skip to Main Content

Dán Adatvédelmi Hatóság: adatfeldolgozási mintaszerződés

A Dán Adatvédelmi Hatóság (Datatilsynet) a GDPR 28. cikk (8) bekezdésében biztosított jogával élve meghatározta azokat az általános szerződési feltételeket, melyekkel a GDPR 28. cikk (3)-(4) bekezdésében írt kötelezettségek teljesíthetők adatfeldolgozási jogviszony létesítése esetén. A szerződésminta már 2020. januárja óta elérhető volt az EDPB honlapján, minap azonban felkerült végre valamennyi hivatalos nyelven is. A színezett részek kiegészítést igényelnek vagy magyarázó szövegként funkcionálnak.

Adatfeldolgozási megállapodás

Általános szerződési feltételek

A 2016/679/EK rendelet (általános adatvédelmi rendelet) 28. cikke (3) bekezdésének alkalmazása céljából

[NÉV]
CVR [CVR-NO]
[CÍM]
“[IRÁNYÍTÓSZÁM ÉS VÁROS]”
[ORSZÁG]

(Adatkezelő)

továbbá

[NÉV]
CVR [CVR-NO]
[CÍM]
“[IRÁNYÍTÓSZÁM ÉS VÁROS]”
[ORSZÁG]

(Adatfeldolgozó) között

a továbbiakban külön-külön: fél, együtt: a felek

a következő szerződési feltételekről ÁLLAPODTAK MEG annak érdekében, hogy meg-feleljenek az általános adatvédelmi rendelet követelményeinek, és biztosítsák az érintett jogainak védelmét.

1.Tartalomjegyzék

2. Preambulum
3. Az adatkezelő jogai és kötelezettségei
4. Az adatfeldolgozó az utasításoknak megfelelően jár el
5. Titoktartás
6. Az adatkezelés biztonsága
7. További adatfeldolgozók alkalmazása
8. Az adatok továbbítása harmadik országokba vagy nemzetközi szervezetek részére
9. Az adatkezelőnek nyújtott segítség
10. Az adatvédelmi incidensről való tájékoztatás
11. Az adatok törlése és visszaküldése
12. Audit és helyszíni vizsgálat
13. A felek megállapodása más feltételekről
14. Hatálybalépés és megszüntetés
15. Adatkezelő és adatfeldolgozó kapcsolattartói
A. függelék Az adatkezelésről való tájékoztatás
B. függelék Engedélyezett további adatfeldolgozók
C. függelék A személyes adatok felhasználására vonatkozó utasítások

2. Preambulum

1. Ezek a szerződési feltételek meghatározzák az adatkezelő és az adatfeldolgozó jogait és kötelezettségeit a személyes adatoknak az adatkezelő nevében törté-nő kezelése során.

2. A szerződési feltételek célja annak biztosítása, hogy a felek megfeleljenek a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai par-lamenti és tanácsi rendelet (általános adatvédelmi rendelet) 28. cikke (3) bekez-désének.

3. A(z) [SZOLGÁLTATÁS NEVE] nyújtása keretében az adatfeldolgozó az adatke-zelő nevében, a szerződési feltételeknek megfelelően kezeli a személyes ada-tokat.

4. A szerződési feltételek elsőbbséget élveznek a felek közötti egyéb megállapo-dások hasonló rendelkezéseivel szemben.

5. A szerződési feltételekhez négy függelék kapcsolódik, amelyek a szerződési feltételek szerves részét képezik.

6. Az A. függelék tartalmazza a személyes adatok kezelésének részleteit, beleértve az adatkezelés célját és jellegét, a személyes adatok típusát, az érintettek kate-góriáit és az adatkezelés időtartamát.

7. A B. függelék tartalmazza az adatkezelőnek a további adatfeldolgozók adatfel-dolgozó általi alkalmazására vonatkozó feltételeit, valamint az adatkezelő által felhatalmazott további adatfeldolgozók listáját.

8. A C. függelék tartalmazza az adatkezelőnek a személyes adatok kezelésére vo-natkozó utasításait, az adatfeldolgozó által végrehajtandó minimális biztonsági intézkedéseket, valamint az adatfeldolgozó és az esetleges további adatfeldol-gozók auditjának módját.

9. A D. függelék a szerződési feltételek hatálya alá nem tartozó egyéb tevékeny-ségekre vonatkozó rendelkezéseket tartalmaz.

