A megrendelések feldolgozására vonatkozó
kiegészítés
A megrendelések feldolgozására vonatkozó szabályzat kiegészíti a Jungherz GmbH – a AppConfector márka üzemeltetőjeként (a továbbiakban: „Vállalkozó”) – Általános Szerződési Feltételeit. Mivel ezekhez szorosan kapcsolódik, Ön, mint ügyfél (a továbbiakban: „Megbízó”), az üzleti kapcsolat keretében automatikusan elfogadja a kiegészítést. Amennyiben a jelen szabályzat és az általános szerződési feltételek között ellentmondás merül fel, a megrendelések feldolgozása tekintetében a jelen szabályzat az irányadó.
A Megbízott és az Ügyfél a továbbiakban együttesen „a Felek” néven szerepelnek.
A Felek megállapodnak abban, hogy a jelen megbízási feldolgozási megállapodás hatálybalépésével egyidejűleg a Felek között a német szövetségi adatvédelmi törvény 11. §-a szerinti meglévő megbízási adatfeldolgozási megállapodás, valamint minden egyéb megbízási adatfeldolgozási megállapodás kölcsönös megegyezéssel megszűnik, és helyébe a jelen új megbízási feldolgozási megállapodás lép.
1. Általános rendelkezések
(1) Az adatfeldolgozó az Ügyfél nevében személyes adatokat dolgoz fel az (EU) 2016/679 rendelet – az általános adatvédelmi rendelet (GDPR) – 4. cikkének (8) bekezdése és 28. cikke értelmében. Jelen szerződés szabályozza a felek személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit.
(2) Amennyiben a jelen szerződésben az „adatkezelés” vagy „kezelés” (adatok) kifejezés szerepel, a „kezelés” fogalmára a GDPR 4. cikke (2) bekezdésében szereplő meghatározás az irányadó.
(3) A jelen szerződésben a GDPR-ra (az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről, az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)) történő minden hivatkozás a GDPR hatályos változatára vonatkozik.
2. A megbízás
tárgya Az adatkezelés tárgyát, az adatkezelés módját és célját, a személyes adatok típusát és az érintettek kategóriáit a jelen szerződés 1. melléklete határozza meg.
3. Az ügyfél jogai és kötelezettségei
(1) Az ügyfél a GDPR 4. cikke (7) bekezdése értelmében az adatfeldolgozók nevében történő adatkezelésért felelős fél. A jelen szerződés 4. cikke (5) bekezdésének megfelelően az utóbbi jogosult tájékoztatni az ügyfelet, ha a megbízás és/vagy utasítás tárgyát képezi az ő véleménye szerint jogilag elfogadhatatlan adatkezelés.
(2) Az ügyfél felelős az érintettek jogainak védelméért. Az adatfeldolgozó haladéktalanul tájékoztatja az ügyfelet, ha az érintettek az adatfeldolgozóval szemben érvényesítik az érintettek jogait.
(3) Az ügyfélnek joga van bármikor további utasításokat adni az adatfeldolgozónak az adatkezelés típusára, terjedelmére és eljárására vonatkozóan. Az utasítások szöveges formában (pl. e-mailben) adhatók meg.
(4) Az ügyfél által adott kiegészítő utasítások eredményeként az adatfeldolgozónál felmerült esetleges többletköltségek megtérítésére vonatkozó szabályok változatlanul érvényben maradnak.
5. Az ügyfél haladéktalanul tájékoztatja az adatfeldolgozót, ha az adatfeldolgozó által végzett személyes adatok feldolgozásával kapcsolatban hibákat vagy szabálytalanságokat észlel.
(6) Amennyiben a 33. és 34. cikk szerinti tájékoztatási kötelezettség vagy az ügyfélre vonatkozó bármely más jogi értesítési kötelezettség áll fenn, az ügyfél felelős e kötelezettség teljesítéséért.
4. Az adatfeldolgozó általános kötelezettségei
(1) Az adatfeldolgozó kizárólag a megkötött megállapodások keretein belül és/vagy az ügyfél által kiadott kiegészítő utasításoknak megfelelően dolgozza fel a személyes adatokat. Ez alól kivételt képeznek azok a jogszabályi rendelkezések, amelyek az adatfeldolgozót az adatok más módon történő feldolgozására kötelezhetik. Ilyen esetben az adatfeldolgozónak az adatfeldolgozás megkezdése előtt értesítenie kell a megbízót ezekről a jogi követelményekről, kivéve, ha az érintett jogszabály fontos közérdekből tiltja az ilyen értesítést. Az adatkezelés célját, jellegét és körét egyébként kizárólag a jelen megállapodás és/vagy a megbízó utasításai szabályozzák. Az ettől eltérő adatkezelés az adatfeldolgozó számára tilos,
kivéve
, ha az adatfeldolgozó ahhoz írásban hozzájárult.
