Adatfeldolgozási melléklet

 

Jelen Függelék a Szerződés elválaszthatatlan részét képezi, és megköti:

 

  1. (i) Az Ügyfél (" Adatexportőr ")
  2. (ii) POSTCODEZIP ("Adatimportőr " )

 

Mindegyik „ párt ”, általában „ párt ”.

 

Preambulum

AHOL az Adatimportőr professzionális szoftverszolgáltatásokat, számítógépes és kapcsolódó szolgáltatásokat nyújt;

AHOL a Szerződés értelmében az Adatátvevő vállalta, hogy a Szerződésben meghatározott szolgáltatásokat nyújtja az Adatexportőrnek (a " Szolgáltatások ");

AHOL az Adatátvevő a Szolgáltatások nyújtásával hozzáférést kap az Adatátvevő információihoz vagy az Adatátvevővel (potenciális) kapcsolatban álló más személyek információihoz, vagy abból részesül, az ilyen információ a rendelet értelmében személyes adatnak minősülhet. Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a személyes adatok kezelése tekintetében az egyének védelméről és az ilyen adatok szabad áramlásáról (" GDPR "), valamint más vonatkozó adatvédelmi jogszabályokról.

AHOL e Függelék tartalmazza az ilyen személyes adatoknak az Adatátvevő által, mint az Adatexportőr meghatalmazott adatfeldolgozója által történő gyűjtésére, feldolgozására és felhasználására vonatkozó feltételeket annak biztosítására, hogy a Felek betartsák a vonatkozó adatvédelmi jogszabályokat. .

 

EZÉRT, és annak érdekében, hogy a Felek kapcsolatukat jogszerűen folytathassák, a Felek jelen Függeléket az alábbiak szerint kötötték:

1. rész

 

1. A dokumentum szerkezete és definíciók

1.1 Szerkezet

Ez a függelék a következő részekből áll:

 

1. rész:

általános rendelkezéseket tartalmaz, pl. az ebben a függelékben használt definíciókra, a helyi törvényeknek való megfelelésre, az időzítésre és a felmondásra vonatkozóan

2. rész:

tartalmazza az Általános Szerződési Feltételek dokumentum változatlan törzsét

2. rész 1.1. függeléke:

tartalmazza az Adatátvevő által az Adatátadónak, mint meghatalmazott adatfeldolgozónak nyújtott adatkezelési műveletek részleteit (beleértve az adatkezelést, az adatkezelés jellegét és célját, a személyes adatok típusát, valamint az érintettek kategóriáit) a jelen rendelkezés alapján. Függelék

2. rész 2. függeléke:

tartalmazza az Adatátvevő technikai és szervezési biztonsági intézkedéseinek leírását, amelyeket a 2. rész 1.1. függelékében leírt valamennyi adatkezelési tevékenységgel kapcsolatban alkalmaznak.

3. rész:

tartalmazza azon Felek aláírásait, amelyekre nézve kötelező a jelen függelék, és azonosítja az egyes adatimportőröket

 

1.2 Terminológia és meghatározások

E Függelék alkalmazásában a GDPR által használt terminológia és definíciók az irányadók (a Szerződési feltételek dokumentum szövegében a 2. részben, ahol a meghatározott kifejezések nincsenek nagy kezdőbetűvel írva). 

 

"Tagállam"

az Európai Unióhoz vagy az Európai Gazdasági Térséghez tartozó országot jelenti

"A (személyes) adatok különleges kategóriái"

faji vagy etnikai származásról, politikai véleményről, vallási vagy filozófiai meggyőződésről, szakszervezeti tagságról árulkodó személyes adatra, valamint genetikai adatokra, biometrikus adatokra vonatkozik, ha azokat egy személy egyedi azonosítása céljából kezelik, egészségügyi adatra, személy nemére vonatkozó adatra élet vagy szexuális irányultság

"Standard szerződéses kikötések"

a 2010. február 5-i 2010/87/EU bizottsági határozat értelmében a harmadik országokban letelepedett adatfeldolgozó ügynökök személyes adatainak továbbítására vonatkozó általános szerződési feltételeket jelenti, amelyet a 2010. február 16-i (EU) 2016/2297 bizottsági végrehajtási határozat módosított. 2016. december

"Adatfeldolgozó"

minden EU-n/EGT-n belüli vagy azon kívüli adatfeldolgozó, aki beleegyezik abba, hogy az Adatátvevőtől vagy az Adatátvevő bármely más feldolgozójától személyes adatokat kapjon kizárólag az Adatátadó által végzett adatfeldolgozási tevékenység céljából. továbbítása az Adatexportőr utasításainak, a jelen Függelékben és az Adatimportőrrel kötött szerződésben foglaltaknak megfelelően

 

 

2. Az Adatexportőr kötelezettségei

2.1 Az adatexportőr köteles biztosítani a GDPR és az adatexportőrre vonatkozó bármely más vonatkozó adatvédelmi jogszabály szerinti vonatkozó kötelezettségek betartását, és a GDPR 5. cikk (2) bekezdésében előírtak szerint igazolni ezt. Az Adatátvevő szavatolja, hogy az Adatátvevő a GDPR 6. cikk a) pontja szerint megszerezte az érintettek előzetes hozzájárulását, és eleget tett az érintettek tájékoztatási kötelezettségének a GDPR 13. és 14. cikkében foglaltaknak megfelelően.

2.2 Az Adatexportőr köteles az Adatátvevő rendelkezésére bocsátani a jelen Függelék szerinti Szolgáltatásokhoz kapcsolódó adatkezelési tevékenységek megfelelő fájljait a GDPR 30. cikk (1) bekezdése szerint, olyan mértékben, amely szükséges ahhoz, hogy az Adatimportőr eleget tegyen a jelen Függelékben foglalt kötelezettségének. A GDPR 30. cikkének (2) bekezdése.

2.3 Az Adatexportőr köteles adatvédelmi tisztviselőt vagy képviselőt kijelölni a vonatkozó adatvédelmi jogszabályok által előírt mértékben. Az Adatátadó köteles megadni az Adatkezelőnek az adatvédelmi megbízott vagy képviselő elérhetőségét, ha van ilyen.

2.4. Az adatátadó az adatkezelés befejezése előtt, jelen Függelék elfogadásával megerősíti, hogy az Adatátvevő technikai és szervezési biztonsági intézkedései a 2. rész 2. függelékében meghatározottak szerint megfelelőek és elegendőek az érintett jogainak védelméhez. és megerősíti, hogy az Adatimportőr megfelelő biztosítékokat nyújt e tekintetben.

 

3. A helyi törvények betartása

A GDPR 28. cikke alapján a feldolgozóközegek megvalósításával kapcsolatos követelmények teljesítése érdekében a következő módosítások alkalmazandók:

 

3.1 Utasítások

  1. (i) Az Adatátadó utasítja az Adatátvevőt, hogy a személyes adatokat kizárólag az Adatátadó nevében dolgozza fel. Az Adatexportőr utasításait a jelen Melléklet és a Szerződés tartalmazza. Az Adatátadó köteles gondoskodni arról, hogy az Adatátvevőnek adott minden utasítás megfeleljen a vonatkozó adatvédelmi jogszabályoknak. Az Adatátvevő a személyes adatokat csak az Adatátvevő utasításai szerint kezelheti, kivéve, ha az Európai Unió vagy a tagállam jogszabályai másként írják elő (utóbbi esetben az 1. rész 3.2. iv. c) pontja alkalmazandó) .
  2. (ii) Minden egyéb, a jelen Függelékben vagy a Szerződésben szereplő utasításokon túlmutató utasítást a jelen Függelék és a Szerződés tárgyában kell szerepeltetni. Ha ezen kiegészítő utasítás végrehajtása költségekkel jár az Adatátvevő számára, az Adatátvevő köteles tájékoztatni az Adatexportőrt ezekről a költségekről, és az utasítás végrehajtása előtt magyarázatot adni. Az Adatátvevő csak azután hajtja végre ezt a kiegészítő utasítást, miután az Adatátvevő megerősítette, hogy elfogadta az utasítás végrehajtásával kapcsolatos költségeket. Az Adatátadónak további írásbeli utasítást kell adnia, kivéve, ha a sürgősség vagy más különleges körülmény más formát (pl. szóbeli, elektronikus) kíván meg. Az írástól eltérő formájú utasításokat az Adatexportőrnek haladéktalanul írásban meg kell erősítenie.
  3. 1. Hacsak az Adatátvevő nem tudja önállóan elvégezni a személyes adatok helyesbítését, törlését vagy korlátozását, az utasítások vonatkozhatnak a személyes adatok helyesbítésére, törlésére és/vagy korlátozására is, az 1. rész 3.3. pontjában foglaltak szerint.
  4. 2. Az Adatátvevő köteles haladéktalanul tájékoztatni az Adatátadót, ha véleménye szerint egy Utasítás sérti a GDPR-t vagy az Európai Unió vagy valamely tagállam egyéb vonatkozó adatvédelmi rendelkezéseit (" vitatott utasítás"). Ha az Adatátvevő úgy véli, hogy egy Utasítás sérti a GDPR-t vagy az Európai Unió vagy egy tagállam egyéb vonatkozó adatvédelmi rendelkezéseit, az Adatátvevő nem köteles követni a vitatott utasítást. Ha az Adatátvevő a kifogásolt utasítást az Adatátvevőtől tájékoztatást kapott, és elismeri felelősségét a kifogásolt utasításért, az adatátvevő köteles végrehajtani a kifogásolt utasítást, kivéve, ha a kifogásolt utasítás (i) technikai és szervezési intézkedések végrehajtására, (ii) az adatok jogaira vonatkozik. Alanyok vagy (iii) Adatfeldolgozók megbízása Az (i)–(iii) esetekben az Adatátvevő kapcsolatba léphet egy illetékes felügyeleti hatósággal, hogy a vitatott Utasítást az ilyen hatóság jogilag értékelje.Ha a felügyeleti hatóság a támadott Utasítást jogszerűnek nyilvánítja, az Adatátvevő a támadott Utasítást végrehajtja. Az 1. rész 3.1 (ii) pontja továbbra is alkalmazandó.

