Adatfeldolgozási melléklet

 

Jelen Függelék a Szerződés elválaszthatatlan részét képezi, és az alábbiak kötik:

 

  1. (i) Az Ügyfél (" Adatexportőr ")
  2. (ii) IQUALIF ("adatimportőr " )

 

Mindegyik „ párt ”, általában „ párt ”.

 

Preambulum

AHOL az Adatimportőr professzionális szoftverszolgáltatásokat, számítógépes és kapcsolódó szolgáltatásokat nyújt (például speciális keresési funkciókkal rendelkező böngészőket);

AHOL a Szerződés értelmében az Adatátvevő vállalta, hogy a Szerződésben meghatározott szolgáltatásokat nyújtja az Adatexportőrnek (a " Szolgáltatások ");

AHOL az Adatátvevő a Szolgáltatások nyújtásával hozzáférést kap az Adatátvevő információihoz vagy az Adatátvevővel (potenciális) kapcsolatban álló más személyek információihoz, vagy abból részesül, az ilyen információ a rendelet értelmében személyes adatnak minősülhet. Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a személyes adatok kezelése tekintetében az egyének védelméről és az ilyen adatok szabad áramlásáról (a továbbiakban: GDPR ), valamint az egyéb vonatkozó adatvédelmi jogszabályokról.

AHOL e Függelék tartalmazza az ilyen személyes adatoknak az Adatátvevő által, mint az Adatexportőr meghatalmazott adatfeldolgozó megbízottja által történő ilyen személyes adatok gyűjtésére, feldolgozására és felhasználására vonatkozó feltételeket annak biztosítására, hogy a Felek betartsák a vonatkozó adatvédelmi jogszabályokat. .

 

EZÉRT, és annak érdekében, hogy a Felek kapcsolatukat jogszerűen folytathassák, a Felek jelen Függeléket az alábbiak szerint kötötték:

1. rész

 

1. A dokumentum szerkezete és definíciók

1.1 Szerkezet

Ez a függelék a következő részekből áll:

 

1. rész: 

általános rendelkezéseket tartalmaz, például az ebben a függelékben használt definíciókra, a helyi törvényeknek való megfelelésre, az időzítésre és a felmondásra vonatkozóan

 

2. rész:

tartalmazza az Általános Szerződési Feltételek dokumentum változatlan törzsét

 

2. rész 1.1. függeléke:

tartalmazza az Adatátvevő által az Adatátadónak, mint meghatalmazott adatfeldolgozónak nyújtott adatkezelési műveletek részleteit (beleértve az adatkezelést, az adatkezelés jellegét és célját, a személyes adatok típusát, valamint az érintettek kategóriáit) a jelen rendelkezés alapján. Függelék

 

2. rész 2. függeléke:

tartalmazza az Adatátvevő technikai és szervezési biztonsági intézkedéseinek leírását, amelyeket a 2. rész 1.1. függelékében leírt valamennyi adatkezelési tevékenységgel kapcsolatban alkalmaznak.

 

3. rész:

tartalmazza azon Felek aláírásait, amelyekre nézve kötelező érvényű e függelék, és azonosítja az egyes adatimportőröket

 

 

1.2 Terminológia és meghatározások

E Függelék alkalmazásában a GDPR által használt terminológia és definíciók az irányadók (a Szerződési feltételek dokumentum szövegében a 2. részben, ahol a meghatározott kifejezések nincsenek nagybetűvel írva). 

 

"Tagállam"

az Európai Unióhoz vagy az Európai Gazdasági Térséghez tartozó országot jelenti

 

"A (személyes) adatok speciális kategóriái"

faji vagy etnikai származásról, politikai véleményről, vallási vagy filozófiai meggyőződésről, szakszervezeti tagságról árulkodó személyes adatra vonatkozik, valamint genetikai adatokra, biometrikus adatokra, ha azokat egy személy egyedi azonosítása céljából kezelik, egészségi adatra, személy nemére vonatkozó adatra élet vagy szexuális irányultság

 

"Standard szerződéses kikötések"

a 2010. február 5-i 2010/87/EU bizottsági határozat értelmében, amelyet a 2010. február 5-i (EU) 2016/2297 bizottsági végrehajtási határozattal módosított, a harmadik országokban letelepedett adatfeldolgozó ügynökök személyes adatainak továbbítására vonatkozó általános szerződési feltételeket jelenti. 2016. december

 

„Adatfeldolgozó”.

bármely EU-n/EGT-n belüli vagy kívüli adatfeldolgozó, aki beleegyezik abba, hogy az Adatátvevőtől vagy az Adatátvevő bármely más adatfeldolgozójától személyes adatokat kapjon kizárólag az Adatátvevő által végzett feldolgozási tevékenység céljából. továbbítása az Adatexportőr utasításai, a jelen Melléklet és az Adatimportőrrel kötött szerződés feltételei szerint

 

 

 

2. Az Adatexportőr kötelezettségei

2.1 Az adatexportőr köteles biztosítani a GDPR és az adatexportőrre vonatkozó bármely más vonatkozó adatvédelmi jogszabály szerinti vonatkozó kötelezettségek betartását, és a GDPR 5. cikkének (2) bekezdésében előírtaknak megfelelően igazolni ezt. Az Adatátvevő szavatolja, hogy az Adatátvevő a GDPR 6. cikk a) pontja szerint megszerezte az érintettek előzetes hozzájárulását, és eleget tett az érintettek tájékoztatási kötelezettségének a GDPR 13. és 14. cikkében foglaltaknak megfelelően.

2.2 Az Adatexportőr köteles az Adatátvevő rendelkezésére bocsátani a jelen Függelék szerinti Szolgáltatásokhoz kapcsolódó adatfeldolgozási tevékenységek megfelelő fájljait a GDPR 30. cikk (1) bekezdése szerint, olyan mértékben, amilyen mértékben az Adatimportőr teljesíteni tudja a jelen Függelék szerinti szolgáltatásait. A GDPR 30. cikkének (2) bekezdése.

2.3 Az Adatexportőrnek adatvédelmi tisztviselőt vagy képviselőt kell kijelölnie a vonatkozó adatvédelmi jogszabályok által előírt mértékben. Az Adatátadó köteles megadni az Adatátvevőnek az adatvédelmi megbízott vagy képviselő elérhetőségét, ha van ilyen.

2.4. Az adatátadó az adatkezelés befejezése előtt e Függelék elfogadásával megerősíti, hogy az Adatátvevő technikai és szervezési biztonsági intézkedései a 2. rész 2. függelékében meghatározottak szerint megfelelőek és elegendőek az érintett jogainak védelméhez. és megerősíti, hogy az Adatimportőr megfelelő biztosítékokat nyújt e tekintetben.

 

3. A helyi törvények betartása

A GDPR 28. cikke alapján a feldolgozóközegek megvalósításával kapcsolatos követelmények teljesítése érdekében a következő módosítások alkalmazandók:

 

3.1 Utasítások

  1. (i) Az Adatátadó utasítja az Adatátvevőt, hogy a személyes adatokat kizárólag az Adatátadó nevében dolgozza fel. Az Adatexportőr utasításait a jelen Melléklet és a Szerződés tartalmazza. Az Adatátadó köteles gondoskodni arról, hogy az Adatátvevőnek adott minden utasítás megfeleljen a vonatkozó adatvédelmi jogszabályoknak. Az Adatátvevő csak az Adatátvevő által adott utasításoknak megfelelően kezelheti a személyes adatokat, kivéve, ha az Európai Unió vagy a tagállam jogszabályai másként írják elő (utóbbi esetben az 1. rész 3.2. iv. c) pontja érvényes) .
  2. (ii) Minden egyéb, a jelen Függelékben vagy a Szerződésben foglalt utasításokon túlmutató utasítást a jelen Függelék és a Szerződés tárgyában kell szerepeltetni. Ha ezen kiegészítő utasítás végrehajtása költségekkel jár az Adatimportőr számára, az Adatátvevő köteles tájékoztatni az Adatexportőrt ezekről a költségekről, és az utasítás végrehajtása előtt magyarázatot adni. Az Adatátvevő csak azután hajtja végre ezt a kiegészítő utasítást, miután az Adatátvevő megerősítette, hogy elfogadta az utasítás végrehajtásával kapcsolatos költségeket. Az Adatátadónak további írásbeli utasítást kell adnia, kivéve, ha a sürgősség vagy egyéb különleges körülmények más formában (pl. szóbeli, elektronikus) szükségesek. Az írástól eltérő formájú utasításokat az Adatexportőrnek haladéktalanul írásban meg kell erősítenie.
  3. 1. Hacsak az Adatátadó nem tudja önállóan elvégezni a személyes adatok helyesbítését, törlését vagy korlátozását, az utasítások vonatkozhatnak a személyes adatok helyesbítésére, törlésére és/vagy korlátozására is, az 1. rész 3.3. pontjában foglaltak szerint.
  4. 2. Az Adatátvevő köteles haladéktalanul tájékoztatni az Adatátvevőt, ha véleménye szerint egy Utasítás sérti a GDPR-t vagy az Európai Unió vagy valamely tagállam egyéb vonatkozó adatvédelmi rendelkezéseit (" vitatott utasításHa a felügyeleti hatóság a támadott Utasítást jogszerűnek nyilvánítja, az Adatátvevő a támadott Utasítást végrehajtja. Az 1. rész 3.1. (ii) pontja továbbra is alkalmazandó.