10. A szerződési feltételeket a függelékekkel együtt mindkét fél írásban – akár elektronikus formában is – megőrzi.

11. A szerződési feltételek nem mentesítik az adatfeldolgozót azon kötelezettségek alól, amelyek az általános adatvédelmi rendelet vagy más jogszabályok értel-mében az adatfeldolgozóra vonatkoznak.

3. Az adatkezelő jogai és kötelezettségei

1. Az adatkezelő feladata gondoskodni arról, hogy a személyes adatok kezelése az általános adatvédelmi rendelettel (lásd az általános adatvédelmi rendelet 24. cikkét), a vonatkozó uniós vagy tagállami adatvédelmi rendelkezésekkel és a szerződési feltételekkel összhangban történjen.

2. A személyes adatok kezelésének céljaival és eszközeivel kapcsolatos döntése-ket az adatkezelő jogosult és köteles meghozni.

3. Az adatkezelő feladata többek között gondoskodni arról, hogy a személyes adatok kezelése, amelyre az adatfeldolgozó utasítást kapott, rendelkezzen jog-alappal.

4. Az adatfeldolgozó az utasításoknak megfelelően jár el

1. Az adatfeldolgozó kizárólag az adatkezelő dokumentált utasításai alapján ke-zelheti a személyes adatokat, kivéve, ha arra az adatfeldolgozóra alkalmazandó uniós vagy tagállami jogszabály kötelezi. Ezeket az utasításokat az A. és a C. függelékben kell meghatározni. Az adatkezelő a személyes adatok kezelésének teljes időtartama alatt további utasításokat is adhat, ezeket az utasításokat azonban a szerződési feltételekkel összefüggésben mindig dokumentálni kell, és írásban – akár elektronikus formában is – meg kell őrizni.

2. Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha az adatkezelő által adott utasítások az adatfeldolgozó véleménye szerint ellentétesek az álta-lános adatvédelmi rendelettel vagy az alkalmazandó uniós vagy tagállami adat-védelmi rendelkezésekkel.

[MEGJEGYZÉS: A FELEKNEK ELŐRE KELL LÁTNIUK ÉS MÉRLEGELNIÜK KELL AZ ADATKEZELŐ ÁLTAL ADOTT, ESETLEGESEN JOGELLENES UTA-SÍTÁSOKBÓL EREDŐ KÖVETKEZMÉNYEKET, ÉS EZT A FELEK KÖZÖTTI MEGÁLLAPODÁSBAN KELL SZABÁLYOZNIUK.]

5. Titoktartás

1. Az adatfeldolgozó az adatkezelő nevében kezelt személyes adatokhoz – kizáró-lag a szükséges ismeret elve alapján – csak olyan, az adatfeldolgozó irányítása alá tartozó személyeknek biztosít hozzáférést, akik titoktartási kötelezettséget vállaltak, vagy megfelelő törvényi titoktartási kötelezettség vonatkozik rájuk. Rendszeresen felül kell vizsgálni a hozzáférési jogosultsággal rendelkező sze-mélyek listáját. E felülvizsgálat alapján a személyes adatokhoz való hozzáférés visszavonható, ha a hozzáférés már nem szükséges, ennek következményeként pedig e személyek a továbbiakban nem férhetnek hozzá a személyes adatok-hoz.

2. Az adatfeldolgozónak az adatkezelő kérésére igazolnia kell, hogy az adatfel-dolgozó irányítása alatt álló érintett személyekre kiterjed a fent említett titoktar-tási kötelezettség.

6. Az adatkezelés biztonsága

1. Az általános adatvédelmi rendelet 32. cikke előírja, hogy figyelembe véve a technika állását, a végrehajtás költségeit, az adatfeldolgozás jellegét, hatókö-rét, körülményeit és céljait, valamint a természetes személyek jogaira és sza-badságaira jelentett változó valószínűségű és súlyosságú kockázatot, az adat-kezelőnek és az adatfeldolgozónak megfelelő technikai és szervezési intézke-déseket kell végrehajtania a kockázat mértékének megfelelő biztonsági szint biztosítása érdekében.

Az adatkezelő értékeli a természetes személyek jogait és szabadságait érintő, az adatkezeléssel járó kockázatokat, és intézkedéseket hajt végre e kockázatok csökkentésére. Relevanciájuktól függően az intézkedések a következőket fog-lalhatják magukban:

a. a személyes adatok álnevesítése és titkosítása;

b. a személyes adatok kezelésére használt rendszerek és szolgáltatások fo-lyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és el-lenálló képességének biztosítása

c. fizikai vagy műszaki incidens esetén a személyes adatokhoz való hozzáfé-résnek és az adatok rendelkezésre állásának a kellő időben való helyreállí-tási képessége;

d. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és ér-tékelésére szolgáló eljárás.