 

3.2 Az Adatimportőr kötelezettségei

  1. (i) Az adatátvevőnek gondoskodnia kell arról, hogy az adatátvevő által az adatexportőr nevében személyes adatok feldolgozására felhatalmazott személyek, különösen az adatimportőr alkalmazottai és bármely alvállalkozó alkalmazottai kötelezettséget vállaljanak a titoktartásra, vagy a megfelelő törvényi titoktartási kötelezettség, és hogy a személyes adatokhoz hozzáférő személyek azt az Adatátadó utasításai szerint kezeljék.
  2. (ii) Az adatátvevőnek meg kell valósítania a 2. rész 2. függelékében meghatározott technikai és szervezési biztonsági intézkedéseket, mielőtt a személyes adatokat az adatexportőr nevében feldolgozza. Az Adatátvevő a technikai és szervezési biztonsági intézkedéseket időről időre módosíthatja, ha azok nem nyújtanak kisebb védelmet, mint a 2. rész 2. függeléke.
  3. (iii) Az adatátvevő az adatátvevő kérésére az adatátvevő rendelkezésére bocsátja az adatátvevő e Függelék szerinti kötelezettségeinek való megfelelést igazoló információkat. A Felek megállapodnak abban, hogy ennek a tájékoztatási kötelezettségnek az Adatexportőr részére (az alapelvek biztonságára, a rendszer rendelkezésre állására és a titkosságra kiterjedő) auditjelentés (a továbbiakban: Audit Jelentés) benyújtásával tesznek eleget. Amennyiben további ellenőrzési tevékenységre jogszabályi előírás van szükség, az Adatátadó kérheti az adatexportőrtől vagy az adatátadó által megbízott más könyvvizsgálótól az ellenőrzést, feltéve, hogy ez a könyvvizsgáló az Adatimportőrrel az Adatátvevővel kötött titoktartási megállapodást köti. ésszerű elégedettség ("Audit"). Erre az auditra a következő feltételek vonatkoznak:(i) az Adatimportőr előzetes hivatalos írásbeli elfogadása; és (ii) az Adatexportőr viseli az Adatexportőr és az Adatimportőr helyszíni ellenőrzésével kapcsolatos összes költséget. Az Adatexportőrnek auditjelentést kell készítenie, amely összefoglalja a helyszíni ellenőrzés eredményeit és észrevételeit ("Helyszíni ellenőrzési jelentés"). A helyszíni ellenőrzési jelentések és az ellenőrzési jelentések az Adatimportőr bizalmas információi, és nem adhatók ki harmadik félnek, kivéve, ha azt a vonatkozó adatvédelmi törvény írja elő, vagy az Adatimportőr hozzájárulásával összhangban.A helyszíni ellenőrzési jelentések és az ellenőrzési jelentések az Adatimportőr bizalmas információi, és nem adhatók ki harmadik félnek, kivéve, ha azt a vonatkozó adatvédelmi törvény írja elő, vagy az Adatimportőr hozzájárulásával összhangban.A helyszíni ellenőrzési jelentések és az ellenőrzési jelentések az Adatimportőr bizalmas információi, és nem adhatók ki harmadik félnek, kivéve, ha azt a vonatkozó adatvédelmi törvény írja elő, vagy az Adatimportőr hozzájárulásával összhangban.
  4. (iv) Az adatátvevő köteles indokolatlan késedelem nélkül értesíteni az adatátadót:
    1. a. a személyes adatok bűnüldöző hatóság általi nyilvánosságra hozatalára irányuló, jogilag kötelező erejű kérelmével kapcsolatban, kivéve, ha ez másként tiltott, például büntetőjogi tilalom a bűnüldözési nyomozás titkosságának védelme érdekében
    2. b. az érintetttől közvetlenül érkezett panaszra és kérésre (pl. hozzáférés, helyesbítés, törlés, adatkezelés korlátozása, adathordozhatóság, adatkezelés elleni tiltakozás, automatizált döntéshozatal tekintetében) anélkül, hogy a kérelemre válaszolna, kivéve, ha az Adatátvevő felhatalmazást kapott tehát csináld meg
    3. c. ha az Adatátvevő vagy az Adatfeldolgozó az Európai Unió vagy azon tagállam joga alapján, amelyre az adatátvevőre vagy adatfeldolgozóra vonatkozik, köteles a személyes adatokat az adatátadó utasításán túlmenően feldolgozni, mielőtt az adatfeldolgozást az adatátadón túlmenően elvégezné. az utasításokat, kivéve, ha az Európai Unió vagy a tagállam jogszabályai az ilyen adatkezelést létfontosságú közérdekből tiltják, ebben az esetben az Adatexportőrnek küldött értesítésben meg kell határozni az Európai Unió vagy a tagállam adott jogszabálya szerinti jogi követelményt; vagy
    4. d. ha az Adatátvevő kizárólag saját maga vagy alvállalkozója miatt olyan személyes adatok megsértését realizálja, amely érintené az Adatátadó jelen szerződés hatálya alá tartozó személyes adatait, amely esetben az Adatátvevő segíti az Adatátadót kötelezettségének teljesítésében, a vonatkozó adatvédelmi jogszabályokkal szemben az érintettek és adott esetben a felügyeleti hatóságok tájékoztatása a rendelkezésére álló információk megadásával, a GDPR 33. cikk (3) bekezdésével összhangban.
    5. (v) Az Adatátvevő kérésére az Adatátvevő köteles segítséget nyújtani az Adatátvevőnek a GDPR 35. cikkében előírt adatvédelmi hatástanulmány és előzetes egyeztetés elvégzésében. a GDPR 36. cikke által előírt, az Adatimportőr által az Adatexportőrnek e Függelék alapján nyújtott szolgáltatásokra vonatkozóan, az Adatexportőr részére a szükséges és információk megadásával. Az Adatátvevő csak abban az esetben köteles ilyen segítséget nyújtani, ha kötelezettségének más módon nem tud eleget tenni. Az adatimportőr tájékoztatja az adatexportőrt a segítségnyújtás költségeiről. Amint az Adatexportőr megerősítette, hogy ezt a költséget viselni tudja, az Adatimportőr ezt a segítséget nyújtja az Adatexportőrnek.
    6. (vi) A szolgáltatásnyújtás végén az Adatátvevő kérheti az Adatátvevő által jelen Függelék alapján kezelt személyes adatok visszaküldését a szolgáltatások igénybevételét követő egy hónapon belül. Hacsak a tagállam vagy az Európai Unió jogszabályai nem írják elő az Adatátvevő számára az ilyen személyes adatok tárolását vagy megőrzését, az Adatátvevő az egy hónapos időszak letelte után minden ilyen személyes vagy nem személyes adatot töröl, függetlenül attól, hogy azokat visszaküldték-e az Adatátadó kérésére vagy sem.