 

3.2 Az Adatimportőr kötelezettségei

  1. (i) Az adatátvevőnek gondoskodnia kell arról, hogy az adatátvevő által az adatexportőr nevében személyes adatok feldolgozására felhatalmazott személyek, különös tekintettel az adatimportőr alkalmazottaira és bármely alvállalkozó alkalmazottaira, kötelezettséget vállaljanak a titoktartásra, vagy a megfelelő törvényi titoktartási kötelezettséget, és hogy a személyes adatokhoz hozzáféréssel rendelkező személyek azt az Adatátvevő utasításai szerint kezeljék.
  2. (ii) Az Adatimportőrnek meg kell valósítania a 2. rész 2. függelékében meghatározott technikai és szervezési biztonsági intézkedéseket, mielőtt a személyes adatokat az adatexportőr nevében feldolgozza. Az Adatátvevő a technikai és szervezési biztonsági intézkedéseket időről időre módosíthatja, ha azok nem nyújtanak kisebb védelmet, mint a 2. rész 2. függeléke.
  3. (iii) Az Adatimportőr az adatátvevő kérésére az Adatátvevő rendelkezésére bocsátja azokat az információkat, amelyek igazolják az adatimportőr e Függelék szerinti kötelezettségeinek való megfelelést. A Felek megállapodnak abban, hogy ennek a tájékoztatási kötelezettségnek az Adatexportőr részére (az alapelvek biztonságára, a rendszer rendelkezésre állására és a titkosságra kiterjedő) auditjelentés (a továbbiakban: Audit Jelentés) benyújtásával tesznek eleget. Ha további ellenőrzési tevékenységre jogszabályi előírás van, az Adatátadó kérheti, hogy az adatexportőr vagy az adatátadó által megbízott más könyvvizsgáló végezzen vizsgálatot, feltéve, hogy ez a könyvvizsgáló köteles titoktartási megállapodást kötni az adatimportőrrel az adatátvevő felé. ésszerű elégedettség ("Audit"). Erre az auditra a következő feltételek vonatkoznak: (i) az Adatimportőr előzetes hivatalos írásbeli elfogadása; és (ii) az Adatexportőr viseli az Adatexportőr és az Adatimportőr helyszíni ellenőrzésével kapcsolatos összes költséget. Az Adatexportőrnek auditjelentést kell készítenie, amely összefoglalja a helyszíni ellenőrzés eredményeit és észrevételeit ("Helyszíni ellenőrzési jelentés"). A helyszíni ellenőrzési jelentések és az ellenőrzési jelentések az Adatimportőr bizalmas információi, és nem adhatók ki harmadik félnek, kivéve, ha azt a vonatkozó adatvédelmi törvény írja elő, vagy az Adatimportőr hozzájárulásával összhangban.
  4. (iv) Az Adatimportőr köteles indokolatlan késedelem nélkül értesíteni az Adatátadót:
    1. a. a személyes adatok bűnüldöző hatóság általi közzétételére irányuló, jogilag kötelező erejű kérelmével kapcsolatban, kivéve, ha ez másként tiltott, mint például a bűnüldözési nyomozás titkosságának védelmét szolgáló büntetőjogi tilalom
    2. b. az érintetttől közvetlenül érkezett panaszra és kérésre (pl. hozzáférés, helyesbítés, törlés, adatkezelés korlátozása, adathordozhatóság, adatkezelés elleni tiltakozás, automatizált döntéshozatal tekintetében) anélkül, hogy a kérelemre válaszolna, kivéve, ha az Adatátvevő felhatalmazást kapott arra, hogy tehát csináld meg
    3. c. ha az Adatátvevő vagy az Adatfeldolgozó az Európai Unió vagy azon tagállam joga alapján, amelyre az adatátvevő vagy adatfeldolgozó vonatkozik, köteles a személyes adatokat az adatátvevő utasításán túlmenően feldolgozni, mielőtt az adatfeldolgozást az adatátadó utasításán túlmenően elvégezné. az utasításokat, kivéve, ha az Európai Unió vagy a tagállam jogszabályai az ilyen adatkezelést létfontosságú közérdekből tiltják, ebben az esetben az Adatexportőrnek küldött értesítésben meg kell határozni az Európai Unió vagy a tagállam adott jogszabálya szerinti jogi követelményt; vagy
    4. d. ha az Adatátvevő kizárólag saját maga vagy alvállalkozója okán olyan személyes adatok megsértését realizálja, amely érintené az Adatátadó jelen szerződés hatálya alá tartozó személyes adatait, amely esetben az Adatátvevő segíti az Adatátadót kötelezettségének teljesítésében, a vonatkozó adatvédelmi jogszabályokkal szemben az érintettek és adott esetben a felügyeleti hatóságok tájékoztatása a rendelkezésére álló információk megadásával a GDPR 33. cikk (3) bekezdésével összhangban.
    5. (v) Az Adatátvevő kérésére az Adatátvevő köteles segítséget nyújtani az Adatexportőrnek a GDPR 35. cikkében előírt adatvédelmi hatástanulmány és előzetes egyeztetés elvégzésében. a GDPR 36. cikke által előírt, az Adatimportőr által az Adatexportőrnek e Függelék alapján nyújtott szolgáltatásokra vonatkozóan, az Adatexportőr rendelkezésére bocsátva a szükséges információkat. Az Adatátvevő csak abban az esetben köteles ilyen segítséget nyújtani, ha kötelezettségének más módon nem tud eleget tenni. Az adatimportőr tájékoztatja az adatexportőrt a segítségnyújtás költségeiről. Amint az Adatexportőr megerősítette, hogy ezt a költséget viselni tudja, az Adatimportőr ezt a segítséget nyújtja az Adatexportőrnek.
    6. (vi) A szolgáltatásnyújtás végén az Adatátvevő kérheti az Adatátvevő által jelen Függelék alapján kezelt személyes adatok visszaküldését a szolgáltatást követő egy hónapon belül. Hacsak a tagállam vagy az Európai Unió jogszabályai nem írják elő az Adatátvevő számára az ilyen személyes adatok tárolását vagy megőrzését, az Adatátvevő az egy hónapos időszak letelte után minden ilyen személyes vagy nem személyes adatot töröl, függetlenül attól, hogy azokat visszaküldték-e az Adatátadó kérésére vagy sem.