2. Az általános adatvédelmi rendelet 32. cikke szerint az adatfeldolgozó – az adat-kezelőtől függetlenül is – értékeli a természetes személyek jogait és szabadsá-gait érintő, az adatkezelés természetéből fakadó kockázatokat is, és az e koc-kázatok csökkentését szolgáló intézkedéseket alkalmaz. E célból az adatkezelő az adatfeldolgozó rendelkezésére bocsátja az ilyen kockázatok azonosításához és értékeléséhez szükséges valamennyi információt.

3. Az adatfeldolgozó továbbá segíti az adatkezelőt az általános adatvédelmi ren-delet 32. cikke szerinti kötelezettségeinek teljesítésében, többek között azáltal, hogy tájékoztatja az adatkezelőt az adatfeldolgozó által az általános adatvé-delmi rendelet 32. cikke szerint már végrehajtott technikai és szervezési intézke-désekről, valamint minden egyéb olyan információról, amely az adatkezelőnek az általános adatvédelmi rendelet 32. cikke szerinti kötelezettségének teljesíté-séhez szükséges.

Ha ezt követően – az adatkezelő értékelése szerint – az azonosított kockázatok csökkentése érdekében az adatfeldolgozónak az általa az általános adatvédel-mi rendelet 32. cikke alapján már végrehajtottakon kívül további intézkedéseket kell végrehajtania, az adatkezelőnek a C. függelékben kell ezeket a további vég-rehajtandó intézkedéseket meghatároznia.

7. További adatfeldolgozók alkalmazása

1. Az adatfeldolgozónak meg kell felelnie az általános adatvédelmi rendelet 28. cikkének (2) és (4) bekezdésében meghatározott követelményeknek annak ér-dekében, hogy további adatfeldolgozót (további adatfeldolgozót) alkalmazhas-son.

2. Az adatfeldolgozó ezért a szerződési feltételek teljesítése érdekében az adatke-zelő előzetes [1. LEHETŐSÉG: írásban tett eseti felhatalmazása] / [2. LEHETŐ-SÉG: írásban tett általános felhatalmazása] hiányában nem vehet igénybe másik adatfeldolgozót (további adatfeldolgozót).

3. [1. LEHETŐSÉG: ELŐZETES ESETI FELHATALMAZÁS] Az adatfeldolgozó ki-zárólag az adatkezelő előzetes eseti felhatalmazása alapján vesz igénybe to-vábbi adatfeldolgozót. Az adatfeldolgozó eseti felhatalmazás iránti kérelmét az adott további adatfeldolgozó igénybevételét megelőzően legalább [HATÁROZ-ZA MEG A HATÁRIDŐT] benyújtja. A további adatfeldolgozóknak az adatkeze-lő által már elfogadott listája a B. függelékben található.

[2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSBELI FELHATALMAZÁS] Az adatfeldolgo-zó rendelkezik az adatkezelő további feldolgozók bevonására vonatkozó általá-nos felhatalmazásával. Az adatfeldolgozó legalább [HATÁROZZA MEG A HA-TÁRIDŐT] írásban tájékoztatja az adatkezelőt minden olyan tervezett változás-ról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ez-zel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatások-kal szemben a további adatfeldolgozó(k) igénybevételét megelőzően kifogást emeljen. A B. függelékben meghatározott további adatkezelési szolgáltatások tekintetében az előzetes értesítésre vonatkozóan hosszabb határidők állapítha-tók meg. A további adatfeldolgozóknak az adatkezelő által már elfogadott listá-ja a B. függelékben található.

4. Amennyiben az adatfeldolgozó konkrét adatkezelési tevékenységeknek az adatkezelő nevében történő végzése céljából további adatfeldolgozót vesz igénybe, az uniós vagy tagállami jog szerinti szerződés vagy más jogi aktus út-ján az adott további adatfeldolgozó számára ugyanazokat az adatvédelmi köte-lezettségeket kell előírni, mint amelyek a szerződési feltételekben szerepelnek, különösen megfelelő garanciákat nyújtva a megfelelő technikai és szervezési in-tézkedések oly módon történő végrehajtására, hogy az adatkezelés megfeleljen a szerződési feltételek és az általános adatvédelmi rendelet követelményeinek.