 

3.3 Az érintett személyek jogai

  1.  
    1. (i) Az Adatátadó kezeli és válaszol az érintettek kérelmeire. Az Adatátvevő nem köteles közvetlenül válaszolni az érintetteknek.
    2. (ii) Ha az Adatátvevő az Adatátvevő segítségét kéri az Érintett kérelmének feldolgozásához és megválaszolásához, az Adatátvevő további utasítást ad ki az 1. rész 3.1 (ii) pontja szerint. Az adatátvevő segíti az adatátadót. fejezetében foglalt, az érintettek jogainak gyakorlására irányuló megkeresések megválaszolása érdekében az alábbi megfelelő és technikai szervezési intézkedésekkel az alábbiak szerint:
    3. a. Az adatigényléssel kapcsolatban az Adatátvevő csak a rendelkezésére álló, a PGRD 13. és 14. cikkében előírt információkat adja át az Adatátadónak, ha azt az Adatátadó saját maga nem találja meg.
    4. b. A hozzáférési kérelmek (GDPR 15. cikk) tekintetében az Adatátvevő csak azokat az információkat adja át az Adatexportőrnek, amelyeket az érintettnek az említett hozzáférési kérelemhez meg kell adni, és amelyek rendelkezésére állhat, ha utóbbi nem találja meg egyedül.
    5. c. A helyesbítés iránti kérelmek (GDPR 16. cikk), a törlési kérelmek (GDPR 17. cikk), a feldolgozási kérelmek korlátozása (GDPR 18. cikk), vagy a hordozhatóság iránti kérelmek (GDPR 20. cikk) tekintetében, és csak ha az Adatátadó maga nem tudja helyesbíteni vagy törölni, korlátozni vagy más harmadik félnek továbbítani a személyes adatot, az Adatátvevő lehetőséget biztosít az Adatátvevőnek az érintett személyes adatok helyesbítésére vagy törlésére, korlátozására, vagy a másik harmadik félnek történő továbbítására, vagy ha ez nem lehetséges, segítséget nyújt az érintett személyes adatok helyesbítéséhez vagy törléséhez, korlátozásához vagy a másik harmadik félnek történő továbbításához.
    6. d. A helyesbítéssel, törléssel vagy az adatkezelés korlátozásával kapcsolatos bejelentés (GDPR 19. cikk) tekintetében az Adatátvevő segíti az Adatátvevőt azzal, hogy értesíti az Adatátvevő által feldolgozóként igénybe vett személyes adatok valamennyi címzettjét, ha az Adatátvevő ezt kéri, és ha az Adatexportőr a helyzetet önállóan nem tudja orvosolni.
    7. e. Az érintett által gyakorolt ​​tiltakozási jog tekintetében (GDPR 21. és 22. cikk) az Adatexportőr határozza meg, hogy a tiltakozás jogos-e, és hogyan kell kezelni azt.
    8. (iii) Az Adatátvevő segítségnyújtási kötelezettségei az infrastruktúrájában (pl. az Adatátvevő tulajdonában lévő vagy általa biztosított adatbázisok, rendszerek, alkalmazások) feldolgozott személyes adatokra korlátozódnak.
    9. (iv) Az Adatátvevő megállapítja, hogy az Érintett gyakorolhatja-e az Érintetteknek az 1. rész 3.1. pontjában meghatározott jogait, és tájékoztatja az Adatátvevőt arról, hogy milyen mértékben járul hozzá a 3.3. pont ii. iii) pontja szükséges.
    10. (v) Ha az Adatátvevő további vagy módosított technikai és szervezési intézkedéseket kér az érintettek jogainak teljesítése érdekében, amelyek túlmutatnak az Adatimportőr által az 1. rész 3.3 (ii), (iii) alpontja szerint nyújtott segítségen, az Adatok Az Importőr tájékoztatja az Adatexportőrt az ilyen kiegészítő vagy módosított technikai és szervezési intézkedések végrehajtásának költségeiről. Amint az Adatátvevő megerősítette, hogy képes ezeket a költségeket fedezni, az Adatátvevő megteszi azokat a kiegészítő vagy módosított technikai és szervezési intézkedéseket, amelyek segítik az Adatátadót az Érintett kérelmének megválaszolásában.
    11. (vi) Az 1. rész 3.3 (v) pontja hatályának korlátozása nélkül az Adatátvevő köteles megtéríteni az Adatátvevőnek az Érintett kérelmének megválaszolása során felmerült ésszerű költségeit.

 

3.4 Részfeldolgozás

  1.  
    1. (i) Az Adatexportőr engedélyezi, hogy az Adatimportőr alvállalkozókat vegyen igénybe a jelen Függelék szerinti szolgáltatások nyújtására. Az Adatátvevő gondosan választja ki az ilyen adatfeldolgozó(ka)t. Az Adatexportőr jóváhagyja a 2. rész végén található 1.1. függelékben felsorolt ​​adatfeldolgozó(ka)t.
    2. (ii) Az Adatátvevő a jelen Függelék szerinti kötelezettségeit az alvállalkozói szolgáltatásokra vonatkozó mértékig az Adatfeldolgozó(k)ra ruházza át.
    3. (iii) Az Adatimportőr saját belátása szerint elbocsáthatja, lecserélheti vagy másik megfelelő és megbízható adatfeldolgozó(ka)t nevezhet ki. Ha az Adatexportőr írásban kéri, az Adatátvevő köteles az alábbi eljárást követni:
  1.  
    1. a. Az Adatátvevő tájékoztatja az Adatexportőrt az 1. rész 3.4 (i) pontjában hivatkozott adatfeldolgozók listájának bármilyen változásáról. Ha az Adatexportőr nem emel kifogást a 3.4. Az 1. rész b) pontja szerint harminc nappal az adatátvevő értesítésének kézhezvételét követően a további adatfeldolgozókat elfogadottnak kell tekinteni.
    2. b. Ha az Adatátadónak jogos oka van kifogást emelni egy további adatfeldolgozó ellen, az Adatátvevő értesítésének kézhezvételétől számított harminc napon belül, illetve az Adatátvevő szolgáltatásának üzembe helyezése előtt előzetesen írásban értesíti az Adatátvevőt. Ha az Adatexportőr tiltakozik egy további adatfeldolgozó igénybevétele ellen, az Adatimportőr a tiltakozást az alábbi (saját belátása szerint választott) lehetőségek egyikével törölheti: (A) az Adatimportőr lemond további adatfeldolgozó igénybevételére vonatkozó tervétől. az Adatátadó személyes adatait; (B) az Adatátvevő megteszi az Adatátadó által tiltakozásában kért korrekciós intézkedéseket (a tiltakozás törlése), és az Adatátadó személyes adataival kapcsolatban a további adatfeldolgozót veszi igénybe;(C) az Adatátvevő beszünteti a szolgáltatás nyújtását, vagy az Adatátadó hozzájárulhat ahhoz, hogy a szolgáltatás egy olyan részét (ideiglenesen vagy véglegesen) ne használja, amely az Adatátvevő személyes adatainak az Adatátvevő további feldolgozója általi felhasználásával járna.
  1.  
    1. (iv) ha az adatfeldolgozó székhelye az EU-EGT-n kívül olyan országban van, amely az Európai Bizottság döntése alapján nem ismert megfelelő szintű adatvédelmet nyújtó országban, az Adatátvevő megteszi a megfelelő szintű adatvédelmet. a GDPR szerinti adatvédelem (ilyen intézkedések közé tartozhat többek között az EU-modell záradékain alapuló adatfeldolgozási szerződések alkalmazása, az EU-USA védelmi pajzs keretein belül az önhiteles adatfeldolgozók részére történő továbbítás , vagy egy hasonló program).

 

3.5 Lejárat

Jelen Függelék lejárata megegyezik a megfelelő Szerződés lejárati dátumával. A jelen Melléklet eltérő rendelkezése hiányában a felmondással kapcsolatos jogok és kötelezettségek megegyeznek a Szerződésben foglaltakkal.

 

4. A felelősség korlátozása

4.1 Mindegyik fél teljesíti a jelen Függelék és a vonatkozó adatvédelmi jogszabályok szerinti kötelezettségeit.

4.2 A jelen Függelékben vagy az alkalmazandó adatvédelmi jogszabályokban foglalt kötelezettségek megszegésével kapcsolatos bármely felelősségre a Szerződésben meghatározott vagy arra vonatkozó felelősségi rendelkezések vonatkoznak, és azokra az irányadók, kivéve, ha e függelék másként rendelkezik. Ha a felelősségre a Szerződésben foglalt vagy arra vonatkozó felelősségi rendelkezések az irányadók, a felelősségi korlátok kiszámításához vagy egyéb felelősségi korlátozások alkalmazásának megállapításához, a jelen Függelék alapján felmerülő felelősséget a Szerződésből eredőnek kell tekinteni.