 

3.3 Az érintett személyek jogai

  1.  
    1. (i) Az Adatátadó kezeli és válaszol az érintettek kérelmeire. Az Adatátvevő nem köteles közvetlenül válaszolni az érintetteknek.
    2. (ii) Ha az Adatátvevő az Adatátvevő segítségét kéri az Érintett kérelmének feldolgozásához és megválaszolásához, az Adatátvevő további utasítást ad ki az 1. rész 3.1 (ii) pontja szerint. Az adatátvevő segíti az adatátvevőt. fejezetében foglalt, az érintettek jogainak gyakorlására irányuló megkeresések megválaszolása érdekében az alábbi megfelelő és technikai szervezési intézkedésekkel az alábbiak szerint:
    3. a. Az adatigénylés tekintetében az Adatátvevő csak a rendelkezésére álló, a PGRD 13. és 14. cikkében előírt információkat adja át az Adatátadónak, ha azt az Adatátadó saját maga nem találja meg.
    4. b. A hozzáférési kérelmek (GDPR 15. cikk) tekintetében az Adatátvevő csak azokat az információkat adja át az Adatexportőrnek, amelyeket az érintettnek az említett hozzáférési kérelemhez meg kell adni, és amely akkor állhat rendelkezésére, ha utóbbi nem találja meg egyedül.
    5. c. A helyesbítési kérelmek (GDPR 16. cikk), a törlési kérelmek (GDPR 17. cikk), a feldolgozási kérelmek korlátozása (GDPR 18. cikk), vagy a hordozhatóság iránti kérelmek (GDPR 20. cikk) tekintetében, és csak ha az Adatátvevő maga nem tudja helyesbíteni vagy törölni, korlátozni vagy más harmadik félnek továbbítani a személyes adatot, az Adatátvevő lehetőséget biztosít az Adatátvevőnek az érintett személyes adatok helyesbítésére vagy törlésére, korlátozására vagy a másik harmadik félnek történő továbbítására, vagy ha ez nem lehetséges, segítséget nyújt az érintett személyes adatok helyesbítéséhez vagy törléséhez, korlátozásához vagy a másik harmadik félnek történő továbbításához.
    6. d. A helyesbítésre, törlésre vagy az adatkezelés korlátozására vonatkozó bejelentés (GDPR 19. cikk) tekintetében az Adatátvevő segíti az Adatátvevőt azzal, hogy értesíti az Adatátvevő által feldolgozóként bevont valamennyi személyes adat címzettjét, ha az Adatátvevő ezt kéri, és ha az Adatexportőr a helyzetet önállóan nem tudja orvosolni.
    7. e. Az érintett által gyakorolt ​​tiltakozási jog tekintetében (GDPR 21. és 22. cikk) az Adatexportőr határozza meg, hogy a tiltakozás jogos-e, és hogyan kell kezelni azt.
    8. (iii) Az Adatimportőr segítségnyújtási kötelezettségei az infrastruktúrájában (pl. az Adatátvevő tulajdonában lévő vagy általa biztosított adatbázisok, rendszerek, alkalmazások) feldolgozott személyes adatokra korlátozódnak.
    9. (iv) Az Adatátvevő megállapítja, hogy az Érintett gyakorolhatja-e az Érintetteknek az 1. rész 3.1. pontjában meghatározott jogait, és tájékoztatja az Adatátvevőt arról, hogy a 3.3. pont ii. pontjában meghatározott segítség milyen mértékben, ( iii) pontja szükséges.
    10. (v) Ha az Adatátvevő további vagy módosított technikai és szervezési intézkedéseket kér az érintettek jogainak teljesítése érdekében, amelyek túlmutatnak az Adatimportőr által az 1. rész 3.3 (ii), (iii) alpontja szerint nyújtott segítségen, az Adatok Az Importőr tájékoztatja az Adatexportőrt az ilyen kiegészítő vagy módosított technikai és szervezési intézkedések végrehajtásának költségeiről. Amint az Adatátvevő megerősítette, hogy képes ezeket a költségeket fedezni, az Adatátvevő megteszi azokat a kiegészítő vagy módosított technikai és szervezési intézkedéseket, hogy segítse az Adatátadót az Érintett kérelmének megválaszolásában.
    11. (vi) Az 1. rész 3.3 (v) pontja hatályának korlátozása nélkül az Adatátvevő köteles megtéríteni az Adatátvevőnek az Érintett kérelmének megválaszolása során felmerült ésszerű költségeit.

 

3.4 Részfeldolgozás

  1.  
    1. (i) Az Adatexportőr engedélyezi, hogy az Adatimportőr alvállalkozókat vegyen igénybe a jelen Függelék szerinti szolgáltatások nyújtására. Az Adatátvevő gondosan választja ki az ilyen adatfeldolgozó(ka)t. Az Adatexportőr jóváhagyja a 2. rész végén található 1.1. függelékben felsorolt ​​adatfeldolgozó(ka)t.
    2. (ii) Az Adatátvevő a jelen Függelék szerinti kötelezettségeit az alvállalkozói szolgáltatásokra vonatkozó mértékig az Adatfeldolgozó(k)ra ruházza át.
    3. (iii) Az Adatimportőr saját belátása szerint elbocsáthatja, lecserélheti vagy másik megfelelő és megbízható adatfeldolgozó(ka)t nevezhet ki. Ha az Adatexportőr írásban kéri, az Adatátvevő köteles az alábbi eljárást követni:
  2.  
    1. a. Az Adatátvevő tájékoztatja az Adatexportőrt az 1. rész 3.4 (i) pontjában hivatkozott adatfeldolgozók listájának bármilyen változásáról. Ha az Adatexportőr nem emel kifogást a 3.4. Az 1. rész b) pontja szerint harminc nappal az adatátvevő értesítésének kézhezvételét követően a további adatfeldolgozókat elfogadottnak kell tekinteni.
    2. b. Ha az Adatátadónak jogos oka van kifogást emelni egy további adatfeldolgozóval szemben, az Adatátvevő értesítésének kézhezvételétől számított harminc napon belül, illetve az Adatátvevő szolgáltatásának üzembe helyezése előtt előzetesen írásban értesíti az Adatátvevőt. Ha az Adatátvevő tiltakozik egy további adatfeldolgozó igénybevétele ellen, az Adatimportőr a tiltakozást az alábbi (saját belátása szerint választott) lehetőségek egyikével törölheti: (A) az Adatimportőr lemond további adatfeldolgozó igénybevételére vonatkozó tervéről. az Adatátadó személyes adatait; (B) az Adatátvevő megteszi az Adatátadó által tiltakozásában kért korrekciós intézkedéseket (a tiltakozás visszavonását), és az Adatátadó személyes adataival kapcsolatban a további adatfeldolgozót veszi igénybe;
  3.  
    1. (iv) ha az adatfeldolgozó székhelye az EU-EGT-n kívül olyan országban van, amely az Európai Bizottság döntése alapján nem ismeri el megfelelő szintű adatvédelmet, az Adatátvevő megteszi a megfelelő szintű adatvédelmet. a GDPR szerinti adatvédelemről (ilyen intézkedések közé tartozhat többek között az EU-modell záradékain alapuló adatfeldolgozási szerződések alkalmazása, az EU-USA védelmi pajzs keretein belül saját hitelesítésű adatfeldolgozóknak történő továbbítása , vagy egy hasonló program).

 

3.5 Lejárat

Jelen Függelék lejárata megegyezik a megfelelő Szerződés lejárati dátumával. A jelen Melléklet eltérő rendelkezése hiányában a felmondással kapcsolatos jogok és kötelezettségek megegyeznek a Szerződésben foglaltakkal.

 

4. A felelősség korlátozása

4.1 Mindegyik fél teljesíti a jelen Függelék és a vonatkozó adatvédelmi jogszabályok szerinti kötelezettségeit.

4.2 A jelen Függelékben vagy az alkalmazandó adatvédelmi jogszabályokban foglalt kötelezettségek megszegésével kapcsolatos bármely felelősségre a Szerződésben meghatározott vagy arra vonatkozó felelősségi rendelkezések vonatkoznak, és azokra az irányadók, kivéve, ha e függelék másként rendelkezik. Ha a felelősségre a Szerződésben foglalt vagy arra vonatkozó felelősségi rendelkezések az irányadók, a felelősségi korlátok kiszámítása vagy egyéb felelősségi korlátozások alkalmazásának meghatározása során a jelen Függelékből eredő felelősséget a Szerződésből eredőnek kell tekinteni.

 

5. Általános rendelkezések

5.1 Ha a jelen Függelék 1. és 2. része között ellentmondások vagy eltérések vannak, a 2. rész az irányadó. Pontosabban, még ilyen esetben is érvényben marad az 1. rész, amely egyszerűen túllép a 2. részen (vagyis a szabványos kikötéseken), anélkül, hogy ellentmondana annak.

5.2 Amennyiben a jelen Melléklet és a feleket kötelező szerződések rendelkezései között eltérés adódik, a felek adatvédelmi kötelezettségei tekintetében jelen Függelék az irányadó. Abban az esetben, ha kétség merül fel azzal kapcsolatban, hogy más szerződések kikötései érintik-e a felek adatvédelmi kötelezettségeit, a jelen Függelék az irányadó.