Az adatfeldolgozó ezért felelős annak előírásáért, hogy a további adatfeldolgo-zó legalább azoknak a kötelezettségeknek tegyen eleget, amelyek a szerződési feltételek és az általános adatvédelmi rendelet értelmében az adatfeldolgozóra vonatkoznak.

5. A további adatfeldolgozóra vonatkozó megállapodás és későbbi módosításai-nak egy példányát – az adatkezelő kérésére – az adatkezelő rendelkezésére kell bocsátani, ezáltal lehetőséget adva az adatkezelőnek annak biztosítására, hogy a szerződési feltételekben meghatározott adatvédelmi kötelezettségek a továb-bi adatfeldolgozóra is kiterjedjenek. A további adatfeldolgozóra vonatkozó megállapodás adatvédelmi tartalmát nem érintő, üzleti vonatkozású kérdésekkel kapcsolatos rendelkezéseket nem kell az adatkezelő rendelkezésére bocsátani.

6. Az adatfeldolgozónak meg kell állapodnia a további adatfeldolgozóval a ked-vezményezett harmadik személyre vonatkozó kikötésről, amennyiben – az adat-feldolgozó csődje esetén – az adatkezelő a további adatfeldolgozóra vonatko-zó megállapodás kedvezményezett harmadik fele, és jogában áll a megállapo-dást az adatfeldolgozó által megbízott további adatfeldolgozóval szemben ér-vényesíteni, például lehetővé téve az adatkezelő számára, hogy utasítsa a to-vábbi adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére.

7. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az adat-feldolgozó továbbra is teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek teljesítéséért. Ez nem érinti az általános adatvédelmi rendelet alapján az érintetteket az adatkezelővel és az adatfeldol-gozóval, ideértve a további adatfeldolgozót is, szemben megillető – különösen az általános adatvédelmi rendelet 79. és 82. cikkében előirányzott – jogokat.

8. Az adatok továbbítása harmadik országokba vagy nemzetközi szervezetek részére

1. Az adatfeldolgozó kizárólag az adatkezelő írásbeli utasításai alapján és minden esetben az általános adatvédelmi rendelet V. fejezetével összhangban továb-bíthat személyes adatokat harmadik országokba vagy nemzetközi szervezetek részére.

2. Amennyiben a harmadik országokba vagy nemzetközi szervezetek részére tör-ténő olyan adattovábbítást, amelyre az adatkezelő nem utasította az adatfel-dolgozót, az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő, az adatfeldolgozó az adatkezelést megelőzően értesíti az adatkezelőt erről a jo-gi előírásról, kivéve, ha az adott jogszabály fontos közérdekből tiltja az adatke-zelő értesítését.

3. Az adatkezelőt írásbeli utasításai hiányában tehát az adatfeldolgozó az általá-nos szerződési feltételek keretében:

a. nem továbbíthat harmadik országbeli adatkezelőnek vagy adatfeldol-gozónak, illetve nemzetközi szervezet adatkezelőjének vagy adatfeldol-gozójának személyes adatot

b. nem bízhat meg a személyes adatok kezelésével harmadik országbeli további adatfeldolgozót

c. nem végeztetheti a személyes adatok kezelését harmadik országbeli adatfeldolgozóval.

4. Az adatkezelőnek a személyes adatok harmadik országba történő továbbításá-val kapcsolatos utasításait, ideértve adott esetben a továbbítás alapjául szolgá-ló, általános adatvédelmi rendelet V. fejezete szerinti adattovábbítási eszközt is, a C6. függelékben kell meghatározni.

5. A szerződési feltételek nem keverhetők össze az általános adatvédelmi rendelet 46. cikke (2) bekezdésének c) és d) pontja szerinti általános adatvédelmi kikö-tésekkel, és a felek nem hivatkozhatnak rájuk az általános adatvédelmi rendelet V. fejezete szerinti adattovábbítási eszközként.

9. Az adatkezelőnek nyújtott segítség

1. Az adatkezelés jellegének figyelembevételével az adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adat-kezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekinte-tében.