(2) Az adatfeldolgozó vállalja, hogy az adatkezelést az ügyfél nevében kizárólag az Európai Gazdasági Térségben végzi, kivéve, ha technikai okokból másként szükséges.
(3) A megrendelés szerinti személyes adatok feldolgozása terén az
adatfeldolgozó
garantálja az összes megállapodott intézkedés szerződésszerű végrehajtását.
(4) Az adatfeldolgozó köteles vállalkozását és működési eljárásait úgy kialakítani, hogy az adatfeldolgozó által az ügyfél nevében feldolgozott adatok az egyes esetekben szükséges mértékben biztosítva legyenek, és védve legyenek a harmadik felek jogosulatlan hozzáférésétől. Az utóbbi az ügyfél nevében történő adatfeldolgozás szervezésében bekövetkező, az adatok biztonsága szempontjából jelentős változásokat előzetesen egyezteti az ügyféllel.
(5) Az adatfeldolgozó haladéktalanul tájékoztatja az ügyfelet, ha véleménye szerint az ügyfél által kiadott utasítás jogszabályi előírásokat sért. Az adatfeldolgozó jogosult felfüggeszteni a kérdéses utasítás végrehajtását mindaddig, amíg azt a megbízó nem erősíti meg vagy nem módosítja. Ha az adatfeldolgozó bizonyítani tudja, hogy az ügyfél utasításainak megfelelő feldolgozás az adatvédelmi rendelet 82. cikke szerinti felelősségre vonásához vezethet, az adatfeldolgozó jogosult felfüggeszteni a további feldolgozást e tekintetben mindaddig, amíg a felek közötti felelősség kérdése nem tisztázódik.
(6) Az
adatok
nak az ügyfél
nevében történő
feldolgozása
az adatfeldolgozó
vagy alvállalkozó üzleti helyiségein kívül csak
az
ügyfél írásbeli vagy szöveges formában megadott hozzájárulásával megengedett. Az adatoknak az ügyfél nevében
történő
feldolgozása magánlakásokban csak egyes esetekben, az ügyfél írásbeli vagy szöveges formában megadott hozzájárulásával megengedett
. (7) Az adatfeldolgozó az ügyfél nevében feldolgozott adatokat más adatoktól elkülönítve kezeli. A fizikai elkülönítés nem kötelező.
5. Az adatfeldolgozó adatvédelmi tisztviselője
(1) Az adatfeldolgozó igazolja, hogy a GDPR 37. cikke szerint adatvédelmi tisztviselőt nevezett ki. Az adatfeldolgozó köteles gondoskodni arról, hogy az adatvédelmi tisztviselő rendelkezzen a szükséges képesítéssel és szakértelemmel. Az adatfeldolgozó köteles szöveges formában külön tájékoztatni az ügyfelet adatvédelmi tisztviselőjének nevéről és elérhetőségéről.
(2) Az (1) bekezdés szerinti adatvédelmi tisztviselő kinevezésére vonatkozó kötelezettség alól a megbízó saját belátása szerint felmentést adhat, ha az adatfeldolgozó bizonyítani tudja, hogy jogilag nem köteles adatvédelmi tisztviselőt kinevezni, és bizonyítani tudja, hogy olyan működési intézkedések vannak érvényben, amelyek biztosítják, hogy a személyes adatok feldolgozása a jogszabályi rendelkezéseknek, a jelen megállapodás rendelkezéseinek és a megbízó további utasításainak megfelelően történjen.
6. Az adatfeldolgozó jelentéstételi kötelezettségei
(1) Az adatfeldolgozó köteles haladéktalanul értesíteni az ügyfelet minden olyan adatvédelmi szabályok vagy a megkötött szerződéses megállapodások és/vagy az ügyfél által adott utasítások megsértéséről, amely az általa vagy az adatfeldolgozásban részt vevő más személyek által végzett adatfeldolgozás során történt. Ugyanez vonatkozik az adatfeldolgozó által az ügyfél nevében feldolgozott személyes adatok védelmének bármely megsértésére.