5.3 Ha e Függelék bármely rendelkezése érvénytelen vagy végrehajthatatlan, a Függelék többi része teljes mértékben hatályban marad. Az érvénytelen vagy végrehajthatatlan rendelkezést (i) módosítják annak érvényessége és végrehajthatósága érdekében, a felek szándékának lehetőség szerinti megőrzése mellett, vagy - ha ez nem lehetséges - (ii) úgy értelmezik, mintha az érvénytelen vagy végrehajthatatlan rész soha nem volt része a szerződésnek. A fentiek akkor is érvényesek, ha e Függelékben hiányzik.

5.5 A Felek a szükséges mértékig kérhetik az 1. rész 3. pontjának (A helyi jogszabályoknak való megfelelés) vagy a Függelék más részeinek módosítását annak érdekében, hogy megfeleljenek az Unió illetékes hatóságai által kiadott értelmezéseknek, irányelveknek vagy utasításoknak. A tagállamok, a nemzeti végrehajtási rendelkezések vagy a GDPR-ra vagy az adatfeldolgozásban részt vevő szervezetekre történő átruházás egyéb feltételeire vonatkozó egyéb jogi fejlemények, különös tekintettel a GDPR általános szerződési feltételeinek használatára. Az Általános Szerződési Feltételek feltételei nem módosíthatók vagy helyettesíthetők, kivéve, ha azt az Európai Bizottság kifejezetten jóváhagyja (pl. új megfelelő kikötésekkel és adatvédelmi szabványokkal).

5.6 Az ebben a Függelékben a „Cikkelyekre” történő hivatkozásokat a jelen Függelék összes rendelkezésére való hivatkozásként kell értelmezni, hacsak másként nem rendelkeznek.

5.7 A 2. rész 9. pontjában szereplő jogválasztás az egész Szerződésre vonatkozik.

 

6. A felek által személyes célból továbbított és kezelt személyes adatok (az adatkezelőtől az adatkezelőhöz történő továbbítás)

6.1 A Felek tisztában vannak azzal, hogy bizonyos személyes adatokat az Adatexportőrtől az Adatimportőrhöz és fordítva továbbítanak, és ezeket az adatokat mindegyik Fél saját céljaira kezeli. Az ilyen személyes adatok tekintetében ez nem érinti a jelen Függelék egyéb rendelkezéseit (a jelen 6. pont kivételével).

6.2 Az Adatátvevő az Adatátvevőnek továbbíthatja az Adatátvevő munkatársaira vonatkozó személyes adatokat, ideértve a biztonsági incidensekre vonatkozó információkat, vagy bármely más dokumentumot vagy fájlt, amelyet az Adatátvevő az Adatkezelő munkatársai által nyújtott szolgáltatásokkal kapcsolatban hozott létre vagy hozott létre. az Adatimportőr. Az Adatátvevő az ilyen személyes adatokat saját céljaira, így különösen az Adatátvevő munkatársaival való szakmai kapcsolatai során, minőségellenőrzés és képzés, vagy üzleti célból kezelheti.

6.3. Az Adatátvevő személyes adatokat továbbíthat az Adatátvevőnek, beleértve az Adatátvevő személyzetének nevét és elérhetőségeit. Az Adatátvevő az ilyen személyes adatokat saját céljaira kezelheti.

6.4 Mindkét fél köteles betartani a vonatkozó adatvédelmi törvényeket, beleértve a GDPR-t is a másik féltől az 1. rész 1. pontja alapján kapott személyes adatok gyűjtése, feldolgozása és felhasználása során. Mindkét fél megteszi a megfelelő biztonsági intézkedéseket. a 2. rész 2. függelékében meghatározott biztonsági intézkedésekhez hasonló szintű védelem. Az ilyen személyes adatokhoz való hozzáférés csak azok ismeretének szükségességére korlátozódik.

6.5 Mindkét Fél köteles az ilyen személyes adatokat a célok elérése után a lehető leghamarabb törölni.

2. rész

 

A BIZOTTSÁG HATÁROZATA

2010. február 5-én

a személyes adatok harmadik országokban letelepedett adatfeldolgozóknak történő továbbítására vonatkozó általános szerződési feltételekről az Európai Parlament és a Tanács 95/46/EK irányelve értelmében

 

 

 

1. záradék

Definíciók

A záradékok értelmében:

a) a „személyes adat”, „különleges adatkategóriák”, „feldolgozás/feldolgozás”, „adatkezelő”, „feldolgozó”, „érintett” és „felügyeleti hatóság” jelentése megegyezik a 95/46/EK irányelvben foglaltakkal. az Európai Parlament és a Tanács 1995. október 24-i irányelve a személyes adatok feldolgozása során az egyének védelméről és az ilyen adatok szabad áramlásáról (1);

b) az „Adatexportőr” a személyes adatokat továbbító Adatkezelő;

c) az „Adatimportőr” az az adatfeldolgozó, aki beleegyezik abba, hogy az adatátadótól az adatátadó nevében feldolgozni kívánt személyes adatokat az adatátadó utasításainak és a jelen kikötések feltételeinek megfelelően történő továbbítást követően megkapja, és aki nem a 95/46/EK irányelv 25. cikkének (1) bekezdése értelmében megfelelő védelmet biztosító harmadik ország mechanizmusától függően; d) „Adatfeldolgozó”: az Adatátvevő vagy az Adatátvevő bármely más adatfeldolgozója által megbízott adatfeldolgozó, aki beleegyezik abba, hogy az Adatátvevőtől vagy az Adatátvevő bármely más adatfeldolgozójától személyes adatokat kizárólag az adatfeldolgozás céljára szolgáló tevékenységekhez kapjon. az adatátadó megbízásából az adattovábbítást követően, az adatátadó utasításai szerint kell végrehajtani,

e) „alkalmazandó adatvédelmi jogszabály”: az egyének alapvető jogait és szabadságait védő jogszabály, ideértve a magánélethez való jogot a személyes adatok feldolgozásával kapcsolatban, és amely az adatexportőr székhelye szerinti tagállam adatkezelőjére vonatkozik;

f) „biztonsággal kapcsolatos technikai és szervezési intézkedések”: a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférés ellen védelmet biztosító intézkedések, különösen, ha a feldolgozás az adatok hálózaton keresztüli továbbításával jár, valamint minden egyéb jogellenes adatkezelési forma.

2. szakasz

Az átutalás részletei

Az adattovábbítás részleteit, beleértve adott esetben a személyes adatok különleges kategóriáit is, az 1. függelék tartalmazza, amely e kikötések szerves részét képezi.

3. szakasz

Harmadik fél kedvezményezett záradéka

1. Az érintett érvényesítheti az Adatexportőrrel szemben ezt a záradékot, a 4. pont b)–i) pontját, az 5. pont a)–e) és g)–j) pontját, valamint a 6. szakasz (1) és (2) bekezdését. ), a 7. szakasz, a 8. szakasz (2) bekezdése és a 9–12. szakasz harmadik fél kedvezményezettként

2. Az érintett érvényesítheti ezt a záradékot, az 5. pont a)–e) és g) pontját, a 6. pont, a 7. pont, a 8. pont (2) bekezdés és a 9–12. eltűnt vagy jogilag megszűnt, kivéve, ha minden jogi kötelezettsége szerződés vagy jogszabály alapján átszállt arra a jogutódra, amelyre ezért az Adatexportáló jogai és kötelezettségei visszaszállnak, és amellyel szemben az adatok alany tehát érvényesítheti az említett kikötéseket.

Az érintett a jelen kikötést, az 5. pont a)–e) és g) pontját, a 6. pont, a 7. pont, a 8. pont (2) bekezdését és a 9–12. pontját érvényesítheti az Adatfeldolgozóval szemben, de csak olyan esetekben Az Exportőr és az Adatimportőr fizikailag eltűntek, jogilag megszűntek vagy fizetésképtelenné váltak, kivéve, ha az Adatexportőr valamennyi jogi kötelezettsége szerződés vagy jogszabály alapján átszállt a jogutódra, akit megillető jogok, ill. Kötelezettségei tehát az Adatexportőrt terhelik, és akivel szemben az érintett ilyen kikötéseket érvényesíthet. Az Adatfeldolgozó ilyen felelősségét a jelen pontok szerinti saját adatkezelési tevékenységére kell korlátozni.

