfeldolgozási szerződés
Az Európai Parlament és a Tanács (EU) természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban „általános adatvédelmi rendelet”) szóló 2016/679 rendeletének (2016. április 27.) követelményei szerint a Gyártó (a továbbiakban „adatfeldolgozó”) és Ön (a továbbiakban „adatkezelő”) adatfeldolgozási szerződési viszonyt létesítenek, amelynek keretében meghatározzák a személyes adatok feldolgozásának feltételeit, az ilyen adatok védelmének módját, valamint azt, hogy a két fél milyen jogokkal és kötelezettségekkel rendelkezik az adatalanyok személyes adatainak adatkezelő nevében történő feldolgozásakor a fő szerződés jelen feltételeinek teljesítésekor.
1. Személyes adatok feldolgozása. A jelen feltételek szerint nyújtott szolgáltatások közé tartozik azonosított vagy azonosítható természetes személy olyan adatainak feldolgozása, akik szerepelnek az Adatvédelmi szabályzatban (a továbbiakban „személyes adatok”).
2. Felhatalmazás. Az adatkezelő személyes adatok feldolgozásával hatalmazza fel az adatfeldolgozót, ami magában foglalja a következő instrukciókat:
(i) A „feldolgozás célja” a jelen feltételekkel összhangban történő szolgáltatásnyújtás. Az adatfeldolgozó kizárólag az adatkezelő által igényelt szolgáltatások nyújtása tekintetében dolgozhat fel személyes adatokat az adatkezelő nevében. A további célokra gyűjtött összes információkat az adatkezelő-adatfeldolgozó szerződéses kapcsolatán kívül kell feldolgozni.
(ii) a feldolgozási időszak a jelen feltételek szerinti együttműködés megkezdésétől a szolgáltatások megszűnéséig tart,
(iii) a személyes adatok köre és kategóriái. A szolgáltatások célja kizárólag az általános személyes adatok feldolgozása. A személyes adatok körének meghatározásáért azonban kizárólag az adatkezelő felel.
(iv) az „adatalany” olyan természetes személy, aki az adatkezelő eszközeinek jóváhagyott felhasználója,
(v) a feldolgozási műveletek körébe tartozik minden olyan művelet, amely a feldolgozáshoz szükséges,
(vi) a „dokumentált utasítások” a jelen feltételekben, a függelékekben, az adatvédelmi szabályzatban és a szolgáltatási dokumentációban ismertetett instrukciók. Az adatkezelő felel a személyes adatok feldolgozásának jogszerű elfogadhatóságáért az adatvédelmi törvény vonatkozó rendelkezései tekintetében.
3. Az adatfeldolgozó kötelezettségei. Az adatfeldolgozó köteles
(i) a személyes adatokat kizárólag a dokumentált instrukciók alapján és a feltételekben, annak mellékleteiben, az adatvédelmi szabályzatban és a szolgáltatási dokumentációban meghatározott célból feldolgozni,
(ii) tájékoztatni a személyes adatok feldolgozására felhatalmazott személyeket (a továbbiakban „Felhatalmazott személyek") a GDPR szerinti jogaikról és kötelezettségeikről, jogsértés esetén a keletkező kötelezettségeikről, valamint meggyőződni arról, hogy a felhatalmazott személyek vállalták a titoktartási kötelezettséget és követik a dokumentált instrukciókat,
(iii) végrehajtani és követni a feltételekben, annak mellékleteiben, az adatvédelmi szabályzatban és a szolgáltatási dokumentációban ismertetett intézkedéseket,
(iv) segítséget nyújtani az adatkezelőnek abban, hogy válaszoljon az érintettek jogaival kapcsolatos kérdéseire. Az adatfeldolgozó nem javíthatja, törölheti vagy korlátozhatja a személyes adatok feldolgozását az adatkezelő utasítása nélkül. Az érintettnek az adatkezelő nevében kezelt személyes adatokkal kapcsolatos minden kérését haladéktalanul továbbítani kell az adatkezelőnek.
(v) segítséget nyújtani az adatkezelőnek abban, hogy értesítse a személyes adatok megsértéséről a felügyeleti hatóságot és az érintettet, Az adatfeldolgozó köteles tájékoztatni az adatkezelőt a személyes adatok feldolgozásában, illetve a személyes adatok biztonságának területén fellépő bárminemű jogsértésről haladéktalanul ennek felfedezése után. Az adatfeldolgozó észszerű mértékben köteles együttműködni az ilyen jellegű jogsértések kivizsgálásában és kezelésében, és észszerű intézkedéseket kell hoznia a további negatív következmények korlátozása érdekében.