(2) Ezen túlmenően az adatfeldolgozónak haladéktalanul tájékoztatnia kell az ügyfelet, ha a GDPR 58. cikke szerinti felügyeleti hatóság intézkedést hoz az adatfeldolgozó ellen, és ez az adatfeldolgozó által az ügyfél nevében végzett adatkezelés ellenőrzésére is vonatkozhat.
(3) Az adatfeldolgozó tudomásul veszi, hogy az ügyfélre a GDPR 33. és 34. cikke szerinti értesítési kötelezettség vonatkozhat, amely előírja, hogy a felfedezéstől számított 72 órán belül értesíteni kell a felügyeleti hatóságot. Az adatfeldolgozó támogatja az ügyfelet a bejelentési kötelezettségek teljesítésében. Az adatfeldolgozó különösen haladéktalanul, de legkésőbb az ilyen hozzáférés tudomására jutásától számított 48 órán belül értesíti az ügyfelet az ügyfél nevében feldolgozott személyes adatokhoz való jogosulatlan hozzáférésről. Az adatfeldolgozóknak az ügyfélnek küldött értesítésének különösen a következő információkat kell tartalmaznia:
- a személyes adatok védelmének megsértése jellegének leírása, lehetőség szerint az érintettek kategóriáinak és hozzávetőleges számának, valamint az érintett személyes adatrekordok kategóriáinak és hozzávetőleges számának megjelölésével;
- az adatfeldolgozó által a személyes adatok védelmének megsértése orvoslására hozott vagy javasolt intézkedések leírása, valamint adott esetben az esetleges kedvezőtlen hatások enyhítésére irányuló intézkedések leírása.
7. Az adatfeldolgozó együttműködési kötelezettségei
(1) A megbízott adatfeldolgozó támogatja az Ügyfelet a GDPR 12–23. cikke szerinti, az érintettek jogainak gyakorlására irányuló kérelmekre való válaszadásra vonatkozó kötelezettségének teljesítésében. A jelen szerződés 11. szakaszának rendelkezései alkalmazandók.
(2) Az adatfeldolgozó részt vesz a megbízó által készített adatkezelési tevékenységek jegyzékének összeállításában. Az adatfeldolgozó megfelelő módon biztosítja az ügyfél számára a szükséges információkat.
(3) Az adatfeldolgozó – figyelembe véve az adatkezelés típusát és a rendelkezésére álló információkat – segíti az ügyfelet az ADATV 32–36. cikkében meghatározott kötelezettségek teljesítésében.
(4) Az adatfeldolgozó jogosult az ügyféltől e szolgáltatásokért megfelelő, a költségekhez igazodó díjazást kérni.
8. Ellenőrzési jogkörök
(1) Az ügyfélnek joga van bármikor, a szükséges mértékben ellenőrizni, hogy az adatfeldolgozó betartja-e az adatvédelemre vonatkozó törvényi rendelkezéseket és/vagy a felek között megállapodott szerződéses rendelkezéseket, és/vagy hogy az adatfeldolgozó betartja-e az ügyfél utasításait.
A GDPR szerinti, az adatfeldolgozóra háruló kötelezettségek teljesítésének igazolását elsősorban független vizsgálati jelentésekkel és tanúsítványokkal kell biztosítani.
Ha az ügyfél ténybeli bizonyítékok alapján alapos kétségei vannak arra nézve, hogy a vizsgálati jelentések vagy tanúsítványok nem megfelelőek vagy helytelenek, vagy ha a DSGVO 33. cikke (1) bekezdése értelmében vett, az ügyfél megbízásának teljesítésével összefüggő különleges események ezt indokolják, az ügyfél a 8. § (2) bekezdésének megfelelően ellenőrzéseket végezhet.
(2) Annak érdekében, hogy az Ügyfél elvégezhesse a megbízás ellenőrzését, és különösen az adatkezelés megkezdése előtt és az adatkezelés során rendszeresen ellenőrizhesse a megbízott adatfeldolgozónál hozott technikai és szervezési intézkedéseket, a megbízott adatfeldolgozó köteles engedélyezni az Ügyfél által megbízott semleges harmadik fél (eskü alatt álló könyvvizsgáló) által végzett ellenőrzést. A megbízott adatfeldolgozó jogosult az ellenőrzés időpontját az üzemeltetési lehetőségeknek megfelelően kijelölni. Az ellenőrzést a kérelem benyújtását követően ésszerű határidőn belül lehetővé kell tenni. Alternatívaként az
adatfeldolgozó
az
ügyfél
ellenőrzési jogát úgy is teljesítheti, hogy az adatfeldolgozó nevében egy független, esküdt könyvvizsgáló által készített ellenőrzési jelentést bocsát rendelkezésre. Az ellenőrzési jog gyakorlása nem zavarhatja indokolatlanul az adatfeldolgozó üzleti tevékenységét, és nem lehet visszaélésszerű.