4. A felek nem tiltakoznak az ellen, hogy az érintettet valamely egyesület vagy más szerv képviselje, ha ő úgy kívánja, és ha a nemzeti jog ezt lehetővé teszi.

4. szakasz

Az adatexportőr kötelezettségei

Az Adatexportőr az alábbiakat fogadja el és garantálja:

a) a feldolgozást, beleértve a személyes adatok tényleges továbbítását is, az alkalmazandó adatvédelmi jogszabályok vonatkozó rendelkezéseivel összhangban végezték és folytatják (és adott esetben értesítették a tagállam illetékes hatóságait amelyben az Adatexportőr székhelye található), és nem sérti az adott állam vonatkozó rendelkezéseit;

b) utasították, és a személyes adatkezelési szolgáltatások időtartama alatt utasítják az Adatátvevőt, hogy a továbbított személyes adatokat kizárólag az Adatátadó nevében, a vonatkozó adatvédelmi jogszabályokkal és jelen kikötésekkel összhangban kezelje;

c) az Adatátvevő megfelelő biztosítékokat nyújt a jelen szerződés 2. számú mellékletében meghatározott technikai és szervezési biztonsági intézkedések tekintetében;

d) a vonatkozó adatvédelmi jogszabályok követelményeinek értékelését követően a biztonsági intézkedések megfelelőek a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala, illetve hozzáférés ellen, különösen, ha az adatkezelés adattovábbítással jár. hálózaton keresztül, valamint az adatfeldolgozás minden egyéb jogellenes formájával szemben, valamint a feldolgozás által jelentett kockázatoknak és a védendő adatok jellegének megfelelő biztonsági szintet biztosítanak, tekintettel a technológia szintjére és a megvalósítás költségeire;

e) gondoskodnak a biztonsági intézkedések betartásáról;

f) ha az adattovábbítás különleges adatkategóriákra vonatkozik, az érintettet a továbbítás előtt, illetve a továbbítást követően a lehető legrövidebb időn belül tájékoztatták vagy tájékoztatják arról, hogy az adatait olyan harmadik országba továbbíthatják, amely nem megfelelő szintű védelem a 95/46/EK irányelv értelmében;

g) az Adatimportőrtől vagy bármely Adatfeldolgozótól az 5. b) pont és a 8. cikk (3) bekezdése alapján kapott értesítést továbbítják az adatvédelmi felügyeleti hatóságnak, ha az az adattovábbítás folytatása vagy a felfüggesztés feloldása mellett dönt;

h) az érintettek kérésére rendelkezésre bocsátják a jelen Kikötések másolatát – a 2. függelék kivételével – és a biztonsági intézkedések összefoglaló leírását, valamint a jelen pontok alapján megkötött bármely további alvállalkozói szerződés másolatát, kivéve, ha A kikötések vagy a megállapodás kereskedelmi információkat tartalmaz, ebben az esetben visszavonhatja ezeket az információkat;

i) az adatkezelési eljárás alvállalkozásba adásakor a 11. pont szerinti adatkezelési tevékenységet olyan Adatfeldolgozó végzi, amely a személyes adatok és az érintett jogainak legalább ugyanolyan szintű védelmét biztosítja, mint a jelen pontok szerinti Adatátvevő ; és

j) biztosítja a 4. szakasz a)–i) pontjainak való megfelelést.

5. szakasz

Az Adatimportőr kötelezettségei

Az Adatimportőr elfogadja és szavatolja a következőket:

a) a személyes adatokat kizárólag az adatátadó nevében, az adatátadó utasításai és jelen kikötések alapján dolgozzák fel; ha valamilyen okból nem tud eleget tenni, beleegyeznek abba, hogy a lehető legrövidebb időn belül tájékoztatják az Adatátadót annak képtelenségéről, amely esetben az Adatátadó felfüggesztheti az adattovábbítást és/vagy felmondhatja a szerződést;

b) nincs okuk azt hinni, hogy a rájuk alkalmazandó jog akadályozza őt abban, hogy teljesítse az Adatátadó utasításait és a szerződésből eredő kötelezettségeit, és ha az ilyen jogszabály olyan változáson megy keresztül, amely jelentős hátrányt okozhat pontokban foglalt szavatosságra és kötelezettségekre gyakorolt ​​hatást, a változásról a tudomásszerzést követően haladéktalanul értesíti az Adatátadót, amely esetben az Adatátadó felfüggesztheti az adattovábbítást és/vagy felmondhatja a szerződést; c) a továbbított személyes adatok feldolgozása előtt végrehajtották a 2. számú mellékletben meghatározott technikai és szervezési biztonsági intézkedéseket;

d) haladéktalanul értesítik az Adatexportőrt:

i) a bűnüldöző hatóságtól a személyes adatok nyilvánosságra hozatalára irányuló kötelező erejű kérelmet, eltérő rendelkezés hiányában, mint például a rendőrségi nyomozás titkosságának megőrzését célzó büntetőjogi tilalom;

ii. bármilyen véletlenszerű vagy jogosulatlan hozzáférés; és

iii. az érintett személyektől közvetlenül, válaszadás nélkül kapott megkeresés, kivéve, ha erre felhatalmazást kaptak; rendszergazdák

e) haladéktalanul és megfelelően kezelik az Adatátadótól érkező, az átadott személyes adatok feldolgozásával kapcsolatos minden megkeresést, és a felügyeleti hatóság véleménye szerint járnak el az átadott adatok kezelésével kapcsolatban;

f) az Adatexportőr kérésére alávetik adatfeldolgozási létesítményeit a jelen kikötések hatálya alá tartozó adatkezelési tevékenységek ellenőrzésének, amelyet az adatátadó vagy a szükséges szakmai képesítéssel rendelkező független tagokból álló felügyeleti szerv végez, titoktartási kötelezettség alá eső és az Adatexportőr által választott, adott esetben a felügyeleti hatóság beleegyezésével;

g) az érintett kérésére rendelkezésre bocsátják a jelen Kikötések vagy az adatkezelési szerződés fennálló alvállalkozói szerződésének másolatát, kivéve, ha a kikötések vagy a szerződés kereskedelmi információt tartalmaznak, ebben az esetben az információk, kivéve a 2. számú mellékletet, amelyet a biztonsági intézkedések összefoglaló leírása vált fel, amennyiben az érintett nem kaphat másolatot az Adatexportőrtől;

h) az adatkezelés bizalmas további alvállalkozásba adása esetén gondoskodik az Adatátadó előzetes tájékoztatásáról és az Adatátadó írásbeli hozzájárulásának megszerzéséről;

i) az Adatfeldolgozó által nyújtott adatkezelési szolgáltatásoknak meg kell felelniük a 11. pontnak;

j) haladéktalanul megküldi az Adatexportőrnek az általa a jelen pontok alapján kötött adatkezelési szerződés alvállalkozási szerződésének másolatát.

6. szakasz

Felelősség

1. A felek megállapodnak abban, hogy minden érintett, akit a 3. vagy a 11. pontban említett kötelezettségek valamelyik fél vagy egy adatfeldolgozó általi megsértése miatt kárt szenvedett, az elszenvedett kárért kártérítést kérhet az Adatexportőrtől.

2. Ha az érintett akadályozva van abban, hogy az (1) bekezdésben említett kártérítési keresetet indítson az Adatátadóval szemben azért, mert az Adatátvevő vagy annak Adatfeldolgozója nem teljesítette a 3. vagy 11. pont szerinti kötelezettségeit, mert az Adat Az adatátvevő fizikailag eltűnt, jogilag megszűnt vagy fizetésképtelenné vált, az Adatátvevő hozzájárul ahhoz, hogy az érintett ellene úgy panaszt nyújtson be, mintha az adatátadó lenne, kivéve, ha az Adatátvevő minden jogi kötelezettsége szerződés alapján átszállt. vagy törvény erejénél fogva annak jogutódjához, amellyel szemben az érintett jogait érvényesítheti. Az Adatátvevő saját felelősségének elkerülése érdekében nem hivatkozhat arra, hogy az Adatfeldolgozó megszegi kötelezettségeit.