 

5. Általános rendelkezések

5.1 Ha a jelen Függelék 1. és 2. része között ellentmondások vagy eltérések vannak, a 2. rész az irányadó. Pontosabban, még ilyen esetben is érvényben marad az 1. rész, amely egyszerűen túllép a 2. részen (vagyis a standard záradékok feltételein), anélkül, hogy ellentmondana annak.

5.2 Ha a jelen Melléklet és a feleket kötelező szerződések rendelkezései között eltérés adódik, a felek adatvédelmi kötelezettségei tekintetében jelen Függelék az irányadó. Abban az esetben, ha kétség merül fel azzal kapcsolatban, hogy más szerződések kikötései érintik-e a felek adatvédelmi kötelezettségeit, a jelen Függelék az irányadó.

5.3 Ha e Függelék bármely rendelkezése érvénytelen vagy végrehajthatatlan, a Függelék többi része továbbra is érvényben marad. Az érvénytelen vagy végrehajthatatlan rendelkezést (i) módosítják annak érvényessége és végrehajthatósága érdekében, a felek szándékának lehetőség szerinti megőrzése mellett, vagy - ha ez nem lehetséges - (ii) úgy értelmezik, mintha az érvénytelen vagy végrehajthatatlan rész soha nem volt része a szerződésnek. A fentiek akkor is érvényesek, ha e Függelékben hiányzik.

5.5 A Felek a szükséges mértékig kérhetik az 1. rész 3. pontjának (A helyi jogszabályoknak való megfelelés) vagy a Függelék más részeinek módosítását annak érdekében, hogy megfeleljenek az Unió illetékes hatóságai által kiadott értelmezéseknek, irányelveknek vagy utasításoknak. A tagállamok, a nemzeti végrehajtási rendelkezések vagy a GDPR-ra vagy az adatfeldolgozásban részt vevő jogalanyokra történő átruházás egyéb feltételeire vonatkozó egyéb jogi fejlemények, különösen a GDPR általános szerződési kikötéseinek használatával kapcsolatban. Az Általános Szerződési Feltételek feltételei nem módosíthatók vagy helyettesíthetők, kivéve, ha azt az Európai Bizottság kifejezetten jóváhagyja (pl. új megfelelő kikötésekkel és adatvédelmi szabványokkal).

5.6 A jelen Függelékben a „Cikkelyekre” történő hivatkozásokat a jelen Függelék összes rendelkezésére való hivatkozásként kell értelmezni, hacsak másként nem rendelkeznek.

5.7 A 2. rész 9. pontjában szereplő jogválasztás az egész Szerződésre vonatkozik.

 

6.  A felek által személyes célból továbbított és feldolgozott személyes adatok (az adatkezelőtől az adatkezelőhöz történő továbbítás)

6.1 A Felek teljes mértékben tisztában vannak azzal, hogy bizonyos személyes adatokat az Adatexportőrtől az Adatimportőrhöz és fordítva továbbítanak, és ezeket az adatokat mindegyik Fél saját céljaira kezeli. Az ilyen személyes adatokra vonatkozóan ez nem érinti a jelen Függelék egyéb rendelkezéseit (a jelen 6. pont kivételével).

6.2 Az Adatátvevő az Adatátvevőnek továbbíthatja az Adatátvevő munkatársaira vonatkozó személyes adatokat, ideértve a biztonsági incidensekre vonatkozó információkat, vagy bármely más dokumentumot vagy fájlt, amelyet az Adatátvevő az Adatkezelő munkatársai által nyújtott Szolgáltatásokkal kapcsolatban hozott létre vagy hozott létre. az Adatimportőr. Az Adatátvevő az ilyen személyes adatokat saját céljaira, így különösen az Adatátvevő munkatársaival fennálló szakmai kapcsolatai során, minőségellenőrzés és képzés, vagy üzleti célból kezelheti.

6.3. Az Adatátvevő személyes adatokat továbbíthat az Adatátvevőnek, beleértve az Adatátvevő személyzetének nevét és elérhetőségeit. Az Adatátvevő az ilyen személyes adatokat saját céljaira kezelheti.

6.4 Mindkét fél köteles betartani a vonatkozó adatvédelmi törvényeket, beleértve a GDPR-t is a másik féltől az 1. rész 1. pontja alapján kapott személyes adatok gyűjtése, feldolgozása és felhasználása során. Mindkét fél megteszi a megfelelő biztonsági intézkedéseket, biztosítva a 2. rész 2. függelékében meghatározott biztonsági intézkedésekhez hasonló szintű védelem. Az ilyen személyes adatokhoz való hozzáférés csak azok ismeretének szükségességére korlátozódik.

6.5 Mindkét Fél köteles az ilyen személyes adatokat a célok elérése után a lehető leghamarabb törölni.

2. rész

 

A BIZOTTSÁG HATÁROZATA

2010. február 5-én

a személyes adatok harmadik országokban letelepedett adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről a 95/46/EK európai parlamenti és tanácsi irányelv alapján

 

 

 

1. záradék

Definíciók

A záradékok értelmében:

a) a „személyes adat”, „különleges adatkategóriák”, „feldolgozás/feldolgozás”, „adatkezelő”, „feldolgozó”, „érintett” és „felügyeleti hatóság” jelentése megegyezik a 95/46/EK rendeletben szereplővel. az Európai Parlament és a Tanács 1995. október 24-i irányelve a személyes adatok feldolgozása során az egyének védelméről és az ilyen adatok szabad áramlásáról (1);

b) az „Adatexportőr” a személyes adatokat továbbító Adatkezelő;

c) az „Adatimportőr” az az adatfeldolgozó, aki beleegyezik abba, hogy az adatátadótól az adatátadó nevében feldolgozni kívánt személyes adatokat az adatátadó utasításainak és a jelen kikötések feltételeinek megfelelően történő továbbítást követően megkapja, és aki nem a 95/46/EK irányelv 25. cikkének (1) bekezdése értelmében megfelelő védelmet biztosító harmadik ország mechanizmusától függően; (d) „Adatfeldolgozó”: az Adatátvevő vagy az Adatátvevő bármely más adatfeldolgozója által megbízott adatfeldolgozó, aki beleegyezik abba, hogy az Adatátvevőtől vagy az Adatátvevő bármely más adatfeldolgozójától személyes adatokat kizárólag a az adatátadó megbízásából az adatátvételt követően az adatátadó utasításai szerint kell végrehajtani,a jelen pontokban meghatározott feltételekkel és az adatkezelési szerződés írásbeli alvállalkozói szerződésének feltételei szerint;

e) „alkalmazandó adatvédelmi jogszabály”: az egyének alapvető jogait és szabadságait védő jogszabály, ideértve a személyes adatok feldolgozásával kapcsolatos magánélethez való jogot is, és amely az adatexportőr székhelye szerinti tagállam adatkezelőjére vonatkozik;

f) „biztonsággal kapcsolatos technikai és szervezési intézkedések”? olyan intézkedések, amelyek célja a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése elleni védelme, különösen, ha az adatkezelés hálózaton keresztüli adattovábbítással jár, valamint az adatkezelés minden egyéb jogellenes formája ellen.

2. szakasz

Az átutalás részletei

Az átvitel részleteit, beleértve adott esetben a személyes adatok különleges kategóriáit is, az 1. függelék tartalmazza, amely e kikötések szerves részét képezi.

3. szakasz

Harmadik fél kedvezményezett záradéka

1. Az érintett érvényesítheti az Adatexportőrrel szemben a jelen záradékot, a 4. pont b)–i) pontját, az 5. pont a)–e) és g)–j) pontját, valamint a 6. szakasz (1) és (2) bekezdését. ), a 7. szakasz, a 8. szakasz (2) bekezdése és a 9–12. szakasz harmadik fél kedvezményezettként

2. Az érintett érvényesítheti ezt a záradékot, az 5. pont a)–e) és g) pontját, a 6. pont, a 7. pont, a 8. pont (2) bekezdés és a 9–12. eltűnt vagy jogilag megszűnt, kivéve, ha minden jogi kötelezettsége szerződés vagy jogszabály alapján átszállt arra a jogutódra, amelyre ezért az Adatexportáló jogai és kötelezettségei visszaszállnak, és amellyel szemben az adatok alany tehát érvényesítheti az említett kikötéseket.