(vi) az adatkezelő döntése szerint törölni vagy visszaküldeni az adatkezelő részére az összes személyes adatot az adatkezelési időszak lejártát követően, Az adatkezelő vállalja, hogy az adatkezelési időszak lejártát követő tíz (10) napon belül tájékoztatja az adatfeldolgozót a döntéséről. Ez a rendelkezés nem érinti az adatfeldolgozó azon jogát, hogy a személyes adatokat a szükséges mértékben megőrizze közérdekű archiválás céljából, tudományos kutatási célból, statisztikai célból, illetve jogi követelések előterjesztése, érvényesítése vagy védelme céljából.
(vii) naprakész naplót vezetni a feldolgozási tevékenységek összes olyan kategóriájáról, amelyet az adatkezelő nevében végzett el,
(viii) az adatkezelő rendelkezésére bocsátani minden olyan információt, amely szükséges a feltételek, a mellékletek, az adatvédelmi szabályzat és a szolgáltatási dokumentáció szerinti megfelelés igazolásához. A személyes adatok feldolgozásának az adatkezelő részéről történő auditálása vagy ellenőrzése esetén az adatkezelő köteles írásban tájékoztatni az adatfeldolgozót a tervezett auditálás vagy ellenőrzés előtt legalább harminc (30) nappal.
4. Egy másik adatfeldolgozó megbízása. Az adatfeldolgozó jogosult megbízni egy másik adatfeldolgozót bizonyos feldolgozási tevékenységek végrehajtásával, például felhőalapú tárhely és infrastruktúra biztosításával a jelen feltételek, a függelékei, az adatvédelmi szabályzat és a szolgáltatási dokumentáció szerint. Jelenleg a Microsoft biztosít felhőalapú tárolást és infrastruktúrát az Azure Cloud Service keretében. Ilyen esetben is az adatfeldolgozó marad a kizárólagos kapcsolattartó, és továbbra is ő felel a jogszabályok betartásáért. Az adatfeldolgozó ezennel vállalja, hogy tájékoztatja az adatkezelőt egy másik adatfeldolgozó bevonásáról vagy leváltásáról annak érdekében, hogy lehetősége legyen ellenvetését kifejezni a változtatás ellen.
5. Feldolgozási terület. Az adatfeldolgozó biztosítja, hogy a feldolgozás az Európai Gazdasági Térségben vagy olyan országban zajlik, amely az Európai Bizottság határozata vagy az adatkezelő döntése alapján biztonságosnak tekinthető. Az általános szerződési feltételek érvényesülnek az adatok továbbítása és az Európai Gazdasági Térségen, illetve az Európai Bizottság határozata alapján biztonságosnak tekinthető országon kívüli helyen történő feldolgozása esetén, az adatkezelő kérésére.
6. Biztonság. Az adatfeldolgozó rendelkezik ISO 27001:2013 tanúsítással, és az ISO 27001 keretrendszer szerint valósítja meg többrétegű biztonsági stratégiáját a biztonsági ellenőrzések hálózaton, operációs rendszerekben, adatbázisokban, alkalmazásokban, személyzet körében és működtető folyamatokban való alkalmazásakor. A rendeleti és szerződéses követelmények betartásának felmérése és ellenőrzése rendszeresen megtörténik az adatfeldolgozó egyéb infrastruktúráihoz és műveleteihez hasonlóan, és folyamatosan elvégzik a követelmények betartásához szükséges tevékenységeket. Az adatfeldolgozó az ISMS segítségével, az ISO 27001 alapján szervezte meg az adatbiztonságot. A biztonsági dokumentáció elsősorban eljárási dokumentumokat tartalmaz az információbiztonság, a berendezések fizikai biztonsága és biztonsága, az eseményfelügyelet, az adatszivárgások és a biztonsági események kezelése stb. vonatkozásában.
7. Technikai és szervezeti intézkedések. Az adatfeldolgozó köteles megvédeni a személyes adatokat az alkalmi és jogellenes károktól és megsemmisítéstől, véletlen elvesztéstől, megváltoztatástól, jogosulatlan hozzáféréstől és nyilvánosságra hozataltól. Ennek érdekében az adatfeldolgozó köteles megfelelő technikai és szervezeti intézkedéseket foganatosítani, amelyek megfelelnek az adatkezelés módjának és az adatkezelés által jelentett kockázatnak az érintettek jogai érdekében és a GDPR előírásainak megfelelően. A technikai és szervezeti intézkedések részletes leírását a Biztonsági szabályzat tartalmazza.
8. Az adatfeldolgozó elérhetősége. Minden értesítést, kérést, kérelmet és a személyes adatok védelmével kapcsolatos egyéb közleményeket a következő címre kell elküldeni: ESET, spol. s.r.o., Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.