3. Ha az érintett akadályoztatott abban, hogy az (1) és (2) bekezdésben említett keresetet megindítsa az adatexportőrrel vagy az adatátvevővel szemben azért, mert az adatfeldolgozó megsértette a 3. vagy 11. pont szerinti kötelezettségeit, mert az adatátadó és az adatátvevő fizikailag eltűntek, törvényben megszűntek vagy fizetésképtelenné váltak, az Adatfeldolgozó hozzájárul ahhoz, hogy az érintett panaszt nyújtson be ellene saját adatkezelési tevékenységeivel kapcsolatban a jelen kikötésekkel összhangban, mintha az adatexportőr vagy adatimportőr lenne, kivéve, ha az Adatátadó vagy az Adatátvevő jogi kötelezettségei szerződéssel vagy törvény erejénél fogva a jogutódra szálltak át, akivel szemben az érintett jogait érvényesítheti.Az Adatfeldolgozó felelősségét saját adatkezelési tevékenységére kell korlátozni a jelen pontoknak megfelelően.

 

7. szakasz

Közvetítés és joghatóság

1. Az Adatátvevő hozzájárul ahhoz, hogy amennyiben a kikötések értelmében az érintett a harmadik fél kedvezményezett jogára hivatkozik vele szemben és/vagy az elszenvedett sérelem megtérítését követeli, akkor elfogadja az érintett döntését:

a) a vitát független személy vagy adott esetben a felügyeleti hatóság általi közvetítés elé terjeszteni;

b) a jogvitát az adatexportőr székhelye szerinti tagállam bíróságai elé viheti.

2. A felek megállapodnak abban, hogy az érintett választása nem érinti az érintett eljárási vagy anyagi jogát a nemzeti vagy nemzetközi jog egyéb rendelkezései szerinti jogorvoslathoz.

8. szakasz

Együttműködés a felügyeleti hatóságokkal

1. Az Adatexportőr vállalja, hogy a jelen szerződés egy példányát letétbe helyezi a felügyeleti hatóságnál, ha ez megköveteli, vagy ha a letétbe helyezést a vonatkozó adatvédelmi törvény előírja.

2. A felek megállapodnak abban, hogy a felügyeleti hatóság az Adatátvevőnél és bármely Adatfeldolgozónál ugyanolyan mértékben és feltételekkel végezhet ellenőrzéseket, mint az Adatexportőrnél a vonatkozó adatvédelmi jogszabályoknak megfelelően.

3. Az Adatátvevő a lehető legrövidebb időn belül tájékoztatja az Adatátadót az Adatátvevőre vagy bármely Adatfeldolgozóra vonatkozó olyan jogszabály meglétéről, amely a (2) bekezdés szerint megakadályozza az adatátvevőnél vagy bármely adatfeldolgozónál az ellenőrzést. Az Adatexportőr megteheti az 5. b) pontban előírt intézkedéseket.

9. szakasz

Alkalmazandó jog

A záradékok az adatexportőr székhelye szerinti tagállam joga alkalmazandó és az irányadó.

10. szakasz

A szerződés módosítása

A felek vállalják, hogy a jelen kikötéseket nem módosítják. A felek szabadon beiktathatnak más kereskedelmi kikötéseket, amelyeket szükségesnek tartanak, feltéve, hogy azok nem mondanak ellent a jelen kikötéseknek.

11. szakasz

Utólagos alvállalkozás

1. Az Adatátvevő az Adatexportőr előzetes írásbeli hozzájárulása nélkül semmilyen, az Adatexportőr nevében végzett adatfeldolgozási tevékenységét nem ad alvállalkozásba. Az Adatátvevő a jelen pontok szerinti kötelezettségeit csak az Adatátvevő hozzájárulásával adja át alvállalkozásba az Adatfeldolgozóval kötött írásbeli megállapodással, amely az Adatfeldolgozóra nézve ugyanazokat a kötelezettségeket rója, mint a jelen pontok alapján az Adatátvevőre. Ha az adatfeldolgozó nem tud eleget tenni az írásos megállapodás szerinti adatvédelmi kötelezettségeinek, az Adatátvevő továbbra is teljes mértékben felelős az adatátadó felé ezen kötelezettségek teljesítéséért.

2. Az Adatátvevő és az Adatfeldolgozó közötti előzetes írásbeli megállapodásnak tartalmaznia kell a 3. pontban meghatározott harmadik félre vonatkozó kedvezményezetti záradékot is arra az esetre, ha az érintett akadályozva van a 6. (1) bekezdésben említett kártérítési igény előterjesztésében. ), az Adatexportőrrel vagy Adatimportőrrel szemben azért, mert az Adatexportőr vagy Adatimportőr fizikailag eltűnt, jogilag megszűnt vagy fizetésképtelenné vált, és az Adatexportőr vagy Adatimportőr minden jogi kötelezettsége szerződés vagy működés útján nem került átadásra. egy másik jogutód jogalanynak. Az Adatfeldolgozó felelőssége a jelen pontoknak megfelelően saját adatkezelési tevékenységére korlátozódik.

(3) Az (1) bekezdésben említett szerződés adatfeldolgozásának alvállalkozásba adásának adatvédelmi vonatkozásaira annak a tagállamnak a joga az irányadó, amelyben az adatexportőr letelepedett.

4. Az Adatátvevő az 5. pont j) pontja szerint kötött, az Adatátvevő által az 5. pont j) pontja szerint megkötött adatkezelési szerződések alvállalkozóiról jegyzéket vezet, amelyet legalább évente egyszer aktualizál. Ezt a listát az Adatexportőr adatvédelmi felügyeleti hatósága rendelkezésére kell bocsátani.

12. szakasz

A személyes adatkezelési szolgáltatások megszűnését követő kötelezettség

1. A felek megállapodnak abban, hogy az adatfeldolgozási szolgáltatás befejezését követően az Adatátvevő és az Adatfeldolgozó az Adatátvevő kényelmének megfelelően minden átadott személyes adatot és azok másolatát visszaküldi az Adatátvevőnek, vagy megsemmisíti, és igazolja. a megsemmisítést az Adatátvevőnek, kivéve, ha az Adatátvevőre előírt jogszabály nem tiltja, hogy a továbbított személyes adatokat részben vagy egészben visszaküldje vagy megsemmisítse. Ebben az esetben az Adatátvevő garantálja, hogy a továbbított személyes adatok bizalmas kezelését biztosítja, és az adatokat a továbbiakban aktívan nem kezeli.

2. Az Adatátvevő és az Adatfeldolgozó gondoskodik arról, hogy az adatátvevő és/vagy a felügyeleti hatóság kérésére adatkezelési eszközeiket az (1) bekezdésben említett intézkedések ellenőrzésének alávesse.

 

 

 

 

2. rész 1.1. függeléke

Az átutalás részletei

 

 

Adatexportáló

Az Adatexportőr a Szerződésben meghatározott Ügyfél.

 

Adatimportőr

Az Adatimportőr az IQUALIF, az adatok feldolgozásával, az Adatexportőrnek nyújtott szolgáltatásokkal van megbízva.

 

Az adatok alanyai

A továbbított személyes adatok az érintettek alábbi kategóriáit érintik:

˜' az egyetemes telefonkönyvben felsorolt ​​telefon-előfizetők

˜ Egyebek, beleértve:

 

Adatkategóriák

A továbbított személyes adatok a következő adatkategóriákra vonatkoznak:

 

Az Adatexportáló érintetteinek személyes adatainak kategóriái különösen,

˜' Teljes név

˜' Postacím

˜' Elérhetőségi adatok (e-mail, telefon, IP cím stb.)