(3) Az adatfeldolgozó jogosult az ügyféltől ésszerű díjazást kérni a 8. (2) bekezdés szerinti ellenőrzésekért.
9. Alvállalkozói arányok
(1) Az adatfeldolgozó alvállalkozók bevonása csak az ügyfél írásbeli hozzájárulásával megengedett. Az adatfeldolgozónak a szerződés megkötésekor már fennálló összes alvállalkozói kapcsolatot a jelen szerződés 2. mellékletében kell feltüntetnie.
(2) A megbízott gondosan kiválasztja az alvállalkozót, és a megbízás leadása előtt ellenőrzi, hogy az alvállalkozó képes-e teljesíteni az ügyfél és a megbízott között létrejött megállapodásokat. Az alvállalkozó különösen előzetesen és a szerződés időtartama alatt rendszeresen ellenőrzi, hogy az alvállalkozó meghozta-e a személyes adatok védelmére vonatkozóan a GDPR 32. cikke szerinti technikai és szervezési intézkedéseket. Az ellenőrzés eredményét az alvállalkozónak dokumentálnia kell, és azt kérésre az ügyfél rendelkezésére kell bocsátania.
(3) Az adatfeldolgozó köteles az alvállalkozótól megerősítést kérni arról, hogy az utóbbi a GDPR 37. cikknek megfelelően kinevezett-e vállalati adatvédelmi tisztviselőt. Amennyiben az alvállalkozó nem nevezett ki adatvédelmi tisztviselőt, az adatfeldolgozónak erről tájékoztatnia kell az ügyfelet, és olyan információt kell szolgáltatnia, amelyből kitűnik, hogy az alvállalkozó jogilag nem köteles adatvédelmi tisztviselőt kinevezni.
(4) Az
adatfeldolgozó köteles
biztosítani, hogy a jelen szerződésben megállapodott rendelkezések, valamint az ügyfél esetleges kiegészítő utasításai az alvállalkozóra is vonatkozzanak.
(5) Az adatfeldolgozó köteles az alvállalkozóval olyan szerződést kötni, amely megfelel a GDPR 28. cikkében foglalt követelményeknek. Ezen felül az adatfeldolgozó köteles az alvállalkozóra ugyanazokat a személyes adatok védelmére vonatkozó kötelezettségeket róni, mint amelyek a megbízó és az adatfeldolgozó között fennállnak.
(6) Az adatfeldolgozó különösen köteles szerződéses rendelkezésekkel biztosítani, hogy az ügyfél és a felügyeleti hatóságok ellenőrzési jogosultságai (a jelen szerződés 8. pontja) az alvállalkozóra is vonatkozzanak, és hogy az ügyfél és a felügyeleti hatóságok megállapodjanak a megfelelő ellenőrzési jogokról. Ezen túlmenően szerződésben kell rögzíteni, hogy az alvállalkozó köteles tűrni ezeket az ellenőrzési intézkedéseket és az esetleges helyszíni ellenőrzéseket.
(7) Az (1)–(6) bekezdés értelmében vett alvállalkozói kapcsolatok nem minősülnek olyan szolgáltatásoknak, amelyeket az adatfeldolgozó a gazdasági tevékenység végzése érdekében pusztán kiegészítő szolgáltatásként vesz igénybe harmadik felektől. Ilyen szolgáltatások például a takarítási szolgáltatások, a megbízó számára nyújtott szolgáltatásokra való konkrét hivatkozás nélküli tisztán távközlési szolgáltatások, a postai és futárszolgáltatások, a szállítási szolgáltatások, valamint a biztonsági szolgáltatások. Az adatfeldolgozó mindazonáltal köteles biztosítani – harmadik felek által nyújtott kiegészítő szolgáltatások esetében is –, hogy a személyes adatok védelmének biztosítása érdekében megfelelő óvintézkedéseket, valamint technikai és szervezési intézkedéseket hoztak. Az informatikai rendszerek vagy alkalmazások karbantartása és szervizelése alvállalkozói kapcsolatot és megbízás szerinti adatfeldolgozást jelent a GDPR 28. cikke értelmében, amely jóváhagyást igényel, ha a karbantartás és tesztelés olyan informatikai rendszereket érint, amelyeket az ügyfél számára nyújtott szolgáltatásokkal összefüggésben is használnak, és ha a karbantartás során hozzáférhetővé válnak az ügyfél nevében feldolgozott személyes adatok.