Ez azt jelenti, hogy az adatfeldolgozónak a lehetséges mértékben segítenie kell az adatkezelőt abban, hogy az adatkezelő tiszteletben tudja tartani a követke-zőket:

a. tájékoztatáshoz való jog, amikor személyes adatokat gyűjtenek az érin-tettől
b. tájékoztatáshoz való jog abban az esetben, ha a személyes adatokat nem az érintettől szerezték be
c. az érintett hozzáférési joga
d. a helyesbítéshez való jog
e. a törléshez való jog („az elfeledtetéshez való jog”)
f. az adatkezelés korlátozásához való jog
g. a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatke-zelés korlátozásához kapcsolódó értesítési kötelezettség
h. az adathordozhatósághoz való jog
i. kifogásolási jog
j. a kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntések alóli mentesülés joga

2. Az adatfeldolgozónak a 6. szakasz (4) bekezdése szerinti azon kötelezettsége mellett, hogy segítséget nyújtson az adatkezelőnek, az adatfeldolgozó – figye-lembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló in-formációkat – segítséget nyújt az adatkezelőnek az alábbiaknak való megfele-lésben:

a. az adatkezelő kötelezettsége, hogy az adatvédelmi incidenst indokolat-lan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelentse az illeté-kes felügyeleti hatóságnak [ADJA MEG AZ ILLETÉKES FELÜGYELETI HATÓSÁGOT], kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve;

b. az adatkezelő azon kötelezettsége, hogy indokolatlan késedelem nélkül tájékoztassa az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes sze-mélyek jogaira és szabadságaira nézve;

c. az adatkezelő azon kötelezettsége, hogy hatásvizsgálatot végezzen arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik (adatvédelmi hatásvizsgálat);

d. az adatkezelőnek az illetékes felügyeleti hatósággal [JELÖLJE MEG AZ ILLETÉKES FELÜGYELETI HATÓSÁGOT] való konzultációra vonatkozó kötelezettsége a személyes adatok kezelését megelőzően, ha az adat-védelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában való-színűsíthetően magas kockázattal jár.

3. A felek a C. függelékben meghatározzák azokat a megfelelő technikai és szer-vezési intézkedéseket, amelyekkel az adatfeldolgozó köteles az adatkezelőt segíteni, valamint az elvárt segítségnyújtás terjedelmét és mértékét. Ez vonat-kozik a 9.1. és 9.2. szakaszban előírt kötelezettségekre.

10. Az adatvédelmi incidensről való tájékoztatás

1. Az adatfeldolgozó bármely adatvédelmi incidens esetén az incidensről való tu-domásszerzést követően haladéktalanul értesíti az adatkezelőt az adatvédelmi incidensről.

2. Az adatfeldolgozónak – lehetőség szerint – az adatvédelmi incidensről való tu-domásszerzéstől számított [AZ ÓRÁK SZÁMA] belül kell értesítenie az adatke-zelőt annak érdekében, hogy az adatkezelő eleget tehessen az adatvédelmi in-cidensek illetékes felügyeleti hatóság részére történő bejelentésére vonatkozó kötelezettségének (vö. általános adatvédelmi rendelet 33. cikke).

3. A 9. szakasz (2) bekezdésének a) pontjával összhangban az adatfeldolgozó segíti az adatkezelőt az adatvédelmi incidensnek az illetékes felügyelő hatóság felé történő bejelentésében, ami azt jelenti, hogy az adatfeldolgozónak segíte-nie kell az alábbiakban felsorolt azon információk beszerzésében, amelyeket az általános adatvédelmi rendelet 33. cikkének (3) bekezdése értelmében az adat-kezelőnek az illetékes felügyelő hatóság felé tett bejelentésében fel kell tüntet-nie:

a. a személyes adat jellege, beleértve – ha lehetséges – az érintettek ka-tegóriáit és hozzávetőleges számát, valamint az érintett személyes ada-tok kategóriáit és hozzávetőleges számát;

b. az adatvédelmi incidensből eredő, valószínűsíthető következmények;

c. az adatkezelő által az adatvédelmi incidens orvoslására tett vagy terve-zett intézkedések, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedé-seket.

4. A felek a D. függelékben kötelesek meghatározni azokat az elemeket, amelye-ket az adatfeldolgozónak meg kell adnia, hogy segítse az adatkezelőt az adat-védelmi incidens illetékes felügyeleti hatóság felé történő bejelentése során.

11. Az adatok törlése és visszaküldése

1. A személyes adat feldogozására irányuló szolgáltatás megszüntetésekor az adatfeldolgozó köteles [1. LEHETŐSÉG] az adatkezelő nevében kezelt vala-mennyi személyes adatot törölni, és igazolni az adatkezelő felé, hogy ezt meg-tette / [2. LEHETŐSÉG] az összes személyes adatot visszaküldeni az adatkeze-lőnek, és törölni a meglévő másolatokat, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását írja elő.