˜' A telefon-előfizetőre vonatkozó marketingtevékenység részletei

˜' Egyebek, beleértve a lakhatás típusát, a jövedelmet és a város által névtelenül megadott átlagéletkort

 

Különleges adatkategóriák (ha van)

A továbbított személyes adatok az alábbi speciális adatkategóriákra vonatkoznak:

˜' Speciális adatkategóriák továbbítása nem várható

˜ Faji vagy etnikai származás

˜ Vallási vagy filozófiai meggyőződések

˜ Szakszervezeti tagság

˜ Politikai nézetek

˜ Genetikai információ

˜ Biometrikus információ

˜ Információk a szexuális irányultságról vagy a szexuális életről

˜ Egészségügyi adatok

 

Feldolgozási tevékenységek

A továbbított személyes adatokra az alábbi alapvető adatkezelési tevékenységek vonatkoznak:

 

  •  
    • A feldolgozás célja

Az Adatexportőr nevében végzett adatkezelés az alábbi témákon alapul, különösen:

˜' Az Adatexportőr által kínált termékek vagy szolgáltatások átvétele

˜' Olyan termék vagy szolgáltatás ajánlata, amelyet a hívott személy igényelhet

˜' A hívott személyektől felvett rendelések és ezek további feldolgozása

˜' Kérdőívek és elemzések tanulmányozása

˜' Telemarketing

˜ Egyebek, beleértve:

 

  •  
    • A feldolgozás jellege és célja

Az Adatátvevő az érintettek személyes adatait az Adatátvevő nevében az alábbi szolgáltatások nyújtása érdekében dolgozza fel, különösen:

˜' Értékesítés és marketing

˜' Egyebek, beleértve a városházák és politikai pártok adatbázisainak frissítését

 

  •  
    • ¢ Szolgáltatásnyújtás és szolgáltatók foglalkoztatása

 

Az IQUALIF elsősorban az Adatexportőrt egyesíti, központosítja és szolgáltatásokat nyújt. A megnevezett szolgáltató által nyújtott szolgáltatások (többek között adott esetben) a következő kiegészítő szolgáltatások köré szerveződhetnek: (i) alkalmazások, eszközök, rendszerek és informatikai infrastruktúra biztosítása a használt adatfeldolgozó központokhoz kapcsolódóan annak érdekében, hogy és támogatja a szolgáltatásokat, beleértve az érintettek személyes adatainak fent leírt feldolgozását is, ilyen alkalmazásokon, eszközökön és rendszereken keresztül, (ii) az ilyen alkalmazásokkal, eszközökkel, rendszerekkel kapcsolatos informatikai támogatás, karbantartás és egyéb szolgáltatások nyújtását. és informatikai infrastruktúra, beleértve az ilyen alkalmazásokban, eszközökben és rendszerekben tárolt személyes adatokhoz való potenciális hozzáférést, valamint (iii) adatvédelmi szolgáltatások, védelemfigyelés és incidensreagálási szolgáltatások, beleértve a személyes adatokhoz való potenciális hozzáférést az ilyen védelmi szolgáltatások nyújtása során. Az IQUALIF az alábbiakban meghatározott adatfeldolgozókat vehet igénybe a szolgáltatások nyújtásához, beleértve a kiegészítő szolgáltatásokat is.

 

  •  
    • • Külső, külső szolgáltatók, mint az adatfeldolgozáshoz rendelt alegységek

 

Az IQUALIF külső és külső szolgáltatókat vesz igénybe, amelyek nem leányvállalatai az IQUALIF-nek, hogy támogassák az Adatexportőrnek nyújtott szolgáltatást. Az Adatexportőr az ilyen külső, külső szolgáltatókat adatkezeléssel megbízott alegységként engedélyezi.

 

Ha az adatfeldolgozásban részt vevő alszervezet az EU-n/EGT-n kívül található, olyan országban, amelyről az Európai Bizottság döntése értelmében nem rendelkezik megfelelő szintű adatvédelemmel, az Adatimportőr lépéseket tesz a megfelelő szintű adatvédelem érdekében. adatvédelem a GDPR és az 1. rész 3.4 (iv) szakasza szerint.

 

 

2. függelék 2. rész

Műszaki és szervezési védőintézkedések

 

Az Adatátvevő megteszi az Adatátadó által jóváhagyott alábbi technikai és szervezési védelmi intézkedéseket annak érdekében, hogy a kockázatoktól függően megfelelő szintű biztonságot garantáljon az egyének jogai és szabadságai tekintetében. Az érintett védelmi szint értékelése során az Adatátadó különösen figyelembe vette az adatkezeléssel járó kockázatokat, ideértve a véletlen vagy jogellenes megsemmisülést, megváltoztatást, jogosulatlan nyilvánosságra hozatalt, illetve a továbbított, tárolt vagy más módon kezelt személyes adatokhoz való hozzáférést. Pontosítással: Jelen technikai és szervezeti védelmi intézkedések nem vonatkoznak az Adatexportőr által biztosított alkalmazásokra, eszközökre, rendszerekre és/vagy informatikai infrastruktúrára.

1 Általános műszaki és szervezési védelmi intézkedések
1.1 Általános információk és adatvédelmi stratégiák
Az általános adat- és információvédelmi stratégiák követéséhez a következő lépéseket kell megtenni:
  • a) intézkedik a műszaki és szervezeti védelem tekintetében tett intézkedések értékeléséről;
  • b) képzést biztosít a munkavállalók tudatosságának növelésére;
  • c) rendelkezzen az érintett rendszerek leírásával, és hozzáférést biztosítson a munkavállalók számára;
  • d) formális dokumentációs eljárást hoz létre a rendszerek bevezetése vagy módosítása esetén;
  • e) a szervezeti felépítés, a folyamatok, a felelősségi körök és a megfelelő értékelések dokumentálása;
 
1.2 Az információvédelem megszervezése
Az adat- és információvédelmi tevékenységek összehangolása érdekében a következő intézkedéseket kell megtenni:
  • a) az információ és az adatok védelmével kapcsolatos felelősségek meghatározása (pl. az adatvédelmi szabályzaton keresztül);
  • b) a rendelkezésre álló információk és adatok védelméhez szükséges szakértelem;
  • c) minden alkalmazott elkötelezett a személyes adatok bizalmas kezelése mellett, és tájékoztatást kapott ezen kötelezettségvállalás megszegésének lehetséges következményeiről.
 
1.3 Hozzáférés ellenőrzése a feldolgozó területekhez
A következő intézkedéseket kell megtenni annak megakadályozására, hogy illetéktelen személyek hozzáférjenek az adatfeldolgozó rendszerekhez (különösen a szoftverekhez és hardverekhez), amikor személyes adatokat dolgoznak fel, tárolnak vagy továbbítanak:
  • a) biztonságos területeket létesítsen;
  • b) védi és korlátozza az adatfeldolgozó rendszerekhez való hozzáférést;
  • c) a munkavállalók és harmadik felek számára hozzáférési jogosultságokat hoz létre, beleértve a vonatkozó dokumentumokat;
  • d) minden olyan adatfeldolgozó központhoz való hozzáférést, ahol személyes adatokat tárolnak, naplózni kell.
 
1.4 Adatfeldolgozó rendszerekhez való hozzáférés ellenőrzése
Az adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megelőzése érdekében a következő intézkedéseket kell tenni:
  • a) felhasználói hitelesítési szabályzatok és eljárások;
  • b) jelszavak használata minden számítógépes rendszeren;
  • c) a hálózathoz való távoli hozzáférés többtényezős hitelesítést igényel, és azt az érintett személy kötelessége szerint és felhatalmazás alapján biztosítja;
  • d) az egyes funkciókhoz való hozzáférés a felhasználói fiókhoz egyedileg hozzárendelt munkafunkciókon és/vagy attribútumokon alapul;
  • e) a személyes adatokhoz kapcsolódó hozzáférési jogokat rendszeresen felülvizsgálják;
  • f) a hozzáférési jogok változásairól készült nyilvántartásokat naprakészen kell tartani.
 
1.5 Az adatfeldolgozó rendszerek meghatározott felhasználási területeihez való hozzáférés szabályozása
Az alábbi intézkedéseket kell megtenni annak érdekében, hogy az adatfeldolgozó rendszer használatára jogosult személyek csak a saját feladatkörükben és hozzáférési jogosultságukon belül férhessenek hozzá az adatokhoz, valamint hogy a személyes adatok engedély nélkül ne legyenek olvashatók, másolhatók, módosíthatók vagy törölhetők:
  1.  
    1. a) az alkalmazottak titoktartási kötelezettségeire, a személyes adatokhoz való hozzáférés jogára és a személyes adatok kezelésének terjedelmére vonatkozó szabályzatok, utasítások és képzések;
  • b) fegyelmi intézkedések a személyes adatokhoz engedély nélkül hozzáférő személlyel szemben;
  • c) a személyes adatokhoz csak az arra jogosult személyek férhetnek hozzá, szükség szerint;
  • d) vezeti a rendszergazdák listáját, és megteszi a megfelelő intézkedéseket a rendszergazdák ellenőrzésére;
  • e) ne másoljon vagy reprodukáljon személyes adatokat semmilyen tárolórendszeren, hogy illetéktelen személyek eltávolíthassák a kibocsátó adatait;
  • f) az adatok ellenőrzött és dokumentált törlése vagy megsemmisítése;
  • g) minden olyan személyes adatot biztonságosan tárolni, amelyet jogi vagy szabályozási okokból (pl. adatmegőrzési kötelezettség) meg kell őrizni, és csak a jogszabály által előírt ideig.
 