(1) Az Ügyfél nevében történő adatkezelés során az adatfeldolgozó köteles titokban tartani azokat az adatokat, amelyeket a megbízással összefüggésben kap meg vagy amelyekről tudomást szerez. Az adatfeldolgozó vállalja, hogy ugyanazokat a titoktartási szabályokat tartja be, mint amelyek a megbízóra vonatkoznak. A megbízó köteles tájékoztatni az adatfeldolgozót minden különleges titoktartási szabályról.
(2) Az adatfeldolgozó biztosítja, hogy ismeri az alkalmazandó adatvédelmi előírásokat, és tisztában van azok alkalmazásával. A vállalkozó továbbá szavatolja, hogy munkatársait megismertette a rájuk vonatkozó adatvédelmi rendelkezésekkel, és titoktartásra kötelezte őket. A megbízott továbbá szavatolja, hogy különösen a munka elvégzésében részt vevő alkalmazottait titoktartásra kötelezte, és tájékoztatta őket az ügyfél utasításairól.
(3) A (2) bekezdés szerinti alkalmazotti kötelezettségeket kérésre az ügyfélnek igazolni kell.
11. Az érintettek jogainak védelme
(1) Az érintettek jogainak védelméért kizárólag a megbízó felel. Az adatfeldolgozó köteles támogatni a megbízót az érintettek kérelmeinek a GDPR 12–23. cikke szerinti feldolgozására vonatkozó kötelezettségében. Az adatfeldolgozó különösen gondoskodik arról, hogy az ezzel kapcsolatban szükséges információkat haladéktalanul a megbízó rendelkezésére bocsássa, hogy a megbízó teljesíthesse a GDPR 12. cikke (3) bekezdésében előírt kötelezettségeit.
(2) Amennyiben az adatkezelő jogainak – különösen a tájékoztatáshoz, helyesbítéshez, zároláshoz vagy törléshez való jogok – az ügyfél általi védelme érdekében az adatfeldolgozó együttműködése szükséges, az adatfeldolgozó az ügyfél utasításainak megfelelően megteszi a szükséges intézkedéseket. Amennyiben lehetséges, az adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel támogatja az ügyfelet annak érdekében, hogy az eleget tegyen az érintettek jogainak gyakorlására irányuló kérelmek megválaszolására vonatkozó kötelezettségének. Az adatfeldolgozó jogosult az ügyféltől ésszerű díjazást kérni ezekért a szolgáltatásokért.
(3) Ez nem érinti az adatfeldolgozó által az érintettek ügyféllel szembeni jogérvényesítésével kapcsolatos együttműködési szolgáltatások eredményeként felmerült többletköltségek esetleges megtérítésére vonatkozó rendelkezéseket.
12. Titoktartási kötelezettségek
(1) Mindkét fél vállalja, hogy a jelen szerződés teljesítésével kapcsolatban kapott minden információt határozatlan ideig bizalmasan kezel, és azt kizárólag a szerződés teljesítésére használja fel. Egyik fél sem jogosult ezeket az információkat részben vagy egészben a fent említettektől eltérő célokra felhasználni, illetve harmadik felek rendelkezésére bocsátani.
(2) A fenti kötelezettség nem vonatkozik azokra az információkra, amelyeket az egyik fél bizonyíthatóan titoktartási kötelezettség nélkül kapott harmadik felektől, vagy amelyek nyilvánosan ismertek.
13. Feladat
Az adatfeldolgozó a jelen szerződésért külön díjazásban nem részesül.
14. Az adatbiztonságra vonatkozó technikai és szervezési intézkedések
(1) Az adatfeldolgozó az ügyfél felé vállalja, hogy betartja az alkalmazandó adatvédelmi előírásoknak való megfeleléshez szükséges technikai és szervezési intézkedéseket. Ez különösen magában foglalja a GDPR 32. cikkében foglalt követelményeket.