Az érintett a jelen kikötést, az 5. pont a)–e) és g) pontját, a 6. pont, a 7. pont, a 8. pont (2) bekezdését, valamint a 9–12. Az Exportőr és az Adatimportőr fizikailag eltűnt, jogilag megszűnt vagy fizetésképtelenné vált, kivéve, ha az Adatexportőr valamennyi jogi kötelezettsége szerződés vagy jogszabály alapján átszállt a jogutódra, akit megillető jogok, ill. Kötelezettségei tehát az Adatexportőrt terhelik, és akivel szemben az érintett ilyen kikötéseket érvényesíthet. Az Adatfeldolgozó ilyen felelősségét a jelen pontok szerinti saját adatkezelési tevékenységére kell korlátozni.

4. A felek nem tiltakoznak az ellen, hogy az érintettet egyesület vagy más szerv képviselje, ha ő úgy kívánja, és ha a nemzeti jog ezt lehetővé teszi.

4. szakasz

Az adatexportőr kötelezettségei

Az Adatexportőr az alábbiakat fogadja el és garantálja:

a) a feldolgozást, beleértve a személyes adatok tényleges továbbítását is, az alkalmazandó adatvédelmi jogszabályok vonatkozó rendelkezéseivel összhangban végezték és folytatják (és adott esetben értesítették a tagállam illetékes hatóságait amelyben az Adatexportőr székhelye található), és nem sérti az adott állam vonatkozó rendelkezéseit;

b) utasították, és a személyes adatkezelési szolgáltatások időtartama alatt utasítják az Adatátvevőt, hogy a továbbított személyes adatokat kizárólag az Adatátadó nevében, a vonatkozó adatvédelmi jogszabályokkal és jelen kikötésekkel összhangban kezelje;

c) az Adatátvevő megfelelő biztosítékokat nyújt a jelen szerződés 2. számú mellékletében meghatározott technikai és szervezési biztonsági intézkedések tekintetében;

d) a hatályos adatvédelmi jogszabályok követelményeinek értékelését követően a biztonsági intézkedések megfelelőek a személyes adatok véletlen vagy jogellenes megsemmisülése vagy véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése elleni védelmére, különösen, ha az adatkezelés adattovábbítással jár. hálózaton keresztül, valamint az adatfeldolgozás minden más jogellenes formájával szemben, és a feldolgozás által jelentett kockázatoknak és a védendő adatok természetének megfelelő biztonsági szintet biztosítanak, tekintettel a technológia szintjére és a megvalósítás költségeire;

e) gondoskodnak a biztonsági intézkedések betartásáról;

f) ha az adattovábbítás különleges adatkategóriákra vonatkozik, az érintettet a továbbítás előtt, illetve a lehető legrövidebb időn belül tájékoztatták arról, hogy az adatait olyan harmadik országba továbbíthatják, amely nem megfelelő szintű védelem a 95/46/EK irányelv értelmében;

g) az Adatátvevőtől vagy bármely Adatfeldolgozótól az 5. b) pont és a 8. cikk (3) bekezdése alapján kapott értesítést továbbítják az adatvédelmi felügyeleti hatóságnak, ha az az adattovábbítás folytatása vagy a felfüggesztés feloldása mellett dönt;

h) az érintettek kérésére rendelkezésre bocsátják a jelen Kikötések másolatát – a 2. függelék kivételével – és a biztonsági intézkedések összefoglaló leírását, valamint a jelen pontok alapján megkötött bármely további alvállalkozói szerződés másolatát, kivéve, ha A kikötések vagy a megállapodás kereskedelmi információkat tartalmaz, ebben az esetben visszavonhatja ezeket az információkat;

i) az adatkezelési folyamat alvállalkozásba adásakor a 11. pont szerinti adatkezelési tevékenységet olyan Adatfeldolgozó végzi, amely a személyes adatok és az érintett jogai legalább ugyanolyan szintű védelmét biztosítja, mint a jelen pontok szerinti Adatátvevő ; és

j) biztosítja a 4. szakasz a)–i) pontjainak való megfelelést.

5. szakasz

Az Adatimportőr kötelezettségei

Az Adatimportőr elfogadja és szavatolja a következőket:

a) a személyes adatokat kizárólag az adatátadó nevében, az adatátadó utasításai és jelen kikötések alapján dolgozzák fel; ha bármilyen okból nem tud eleget tenni, beleegyeznek abba, hogy annak képtelenségéről a lehető legrövidebb időn belül értesítsék az Adatátadót, amely esetben az Adatátadó felfüggesztheti az adattovábbítást és/vagy felmondhatja a szerződést;

b) nincs okuk azt hinni, hogy a rájuk alkalmazandó jog akadályozza őt abban, hogy teljesítse az Adatátadó utasításait és a szerződésből eredő kötelezettségeit, és ha az ilyen jogszabály olyan változáson megy keresztül, amely jelentős hátrányt okozhat pontokban foglalt szavatosságra és kötelezettségekre gyakorolt ​​hatást, a változásról annak tudomására jutását követően haladéktalanul értesíti az Adatátadót, amely esetben az Adatátadó felfüggesztheti az adattovábbítást és/vagy felmondhatja a szerződést; c) a továbbított személyes adatok feldolgozása előtt végrehajtották a 2. számú mellékletben meghatározott technikai és szervezési biztonsági intézkedéseket;

d) haladéktalanul értesítik az Adatexportőrt:

i) a személyes adatok nyilvánosságra hozatalára irányuló kötelező erejű kérelmet a bűnüldöző hatóságtól eltérő rendelkezés hiányában, például a rendőrségi nyomozás titkosságának megőrzését célzó büntetőjogi tilalom;

ii. bármilyen véletlenszerű vagy jogosulatlan hozzáférés; és

iii. az érintett személyektől közvetlenül, válaszadás nélkül kapott megkeresés, kivéve, ha erre felhatalmazást kaptak; rendszergazdák

e) haladéktalanul és megfelelően kezelik az Adatátadótól érkező, az átadott személyes adatok kezelésével kapcsolatos megkereséseket, és a felügyeleti hatóság véleménye szerint járnak el az átadott adatok kezelésével kapcsolatban;

f) az Adatexportőr kérésére alávetik adatfeldolgozó létesítményeit a jelen kikötések hatálya alá tartozó adatkezelési tevékenységek ellenőrzésének, amelyet az adatátadó vagy a szükséges szakmai képesítéssel rendelkező független tagokból álló felügyeleti szerv végez, titoktartási kötelezettség alá eső és az Adatexportőr által választott, adott esetben a felügyeleti hatóság beleegyezésével;

g) az érintett kérésére rendelkezésre bocsátják jelen kikötések vagy az adatkezelési szerződés fennálló alvállalkozói szerződésének egy példányát, kivéve, ha a kikötések vagy a szerződés kereskedelmi információt tartalmaznak, ebben az esetben eltávolíthatja az információk, kivéve a 2. számú mellékletet, amelyet a biztonsági intézkedések összefoglaló leírása vált fel, ahol az érintett nem kaphat másolatot az Adatexportőrtől;

h) az adatkezelés bizalmas további alvállalkozásba adása esetén gondoskodik az Adatátadó előzetes tájékoztatásáról és az Adatátadó írásbeli hozzájárulásának megszerzéséről;

i) az Adatfeldolgozó által nyújtott adatkezelési szolgáltatásoknak meg kell felelniük a 11. pontnak;

j) haladéktalanul megküldi az Adatexportőrnek az általa a jelen pontok alapján kötött adatkezelési szerződés bármely alvállalkozási szerződésének másolatát.

6. szakasz

Felelősség

1. A felek megállapodnak abban, hogy minden érintett kárt szenvedett a 3. vagy 11. pontban említett kötelezettségeinek valamelyik fél vagy adatfeldolgozó általi megsértése miatt, az elszenvedett kárért kártérítést kérhet az Adatátadótól.

2. Ha az érintett akadályozva van abban, hogy az (1) bekezdésben említett kártérítési keresetet indítson az Adatátadóval szemben azért, mert az Adatátvevő vagy annak Adatfeldolgozója nem teljesíti a 3. vagy 11. pont szerinti kötelezettségeit, mert az Adat Az adatátvevő fizikailag eltűnt, jogilag megszűnt vagy fizetésképtelenné vált, az Adatátvevő hozzájárul ahhoz, hogy az érintett ellen úgy panaszt nyújtson be, mintha az adatátadó lenne, kivéve, ha az Adatátvevő minden jogi kötelezettsége szerződés alapján átszállt. vagy jogszabály alapján annak jogutódjához, amellyel szemben az érintett érvényesítheti jogait. Az Adatátvevő saját felelősségének elkerülése érdekében nem hivatkozhat arra, hogy az Adatfeldolgozó megszegi kötelezettségeit.