1.6 Sebességváltó-vezérlés
A következő intézkedéseket kell tenni annak megakadályozása érdekében, hogy az adattároló eszközök továbbítása vagy szállítása során a személyes adatokat jogosulatlan harmadik fél elolvassa, másolja, módosítsa vagy törölje (a személyes adatok kezelésétől függően):
  1.  
    1. a) tűzfalak használata;
  • b) a személyes adatok szállítási célú mobil tárolóeszközön való tárolásának elkerülése, illetve az eszközök titkosítása;
  • c) laptopokon és más mobil eszközökön csak a titkosítási védelem aktiválása után használható;
  • d) személyes adatok továbbításának naplózása.
 
1.7 Adatbevitel vezérlése
Az alábbi intézkedéseket kell megtenni annak érdekében, hogy ellenőrizhető legyen és megállapítható legyen, hogy személyes adatot vittek-e be vagy töröltek-e az adatfeldolgozó rendszerekbe, és kik végezték el:
  1.  
    1. a) a tárolt adatok olvasásának, megváltoztatásának és törlésének engedélyezésére vonatkozó szabályzat;
  • b) a tárolt adatok kiolvasásával, megváltoztatásával és törlésével kapcsolatos védelmi intézkedések.
 
1.8 Munkaellenőrzés
Személyes adatok átruházott kezelése esetén a következő intézkedéseket kell megtenni annak biztosítására, hogy ezen adatok kezelése a Felügyelő utasításainak megfelelően történjen:
  1.  
    1. a) az adatkezelésre kijelölt, körültekintően kiválasztott jogalanyok vagy alszervezetek (az adatkezelő megbízásából személyes adatokat feldolgozó szolgáltatók);
  • b) a személyes adatok kezelésének terjedelmére vonatkozó utasítások az adatkezeléssel megbízott alkalmazottak, jogalanyok vagy alszervezetek részére;
  • c) az adatkezeléssel megbízott szervezetekkel vagy alszervezetekkel egyeztetett ellenőrzési jogok;
  • d) az adatok feldolgozására kijelölt szervezetekkel vagy alszervezetekkel kötött megállapodások.
 
1.9 Elválasztás az egyéb célú feldolgozástól
A következő intézkedéseket kell megtenni annak érdekében, hogy az egyéb célból gyűjtött adatok külön-külön is feldolgozhatók legyenek:
  1.  
    1. a) a személyes adatokhoz való elkülönített hozzáférés a felhasználók meglévő jogaival összhangban;
  • b) az interfészek, a kötegelt feldolgozás és a jelentéskészítés más célt és funkciót szolgálnak, így az egyéb célból gyűjtött adatok külön-külön is feldolgozhatók.
 
1.10 Álnevesítés
A személyes adatok álnevesítésével kapcsolatban a következő intézkedéseket kell megtenni:
  1.  
    1. a) Ha az Adatátvevő konkrét adatkezelési műveletet rendel el, vagy ha ezt az Adatátvevő az egyes adatkezelési tevékenységekre vonatkozó hatályos adatvédelmi jogszabályok értelmében megfelelőnek tartja, a személyes adatok kezelése úgy történik, hogy az adatok további információk felhasználása nélkül már nem rendelhetők egy adott személyhez. Ezeket a kiegészítő információkat külön tároljuk;
  • b) álnevesítési technikák alkalmazása, beleértve a kiosztási listák véletlenszerűsítését; értékteremtés élesek formájában.
 
1.11 Titkosítás

A következő lépéseket kell megtenni a személyes adatok titkosításához a titkosítást támogató alkalmazásokban és átvitelekben:

  1.  
    1. a) titkosítási technikák alkalmazása;
  • b) titkosításkezelés létrehozása az engedélyezett titkosítási technikák támogatására;
  • c) a kriptográfia használatának támogatása kriptográfiai kulcsok generálására, módosítására, visszavonására, megsemmisítésére, terjesztésére, hitelesítésére, tárolására, rögzítésére, használatára és archiválására szolgáló eljárások és protokollok révén a jogosulatlan módosítások és nyilvánosságra hozatal elleni védelem érdekében.
 
1.12 Az adatfeldolgozó rendszerek és szolgáltatások teljessége
Az adatfeldolgozó rendszerek és szolgáltatások teljességének biztosítása érdekében a következő intézkedéseket kell megtenni:
  1. a) az adatfeldolgozó rendszerek manipuláció vagy megsemmisülés elleni védelme megfelelő eszközökkel (pl. vírusirtó szoftver, adatvesztés-megelőzési szoftver és kártevő szoftver, szoftverjavítás, tűzfal, menedzselt asztali védelem);
  • b) megtiltani az adatfeldolgozó rendszerekre, szolgáltatásokra káros szolgáltatás vagy szoftver telepítését, illetve a személyes adatok kezelését;
  • c) hálózati behatolás-érzékelő és -megelőzési rendszer alkalmazása magának a hálózatnak a felépítésében.
 
1.13 Az adatfeldolgozó rendszerek és szolgáltatások elérhetősége, valamint a személyes adatokhoz való hozzáférés és azok felhasználásának visszaállításának lehetősége anyagi vagy műszaki incidens esetén
A következő intézkedéseket kell megtenni annak érdekében, hogy anyagi vagy technikai incidens esetén biztosítsák az adatfeldolgozó rendszerek rendelkezésre állását, valamint gyorsan vissza lehessen állítani a személyes adatok elérhetőségét és hozzáférését (különös tekintettel arra, hogy a személyes adatok védve vannak a véletlen megsemmisülés vagy elvesztés ellen):
  • a) rendelkezzenek a biztonsági másolatok megőrzésére és az elveszett vagy törölt adatok visszaállítására szolgáló ellenőrzési eszközökkel;
  • b) infrastrukturális redundancia és teljesítményvizsgálat;
  • c) a számítógépes erőforrások fizikai védelme;
  • d) eszközök használata a belső hálózat állapotának és elérhetőségének figyelemmel kísérésére;
  • e) az incidenskezelési eljárást szabályozó incidens jelentési és reagálási szabályzatok, valamint ezen szabályzatok betartásának megismétlése a rendszeres képzés részeként;
  • f) biztonsági mentések (néha a telephelyen kívül), hogy visszaállítsák a rendszert annak érdekében, hogy az ismét elláthassa funkcióit;
  • g) üzletmenet-folytonossági/katasztrófa-helyreállítási tervek
 
1.14 Az adatfeldolgozó rendszerek és szolgáltatások rugalmassága
Az adatfeldolgozó rendszerek és szolgáltatások rugalmasságának biztosítása érdekében a következő intézkedéseket kell megtenni:
  • a) rendszereket és harmonikusan, jóváhagyott biztonsági paraméterekkel konfigurálva;
  • b) hálózati redundancia;
  • c) kritikus rendszerek elszigetelésének védelme.
 
1.15 Az adatfeldolgozás biztonságát biztosító technikai és szervezési intézkedések rendszeres tesztelésére, értékelésére és hatékonyságának értékelésére vonatkozó eljárás
Eljárás az adatkezelés védelmét szolgáló technikai és szervezési intézkedések rendszeres tesztelésére, értékelésére és hatékonyságának értékelésére.
  • a) megteszi a szükséges lépéseket a kockázatok és a mérséklési stratégiák értékeléséhez;
  • b) az informatikai osztály szolgáltatáselemző értekezletei az aktuális kérdések megvitatására;
  • c) az üzletmenet-folytonossági/katasztrófa-helyreállítási terveket rendszeresen frissítik.

 

3. rész

A felek aláírásai és az adatimportőrök listája

 

Az online megrendelőlap kitöltésével és az általános felhasználási feltételeket elfogadó négyzet kipipálásával érvényesítve létrejön a Megrendelő és az IQUALIF közötti kapcsolatra vonatkozó szerződés.

A kifizetés IQUALIF részére történő elküldése a szerződést elfogadottnak és létrejöttnek tekinti.


Jegyezze meg: Ezt a szöveget francia nyelvről fordították le. Az eredeti francia változat, amely érvényes és jogilag korlátozó, itt érhető el .