(2) A szerződés megkötésekor fennálló technikai és szervezési intézkedések állapotát a jelen szerződéshez csatolt 3. melléklet tartalmazza. A felek egyetértenek abban, hogy a technikai és jogi feltételekhez való alkalmazkodás érdekében szükségessé válhatnak a technikai és szervezési intézkedések módosításai. Azokat a jelentős változtatásokat, amelyek hatással lehetnek a személyes adatok integritására, titkosságára vagy rendelkezésre állására, az adatfeldolgozó előzetesen egyezteti az ügyféllel. Azokat az intézkedéseket, amelyek csak kisebb technikai vagy szervezési változtatásokat jelentenek, és nem befolyásolják negatívan a személyes adatok integritását, titkosságát és rendelkezésre állását, az adatfeldolgozó az ügyféllel való egyeztetés nélkül
is
végrehajthatja. Az ügyfél bármikor kérheti
az
adatfeldolgozó által
hozott
technikai és
szervezési
intézkedések naprakész változatát
. (3) A megbízott rendszeresen, valamint szükség szerint ellenőrzi az általa hozott technikai és szervezési intézkedések hatékonyságát. Amennyiben optimalizálásra és/vagy módosításra van szükség, az adatfeldolgozó erről tájékoztatja az ügyfelet.
15. A megbízás időtartama
(1) A szerződés a megbízás megadásával lép hatályba, és határozatlan időre jön létre.
(2) A szerződés a fő szerződés (alkalmazáscsomag vagy bármely szolgáltatás) megszűnésével véget ér, külön felmondás nélkül.
A jelen szerződés felmondását követő törlési és visszaszolgáltatási kötelezettségeket a 16. szakasz szabályozza
. (3) A megbízó a szerződést bármikor, felmondási idő nélkül felmondhatja, ha az adatfeldolgozóra vonatkozó adatvédelmi rendelkezéseket vagy a jelen szerződés szerinti kötelezettségeket súlyosan megsérti, ha az adatfeldolgozó nem képes vagy nem hajlandó végrehajtani a megbízó utasítását, vagy ha az adatfeldolgozó a szerződés megsértésével megtagadja a hozzáférést a megbízótól vagy az illetékes felügyeleti hatóságtól.
16. Felmondás
(1) A szerződés felmondását követően az adatfeldolgozó az ügyfél választása szerint köteles az ügyfélnek visszaszolgáltatni vagy törölni minden olyan dokumentumot, adatot és létrehozott feldolgozási vagy felhasználási eredményt, amely a szerződéses jogviszony keretében a birtokába került. A törlést megfelelő módon dokumentálni kell. A törvényi megőrzési kötelezettségek vagy az adatok tárolására vonatkozó egyéb kötelezettségek ezáltal nem érintettek. Adathordozók esetében azokat az ügyfél által kért törlés esetén meg kell semmisíteni, amelynek során legalább a DIN 66399 szabvány 3. biztonsági szintjét kell betartani; az ügyfélnek a DIN 66399 szabvány szerinti biztonsági szintre hivatkozva igazolnia kell a megsemmisítést.
(2) Az ügyfélnek joga van ellenőrizni az adatok teljes és szerződésszerű visszaszolgáltatását és törlését az adatfeldolgozónál. Ez a
feldolgozó
telephelyén az adatfeldolgozó berendezések ellenőrzésével is elvégezhető. A helyszíni ellenőrzést az ügyfél ésszerű határidővel előre be kell jelentenie.
17.
Visszatartási
jog
A felek megállapodnak abban, hogy kizárt a feldolgozó által a feldolgozott adatokra és a kapcsolódó adathordozókra vonatkozóan a BGB (Német Polgári Törvénykönyv) 273. §-a szerinti visszatartási jog érvényesítése.
18. Záró rendelkezések
(1) Amennyiben az ügyfél tulajdonát az adatfeldolgozó telephelyén harmadik felek intézkedései (pl. lefoglalás vagy elkobzás), fizetésképtelenségi eljárás vagy egyéb események veszélyeztetik, az adatfeldolgozónak haladéktalanul értesítenie kell az ügyfelet. Az adatfeldolgozónak haladéktalanul tájékoztatnia kell a hitelezőket arról, hogy az adatok a megbízás keretében kerülnek feldolgozásra.
(2) A kiegészítő megállapodásokhoz írásbeli forma szükséges.
(3) Amennyiben a jelen szerződés egyes részei érvénytelenek, ez nem érinti a szerződés többi rendelkezésének érvényességét.
1. melléklet – A megbízás tárgya
1. Az adatkezelés tárgya és célja
Az ügyfélnek az adatfeldolgozóhoz intézett megbízása a következő munkákat és/vagy szolgáltatásokat foglalja magában: mobilalkalmazások (amelyeket a vonatkozó érvényes szolgáltatási leírás részletesen ismertet), valamint hasonló tartalmú weboldalak biztosítása. Ez magában foglalja a rögzített adatok gyűjtését, feldolgozását és továbbítását.