3. Ha az érintett akadályozva van abban, hogy az (1) és (2) bekezdésben említett keresetet megindítsa az adatátadóval vagy az adatátvevővel szemben azért, mert az adatfeldolgozó megsértette a 3. vagy 11. pont szerinti kötelezettségeit, mert az adatátadó és az adatátvevő fizikailag eltűntek, törvényben megszűntek vagy fizetésképtelenné váltak, az Adatfeldolgozó hozzájárul ahhoz, hogy az érintett panaszt nyújtson be ellene saját adatkezelési tevékenységével kapcsolatban a jelen kikötésekkel összhangban, mintha az adatexportőr vagy adatimportőr lenne, kivéve, ha az Adatátadó vagy az Adatátvevő jogi kötelezettségei szerződéssel vagy törvény erejénél fogva a jogutódra szálltak át, akivel szemben az érintett jogait érvényesítheti.Az Adatfeldolgozó felelőssége a jelen pontok szerinti saját adatkezelési tevékenységére korlátozódik.

 

7. szakasz

Közvetítés és joghatóság

1. Az Adatátvevő hozzájárul ahhoz, hogy amennyiben a kikötések értelmében az érintett a harmadik fél kedvezményezett jogára hivatkozik vele szemben és/vagy az elszenvedett sérelem megtérítését követeli, elfogadja az érintett döntését:

a) a vitát független személy vagy adott esetben a felügyeleti hatóság általi közvetítés elé terjeszteni;

b) a jogvitát az adatexportőr székhelye szerinti tagállam bíróságai elé viheti.

2. A felek megállapodnak abban, hogy az érintett választása nem érinti az érintett eljárási vagy anyagi jogát a nemzeti vagy nemzetközi jog egyéb rendelkezései szerinti jogorvoslathoz.

8. szakasz

Együttműködés a felügyeleti hatóságokkal

1. Az Adatexportőr vállalja, hogy a jelen szerződés egy példányát letétbe helyezi a felügyeleti hatóságnál, ha ez megköveteli, vagy ha a letétbe helyezést a vonatkozó adatvédelmi jogszabályok előírják.

2. A felek megállapodnak abban, hogy a felügyeleti hatóság az Adatátvevőnél és bármely Adatfeldolgozónál ugyanolyan mértékben és feltételekkel végezhet ellenőrzéseket, mint az Adatexportőrnél a vonatkozó adatvédelmi jogszabályoknak megfelelően.

3. Az Adatátvevő a lehető legrövidebb időn belül tájékoztatja az Adatátadót az Adatátvevőre vagy bármely Adatfeldolgozóra vonatkozó olyan jogszabály meglétéről, amely az Adatátvevőnél vagy bármely Adatfeldolgozónál a (2) bekezdés szerinti ellenőrzést megakadályozza. Az Adatexportőr megteheti az 5. b) pontban foglalt intézkedéseket.

9. szakasz

Alkalmazandó jog

A záradékok az adatexportőr székhelye szerinti tagállam joga alkalmazandók és az irányadók.

10. szakasz

A szerződés módosítása

A felek vállalják, hogy a jelen kikötéseket nem módosítják. A felek szabadon beiktathatnak más kereskedelmi kikötéseket, amelyeket szükségesnek tartanak, feltéve, hogy azok nem mondanak ellent a jelen kikötéseknek.

11. szakasz

Utólagos alvállalkozás

1. Az Adatátvevő az Adatexportőr előzetes írásbeli hozzájárulása nélkül semmilyen, az Adatexportőr nevében végzett adatfeldolgozási tevékenységét nem ad alvállalkozásba a jelen pontok alapján. Az Adatátvevő a jelen pontokban foglalt kötelezettségeit csak az Adatátvevő hozzájárulásával, az Adatfeldolgozóval kötött írásbeli megállapodással adhatja alvállalkozásba, amely az Adatfeldolgozóra nézve ugyanazokat a kötelezettségeket rója, mint a jelen pontok alapján az Adatátvevőre. Ha az adatfeldolgozó nem tud eleget tenni az írásos megállapodás szerinti adatvédelmi kötelezettségeinek, az Adatátvevő továbbra is teljes mértékben felelős az adatátadó felé ezen kötelezettségek teljesítéséért.

2. Az Adatátvevő és az Adatfeldolgozó közötti előzetes írásbeli megállapodásnak tartalmaznia kell a 3. pontban meghatározott harmadik félre vonatkozó kedvezményezetti záradékot is arra az esetre, ha az érintett akadályozva van a 6. (1) bekezdésben említett kártérítési igény előterjesztésében. ), az Adatexportőrrel vagy Adatimportőrrel szemben azért, mert az Adatexportőr vagy Adatimportőr fizikailag eltűnt, jogilag megszűnt vagy fizetésképtelenné vált, és az Adatexportőr vagy Adatimportőr minden jogszabályi kötelezettsége nem került átadásra sem szerződéssel, sem működéssel. egy másik jogutód jogalanynak. Az Adatfeldolgozó felelőssége a jelen pontoknak megfelelően saját adatkezelési tevékenységére korlátozódik.

(3) Az (1) bekezdésben említett szerződés adatfeldolgozásának alvállalkozásba adásának adatvédelmi vonatkozásaira annak a tagállamnak a joga az irányadó, amelyben az adatexportőr letelepedett.

4. Az Adatátadó az 5. pont j) pontja szerint a jelen pontok alapján megkötött és az Adatátvevő által bejelentett adatkezelési szerződésekről alvállalkozói listát vezet, amelyet legalább évente egyszer aktualizál. Ezt a listát az Adatexportőr adatvédelmi felügyeleti hatósága rendelkezésére kell bocsátani.

12. szakasz

A személyes adatkezelési szolgáltatások megszűnését követő kötelezettség

1. A felek megállapodnak abban, hogy az adatfeldolgozási szolgáltatás befejezését követően az Adatátvevő és az Adatfeldolgozó az Adatátadó kényelmének megfelelően minden átadott személyes adatot és azok másolatát visszaküldi az Adatátvevőnek, vagy megsemmisíti, és igazolja. a megsemmisítést az Adatátvevőnek, kivéve, ha az Adatátvevőre előírt jogszabály nem tiltja, hogy a továbbított személyes adatokat részben vagy egészben visszaküldje vagy megsemmisítse. Ebben az esetben az Adatátvevő garantálja, hogy a továbbított személyes adatok bizalmas kezelését biztosítja, és az adatokat a továbbiakban aktívan nem kezeli.

2. Az Adatátvevő és az Adatfeldolgozó gondoskodik arról, hogy az adatátvevő és/vagy a felügyeleti hatóság kérésére adatkezelési eszközeiket az (1) bekezdésben említett intézkedések ellenőrzésének alávesse.

 

 

 

 

2. rész 1.1. függeléke

Az átutalás részletei

 

 

Adatexportáló

Az Adatexportőr a Szerződésben meghatározott Ügyfél.

 

Adatimportőr

Az Adatimportőr a POSTCODEZIP, és az adatok feldolgozására van megbízva, szolgáltatásokat nyújtva az Adatexportőrnek.

 

Az adatok alanyai

A továbbított személyes adatok az érintettek alábbi kategóriáit érintik:

â˜?? az egyetemes telefonkönyvben felsorolt ​​telefon-előfizetők

â˜' Egyebek, beleértve:

 

Adatkategóriák

A továbbított személyes adatok a következő adatkategóriákra vonatkoznak:

 

Az Adatexportáló érintetteinek személyes adatainak kategóriái különösen,

â˜?? Teljes név

â˜' Postacím

â˜?? Elérhetőségek (e-mail, telefon, IP cím stb.)

â˜?? A telefon-előfizetőre vonatkozó marketingtevékenység részletei

â˜' Egyebek, beleértve a lakhatás típusát, a jövedelmet és a város által anonimizált átlagéletkort

 

Különleges adatkategóriák (ha van)

A továbbított személyes adatok az alábbi speciális adatkategóriákra vonatkoznak:

â˜' Speciális adatkategóriák továbbítása nem várható

â˜?? Faji vagy etnikai származás

â˜?? Vallási vagy filozófiai meggyőződés

â˜?? Szakszervezeti tagság

â˜?? Politikai nézetek

â˜?? Genetikai információ

â˜?? Biometrikus információk

â˜?? Információk a szexuális irányultságról vagy a szexuális életről

â˜?? Egészségügyi adatok

 

Feldolgozási tevékenységek

A továbbított személyes adatokra az alábbi alapvető adatkezelési tevékenységek vonatkoznak:

 

  •  
    • •  A feldolgozás célja

Az Adatexportőr nevében végzett adatkezelés az alábbi témákon alapul, különösen:

â˜' Az Adatexportőr által kínált termékek vagy szolgáltatások átvétele

â˜' Olyan termék vagy szolgáltatás ajánlata, amelyet a hívott személy igényelhet

â˜' A hívott személyektől felvett rendelések és ezek további feldolgozása

â˜' Kérdőívek és elemzések tanulmányozása

â˜' Telemarketing

â˜?? Mások, köztük:

 

  •  
    • •  A feldolgozás jellege és célja

Az Adatátvevő az érintettek személyes adatait az Adatátvevő nevében az alábbi szolgáltatások nyújtása érdekében dolgozza fel, különösen:

  • â˜' Automatikus űrlapkitöltés
  • â˜' Címérvényesítési űrlap

â˜' Értékesítés és marketing

â˜' Egyebek, beleértve a városházák és politikai pártok adatbázisainak frissítését

 

  •  
    • •  Szolgáltatásnyújtás és szolgáltatók foglalkoztatása

 

A POSTCODEZIP elsősorban egyesíti, központosítja és szolgáltatásokat nyújt az adatexportőrnek. A megnevezett szolgáltató által nyújtott szolgáltatások (többek között adott esetben) a következő kiegészítő szolgáltatások köré szerveződhetnek: (i) alkalmazások, eszközök, rendszerek és informatikai infrastruktúra biztosítása a használt adatfeldolgozó központokhoz kapcsolódóan annak érdekében, hogy és az ilyen alkalmazásokon, eszközökön és rendszereken keresztül támogatja a szolgáltatásokat, beleértve az érintettek személyes adatainak fent leírt feldolgozását, (ii) az ilyen alkalmazásokkal, eszközökkel, rendszerekkel kapcsolatos informatikai támogatás, karbantartás és egyéb szolgáltatások nyújtását. és informatikai infrastruktúra, beleértve az ilyen alkalmazásokban, eszközökben és rendszerekben tárolt személyes adatokhoz való potenciális hozzáférést, valamint (iii) adatvédelmi szolgáltatások, védelemfigyelés és incidensreagálási szolgáltatások,beleértve a személyes adatokhoz való potenciális hozzáférést az ilyen védelmi szolgáltatások nyújtása során. A POSTCODEZIP az alábbiakban meghatározott adatfeldolgozókat vehet igénybe a szolgáltatások biztosításához, beleértve a kiegészítő szolgáltatásokat is.

 

  •  
    • • Külső, harmadik fél szolgáltatók, mint az adatfeldolgozáshoz rendelt alegységek

 

A POSTCODEZIP külső és harmadik fél szolgáltatókat vesz igénybe, amelyek nem leányvállalatai a POSTCODEZIP-nek, hogy támogassák az Adatexportőrnek nyújtott szolgáltatást. Az Adatexportőr az ilyen külső, külső szolgáltatókat adatkezeléssel megbízott alegységként engedélyezi.

 

Ha az adatkezelésben részt vevő alszervezet az EU-n/EGT-n kívül, olyan országban található, amelyről az Európai Bizottság döntése értelmében nem rendelkezik megfelelő szintű adatvédelemmel, az Adatimportőr lépéseket tesz a megfelelő szintű adatvédelem érdekében. adatvédelem a GDPR és az 1. rész 3.4 (iv) pontja szerint.

 

 

2. függelék 2. rész

Műszaki és szervezési védőintézkedések

 

Az Adatátvevő megteszi az alábbi, az Adatátadó által jóváhagyott technikai és szervezési védelmi intézkedéseket annak érdekében, hogy a kockázatoktól függően garantálja az egyének jogainak és szabadságainak megfelelő szintű biztonságát. Az érintett védelem szintjének értékelésekor az Adatátadó különösen az adatkezeléssel járó kockázatokat vette figyelembe, ideértve a véletlen vagy jogellenes megsemmisülést, megváltoztatást, jogosulatlan nyilvánosságra hozatalt, illetve a továbbított, tárolt vagy más módon kezelt személyes adatokhoz való hozzáférést. Pontosítással: Jelen technikai és szervezeti védelmi intézkedések nem vonatkoznak az Adatexportőr által biztosított alkalmazásokra, eszközökre, rendszerekre és/vagy informatikai infrastruktúrára.

1 Általános műszaki és szervezési védelmi intézkedések

1.1 Általános információk és adatvédelmi stratégiák

Az általános adat- és információvédelmi stratégiák követéséhez a következő lépéseket kell megtenni:

  • a) intézkedik a műszaki és szervezési védelem tekintetében tett intézkedések értékeléséről;
  • b) képzést biztosít a munkavállalók tudatosságának növelésére;
  • c) rendelkezzen az érintett rendszerek leírásával, és hozzáférést biztosít az alkalmazottak számára;
  • d) formális dokumentációs eljárást hoz létre a rendszerek bevezetése vagy módosítása esetén;
  • e) a szervezeti felépítés, a folyamatok, a felelősségi körök és a vonatkozó értékelések dokumentálása;

1.2 Az információvédelem megszervezése

Az adat- és információvédelmi tevékenységek összehangolása érdekében a következő intézkedéseket kell megtenni:

  • a) meghatározott felelősségi körök az információk és adatok védelmében (pl. az adatvédelmi szabályzaton keresztül);
  • b) a rendelkezésre álló információk és adatok védelméhez szükséges szakértelem;
  • c) minden munkavállaló elkötelezett a személyes adatok bizalmas kezelése mellett, és tájékoztatást kapott ezen kötelezettségvállalás megszegésének lehetséges következményeiről.

1.3 Hozzáférés ellenőrzése a feldolgozó területekhez

A következő intézkedéseket kell megtenni annak megakadályozására, hogy illetéktelen személyek hozzáférjenek az adatfeldolgozó rendszerekhez (különösen a szoftverekhez és hardverekhez), amikor személyes adatokat dolgoznak fel, tárolnak vagy továbbítanak:

  • a) biztonságos területeket létesítsen;
  • b) védi és korlátozza az adatfeldolgozó rendszerekhez való hozzáférést;
  • c) a munkavállalók és harmadik felek számára hozzáférési jogosultságokat hoz létre, beleértve a vonatkozó dokumentumokat;
  • d) minden olyan adatfeldolgozó központhoz való hozzáférést, ahol személyes adatokat tárolnak, naplózni kell.

1.4 Adatfeldolgozó rendszerekhez való hozzáférés ellenőrzése

Az adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megelőzése érdekében a következő intézkedéseket kell tenni:

  • a) felhasználói hitelesítési szabályzatok és eljárások;
  • b) jelszavak használata minden számítógépes rendszeren;
  • c) a hálózathoz való távoli hozzáférés többtényezős hitelesítést igényel, és azt az érintett feladatai szerint és felhatalmazás alapján biztosítja;
  • d) az egyes funkciókhoz való hozzáférés a munkaköri funkciókon és/vagy a felhasználói fiókhoz egyedileg hozzárendelt attribútumokon alapul;
  • e) a személyes adatokhoz kapcsolódó hozzáférési jogokat rendszeresen felülvizsgálják;
  • f) a hozzáférési jogok változásairól készült nyilvántartásokat naprakészen kell tartani.

1.5 Az adatfeldolgozó rendszerek meghatározott felhasználási területeihez való hozzáférés szabályozása

Az alábbi intézkedéseket kell megtenni annak érdekében, hogy az adatfeldolgozó rendszer használatára jogosult személyek csak a saját feladatkörükben és hozzáférési jogosultságukon belül férhessenek hozzá az adatokhoz, valamint hogy a személyes adatok engedély nélkül ne legyenek olvashatók, másolhatók, módosíthatók vagy törölhetők:

  1. 1. 
    1. a) az alkalmazottak titoktartási kötelezettségeire, a személyes adatokhoz való hozzáférés jogára és a személyes adatok kezelésének terjedelmére vonatkozó szabályzatok, utasítások és képzések;
  • b) fegyelmi intézkedések a személyes adatokhoz engedély nélkül hozzáférő személlyel szemben;
  • c) a személyes adatokhoz csak az arra jogosult személyek férhetnek hozzá, szükség szerint;
  • d) vezeti a rendszergazdák listáját, és megteszi a megfelelő intézkedéseket a rendszergazdák megfigyelésére;
  • e) ne másoljon vagy reprodukáljon személyes adatokat semmilyen tárolórendszeren, hogy illetéktelen személyek eltávolíthassák a kibocsátó adatait;
  • f) az adatok ellenőrzött és dokumentált törlése vagy megsemmisítése;
  • g) minden olyan személyes adatot biztonságosan tárolni, amelyet jogi vagy szabályozási okokból (pl. adatmegőrzési kötelezettség) meg kell őrizni, és csak a törvény által előírt ideig.