2. Személyes adatok típusa(i)
A következő adattípusokat dolgozzuk fel rendszeresen: Forgalmi adatok, tartalmi adatok, kapcsolattartási adatok, személyes törzsadatok és kommunikációs adatok (név, cím, telefonszám, faxszám, e-mail cím).
3. Az érintettek köre
Az adatkezelés által érintett személyek köre: Fiókjának felhasználói, hívó és hívott résztvevők vagy SMS/fax küldői/fogadói, alkalmazottak, ügyfelek, üzleti partnerek, érdekelt felek és az ügyfél szolgáltatói.
Ha az ügyfél az adatfeldolgozó partnere: A megrendelést leadó partner által ajánlott vállalkozók/cégek kapcsolattartási, személyes törzs- és kommunikációs adatai (név, cím, telefonszám, faxszám, e-mail cím).
Az ügyfél köteles tájékoztatni a fiók felhasználóit és – szükség esetén – az üzemi tanácsot vagy az azzal egyenértékű képviselőket a 2. pontban említett adatok feldolgozásáról.
4. Az adatfeldolgozás helye:
Minden adatot az Európai Gazdasági Térség területén található szervereken dolgoznak fel.
2. melléklet – Alvállalkozó
Az adatok megbízó nevében történő feldolgozása érdekében az adatfeldolgozó olyan harmadik felek szolgáltatásait veszi igénybe, akik az ő nevében dolgozzák fel az adatokat („alvállalkozók”).
Az adatfeldolgozó szolgáltatásai nyújtása érdekében különböző alvállalkozókat vesz igénybe.
Ezek az alvállalkozók kezdetben az adatfeldolgozó alábbi vállalatai, és előkészítő munkát végeznek az adatfeldolgozó szolgáltatásainak megvalósításához. Az adatok feldolgozására vonatkozóan a vállalatok között a szükséges szerződéses megállapodások létrejöttek.
Ezek a következő vállalatok:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Franciaország
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Írország
3. melléklet – Az adatfeldolgozó technikai és szervezeti intézkedései
Az adatfeldolgozó az adatbiztonság érdekében a GDPR 32. cikke értelmében a következő technikai és szervezési intézkedéseket hozza meg.
1. Titoktartás
Hozzáférés-ellenőrzés
Az adatfeldolgozásra vagy -használatra szolgáló adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megakadályozása érdekében az adatfeldolgozó és alvállalkozói, például a Netcup és a Google Cloud Division, kiterjedt formális hozzáférés-ellenőrzési folyamatokat vezettek be.
A használt helyszíneken szervertermek és egy szervertechnikai helyiség található. A belépéshez elektronikus kulcsokat adnak ki az alvállalkozó kiválasztott alkalmazottai számára. A kulcsok kizárólag az adott alvállalkozó alkalmazottját jogosítják fel az erre a célra jóváhagyott egyes ajtók kinyitására/bezárására. A kulcs minden kinyitási és bezárási műveletét elektronikusan rögzítik a kulcs egyedi azonosítójával együtt. A kulcsok kezeléséért kizárólag az alvállalkozó vezetése által közvetlenül felhatalmazott alkalmazottak felelősek.
A szerverterem minden esetben zárva van, és csak
az alvállalkozó
kiválasztott
alkalmazottai
léphetnek be oda.
Az adott helyszín épületén belül az alvállalkozó alkalmazottainak – még azoknak is, akik rendelkeznek kulccsal – a belépési jogai a végrehajtandó konkrét feladat elvégzéséhez szükséges mértékre korlátozódnak.
Munkaidőben az épületbe belépő személyek ellenőrzését az állandóan ügyeletes recepció végzi. Munkaidőn kívül az épület összes bejárata zárva van és riasztóval van ellátva. Az épületet biztonsági szolgálat is őrzi. A riasztórendszer összes riasztását közvetlenül a biztonsági szolgálatnak jelzik.
Minden adatközpontban szabványos biztonsági intézkedéseket alkalmaznak. Ezek megfelelnek a legkorszerűbb technológiának és az IT-ipar (bevált gyakorlatainak). Ide tartoznak a naplózással ellátott elektronikus beléptető rendszerek, amelyek révén csak az arra jogosult személyek léphetnek be az épületbe, riasztórendszerek, belső/külső videomegfigyelés, 24 órás biztonsági személyzet, az épület szögesdróttal való biztosítása, valamint külső biztonsági szolgálatok általi védelem, akiket riasztás esetén egy erre a célra kijelölt riasztóvonalon keresztül automatikusan értesítenek.