1.6 Sebességváltó-vezérlés

Az alábbi intézkedéseket kell tenni annak megakadályozása érdekében, hogy az adattároló eszközök továbbítása vagy szállítása során a személyes adatokat illetéktelen harmadik fél elolvassa, másolja, módosítsa vagy törölje (a személyes adatok kezelésétől függően):

  1. 1. 
    1. a) tűzfalak használata;
  • b) a személyes adatok szállítási célú mobil tárolóeszközön való tárolásának elkerülése, illetve az eszközök titkosítása;
  • c) laptopokon és más mobil eszközökön csak a titkosítási védelem aktiválása után használható;
  • d) személyes adattovábbítások naplózása.

1.7 Adatbevitel vezérlése

A következő intézkedéseket kell megtenni annak érdekében, hogy ellenőrizhető legyen és megállapítható legyen, hogy személyes adat került-e az adatfeldolgozó rendszerbe, illetve ki lett-e törölve onnan, és hogy ki által:

  1. 1. 
    1. a) a tárolt adatok olvasásának, megváltoztatásának és törlésének engedélyezésére vonatkozó szabályzat;
  • b) a tárolt adatok kiolvasásával, megváltoztatásával és törlésével kapcsolatos védelmi intézkedések.

1.8 Munkaellenőrzés

Személyes adatok átruházott kezelése esetén a következő intézkedéseket kell megtenni annak biztosítására, hogy ezen adatok kezelése a Felügyelő utasításainak megfelelően történjen:

  1. 1. 
    1. a) az adatkezelésre kijelölt, körültekintően kiválasztott jogalanyok vagy alszervezetek (az adatkezelő megbízásából személyes adatokat feldolgozó szolgáltatók);
  • b) a személyes adatok kezelésének terjedelmére vonatkozó utasítások az adatkezeléssel megbízott alkalmazottak, jogalanyok vagy alszervezetek részére;
  • c) az adatkezeléssel megbízott szervezetekkel vagy alszervezetekkel egyeztetett ellenőrzési jogok;
  • d) az adatok feldolgozására kijelölt szervezetekkel vagy alszervezetekkel kötött megállapodások.

1.9 Elválasztás az egyéb célú feldolgozástól

A következő intézkedéseket kell megtenni annak érdekében, hogy az egyéb célból gyűjtött adatok külön-külön is feldolgozhatók legyenek:

  1. 1. 
    1. a) a személyes adatokhoz való külön hozzáférés a felhasználók meglévő jogainak megfelelően;
  • b) az interfészek, a kötegelt feldolgozás és a jelentéskészítés más célt és funkciót szolgálnak, így az egyéb célból gyűjtött adatok külön-külön is feldolgozhatók.

1.10 Álnevesítés

A személyes adatok álnevesítésével kapcsolatban a következő intézkedéseket kell megtenni:

  1. 1. 
    1. a) Ha az Adatátvevő meghatározott adatkezelési műveletet rendel el, vagy ha ezt az Adatátvevő az egyes adatkezelési tevékenységekre vonatkozó hatályos adatvédelmi jogszabályok értelmében megfelelőnek tartja, a személyes adatok kezelése úgy történik, hogy az adatok további információk felhasználása nélkül már nem rendelhetők egy adott személyhez. Ezeket a kiegészítő információkat külön tároljuk;
  • b) álnevesítési technikák alkalmazása, beleértve a kiosztási listák véletlenszerűsítését; értékteremtés élesek formájában.

1.11 Titkosítás

A következő lépéseket kell megtenni a személyes adatok titkosításához a titkosítást támogató alkalmazásokban és átvitelekben:

  1.  
    1. a) titkosítási technikák alkalmazása;
  • b) titkosításkezelés létrehozása az engedélyezett titkosítási technikák támogatására;
  • c) a kriptográfia használatának támogatása a kriptográfiai kulcsok generálására, módosítására, visszavonására, megsemmisítésére, terjesztésére, hitelesítésére, tárolására, rögzítésére, használatára és archiválására szolgáló eljárások és protokollok révén a jogosulatlan módosítások és nyilvánosságra hozatal elleni védelem érdekében.

1.12 Az adatfeldolgozó rendszerek és szolgáltatások teljessége

Az adatfeldolgozó rendszerek és szolgáltatások teljességének biztosítása érdekében a következő intézkedéseket kell megtenni:

  1. 1. a) az adatfeldolgozó rendszerek manipuláció vagy megsemmisülés elleni védelme megfelelő eszközökkel (pl. vírusirtó szoftverek, adatvesztés-megelőzési szoftverek és kártevők elleni szoftverek, szoftverjavítások, tűzfalak, menedzselt asztali védelem);
  • b) megtiltani az adatfeldolgozó rendszerekre, szolgáltatásokra káros szolgáltatás vagy szoftver telepítését, illetve a személyes adatok kezelését;
  • c) hálózati behatolás-érzékelő és -megelőzési rendszer alkalmazása magának a hálózatnak a felépítésében.

1.13 Az adatfeldolgozó rendszerek és szolgáltatások elérhetősége, valamint a személyes adatokhoz való hozzáférés és azok felhasználásának visszaállításának lehetősége anyagi vagy műszaki incidens esetén

Az alábbi intézkedéseket kell megtenni annak érdekében, hogy anyagi vagy technikai incidens esetén biztosítsák az adatfeldolgozó rendszerek elérhetőségét, valamint gyorsan vissza lehessen állítani a személyes adatok elérhetőségét és hozzáférését (különös tekintettel arra, hogy a személyes adatok védve vannak a véletlen megsemmisülés vagy elvesztés ellen):

  • a) rendelkezzenek a biztonsági másolatok megőrzésére és az elveszett vagy törölt adatok visszaállítására szolgáló vezérlési eszközökkel;
  • b) infrastrukturális redundancia- és teljesítményvizsgálat;
  • c) számítógépes erőforrások fizikai védelme;
  • d) eszközök használata a belső hálózat állapotának és elérhetőségének figyelemmel kísérésére;
  • e) az incidenskezelési eljárást szabályozó incidens jelentési és reagálási szabályzatok, valamint ezen szabályzatok betartásának megismétlése a rendszeres képzés részeként;
  • f) biztonsági mentések (néha a telephelyen kívül), hogy visszaállítsák a rendszert annak érdekében, hogy az ismét elláthassa funkcióit;
  • g) üzletmenet-folytonossági/katasztrófa-helyreállítási tervek

1.14 Az adatfeldolgozó rendszerek és szolgáltatások rugalmassága

Az adatfeldolgozó rendszerek és szolgáltatások rugalmasságának biztosítása érdekében a következő intézkedéseket kell megtenni:

  • a) rendszereket és harmonikusan, jóváhagyott biztonsági paraméterekkel konfigurálva;
  • b) hálózati redundancia;
  • c) kritikus rendszerek elszigetelésének védelme.

1.15 Az adatkezelés biztonságát biztosító technikai és szervezési intézkedések rendszeres tesztelésére, értékelésére és hatékonyságának értékelésére vonatkozó eljárás

Eljárás az adatkezelés védelmét szolgáló technikai és szervezési intézkedések rendszeres tesztelésére, értékelésére és hatékonyságának értékelésére.

  • a) megteszi a szükséges lépéseket a kockázatok és a mérséklési stratégiák értékeléséhez;
  • b) az informatikai osztály szolgáltatáselemző értekezletei az aktuális kérdések megvitatására;
  • c) az üzletmenet-folytonossági/katasztrófa-helyreállítási terveket rendszeresen frissítik.

 

3. rész

A felek aláírásai és az adatimportőrök listája

 

Az online megrendelőlap kitöltésével és az általános felhasználási feltételeket elfogadó négyzet kipipálásával érvényesítve létrejön a Megrendelő és a POSTCODEZIP kapcsolatára irányadó szerződés.

A POSTCODEZIP részére történő fizetés elküldése a szerződést elfogadottnak és létrejöttnek tekinti.

Jegyezze meg: Ezt a szöveget francia nyelvről fordították le. Az eredeti francia változat, amely érvényes és jogilag korlátozó, itt érhető  el .