Az adatközpont egyes helyiségeinek és szekrényeinek kulcsait mindig a biztonsági személyzettől kell átvenni.
Beléptetés
Annak biztosítása érdekében, hogy az adatfeldolgozásra jogosult személyek csak a hozzáférési jogosultságuknak megfelelően férhessenek hozzá az adatokhoz, és hogy a tárolt vagy feldolgozott adatokat jogosulatlan személyek ne tudják elolvasni, másolni, megváltoztatni vagy eltávolítani, az adatfeldolgozó központi rendszert használ a hozzáférési jogosultságok kezelésére. Minden hozzáférést helyileg és a központi naplószervereken tárolnak. Az adminisztrátori jogokat kizárólag egy központi adminisztrációs programon keresztül lehet gyakorolni.
Az összes adathoz való hozzáférés az engedélyezett személyek konkrét feladataik ellátásához szükséges mértékre korlátozódik. A jogi adatvédelmi követelményeket, különösen az általános adatvédelmi rendelet (GDPR) és a TKG előírásait betartják.
Elválasztás
A feldolgozó az adatokat olyan szerverrendszereken dolgozza fel, amelyeket a hálózaton egy logikai és fizikai hozzáférés-ellenőrzési rendszer logikailag elválaszt.
2. Integritás
Beviteli ellenőrzés
Annak biztosítása érdekében, hogy a megrendelés-feldolgozó utólag ellenőrizhesse és megállapíthassa, hogy az adatfeldolgozó rendszerekben adatokat rögzítettek-e, módosítottak-e vagy töröltek-e, és ha igen, ki tette azt, az ügyfél tárolt adataihoz való minden hozzáférést helyileg és a központi naplószervereken is naplóznak.
Továbbítási ellenőrzés
Annak biztosítása érdekében, hogy az adatokat elektronikus továbbítás, szállítás vagy tárolás során jogosulatlan személyek ne tudják elolvasni, másolni, módosítani vagy eltávolítani, és hogy ellenőrizhető legyen, hová szánják az adatokat az adatátviteli rendszerek, az ügyféladatokat feldolgozó összes rendszerhez való hozzáférés hatékony hozzáférés-ellenőrzés alá tartozik. Ezeket a hozzáférés-ellenőrzési mechanizmusokat már részletesebben leírtuk a fenti 3. pontban.
3. Elérhetőség és rugalmasság
Az adatfeldolgozó minden rendszerében redundáns rendszerek és biztonsági mentési megoldások kombinációját alkalmazza a tárolt adatok védelme és szükség esetén azok helyreállítása érdekében. Ezeket a rendszereket kizárólag a legkorszerűbb technikai színvonalnak megfelelően biztosított és felszerelt helyiségekben üzemeltetik, amelyek rendelkeznek a szükséges légkondicionáló, tűz- és füstjelző rendszerekkel, és amelyekre részletes vészhelyzeti tervek vonatkoznak.
4. Rendszeres felülvizsgálati, értékelési és minősítési eljárások
Saját és az alvállalkozó összes alkalmazottját rendszeresen képzik az adatvédelmi kérdésekben. Ezeket a képzéseket teljes egészében házon belül valósítják meg, így lehetséges a megbízott adatfeldolgozó számára releváns kérdésekhez való pontos igazítás. Az egyes kérdéseket ezeken a képzéseken részletesen is tárgyalják.
Az
adatfeldolgozó
minden olyan alkalmazottja, aki munkája során személyes adatok feldolgozásával kerül kapcsolatba, köteles a személyes adatokat bizalmasan kezelni. Ez rendszeresen megtörténik az új alkalmazottak felvételekor egy szerződéses kötelezettségvállalási nyilatkozat formájában, amelyet minden alkalmazottnak alá kell írnia.
Az adatfeldolgozó adatvédelmi tisztviselőt nevezett ki. Az adatvédelmi tisztviselő helyetteseivel együtt gondoskodik arról, hogy az érintettek kérdéseire időben válaszoljanak.
Az adatfeldolgozó nyilvántartást vezet az adatkezelési tevékenységekről a GDPR 30. cikke (1) és (2) bekezdése értelmében. Ez az adatkezelési tevékenységek listája nem nyilvános.
(2022. február 16-i állapot)