2. [FAKULTATÍV] Az adatfeldolgozóra alkalmazandó alábbi uniós vagy tagállami jogszabályok megkövetelik a személyes adatoknak az adatfeldolgozási szolgáltatások megszűnését követő tárolását:

a. […]

Az adatfeldolgozó kötelezettséget vállal arra, hogy kizárólag az e jogszabály ál-tal előírt célokra, illetve időtartamra és a vonatkozó szigorú feltételek mellett ke-zeli a személyes adatokat

12. Audit és helyszíni vizsgálat

1. Az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan informá-ciót, amely a 28. cikkben és a szerződési feltételekben meghatározott kötele-zettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által vég-zett auditokat, beleértve a helyszíni vizsgálatokat is.

2. Az adatkezelő auditjaira alkalmazandó eljárások, beleértve az adatfeldolgozó és a további adatfeldolgozó helyszíni vizsgálatát is, a C7. és C8. függelékben sze-repelnek.

3. Az adatfeldolgozó köteles az adatkezelő és az adatfeldolgozó létesítményeihez az alkalmazandó jogszabályok alapján hozzáféréssel rendelkező felügyelő ha-tóságok vagy az ilyen felügyelő hatóságok nevében eljáró képviselők számára a megfelelő módon történő azonosítás mellett hozzáférést biztosítani az adat-feldolgozó fizikai létesítményeihez.

13. A felek megállapodása más feltételekről

1. A felek a személyesadat-kezelési szolgáltatás nyújtására vonatkozóan egyéb, például a felelősséget meghatározó kikötésekben is megállapodhatnak, ameny-nyiben azok sem közvetlenül, sem közvetve nem ütköznek a szerződési feltéte-lekbe, és nem sértik az érintett alapvető jogait és szabadságait, valamint az ál-talános adatvédelmi rendelet által biztosított védelmet.

14. Hatálybalépés és megszüntetés

1. A szerződési feltételek a mindkét fél általi aláírás napján lépnek hatályba.

2. Mindkét fél jogosult kérni a szerződési feltételek újratárgyalását, ha jogszabály-módosítás vagy szerződési feltételek célszerűtlensége miatt ilyen újratárgyalás szükséges.

3. A szerződési feltételek a személyes adatok kezelésére irányuló szolgáltatás idő-tartamára alkalmazandók. A személyes adatok kezelésére irányuló szolgáltatás időtartama alatt a szerződési feltételek csak akkor szüntethetők meg, ha a felek a személyes adatok feldolgozására irányuló szolgáltatásra vonatkozó egyéb szerződési feltételekben állapodtak meg.

4. Ha a személyes adat kezelésére irányuló szolgáltatás megszűnik, és a szemé-lyes adatokat az 11.1. szakasz és a C.4. függelék alapján törlik vagy visszakül-dik az adatkezelőnek, a szerződési feltételeket bármelyik fél írásbeli felmon-dással megszüntetheti.

5. Aláírás

Az adatkezelő nevében

Név [NÉV]
Beosztás [BEOSZTÁS]
Dátum [DÁTUM]
Aláírás [ALÁÍRÁS]

Az adatfeldolgozó nevében

Név [NÉV]
Beosztás [BEOSZTÁS]
Dátum [DÁTUM]
Aláírás [ALÁÍRÁS]

15. Adatkezelő és adatfeldolgozó kapcsolattartói

1. A felek a következő kapcsolattartókon keresztül léphetnek egymással kapcso-latba:

2. A felek kötelesek folyamatosan tájékoztatni egymást a kapcsolattartókat érintő változásokról.

Név [NÉV]
Beosztás [BEOSZTÁS]
Telefonszám [TELEFON]
E-mail [E-MAIL]

Név [NÉV]
Beosztás [BEOSZTÁS]
Telefonszám [TELEFON]
E-mail [E-MAIL]

 

FÜGGELÉKEK

A. függelék Az adatkezelésről való tájékoztatás

[MEGJEGYZÉS: TÖBB ADATKEZELÉSI TEVÉKENYSÉG ESETÉN EZEKET AZ ELE-MEKET MINDEN EGYES ADATKEZELÉSI TEVÉKENYSÉGRE VONATKOZÓAN KI KELL TÖLTENI.]

A.1. A személyes adat adatkezelő nevében, az adatfeldolgozó által végzett kezelé-sének célja:

[ISMERTESSE AZ ADATKEZELÉS CÉLJÁT].

A.2. A személyes adat adatkezelő nevében, az adatfeldolgozó által végzett kezelése elsősorban a következőkre terjed ki (az adatkezelés jellege):

[ISMERTESSE AZ ADATKEZELÉS JELLEGÉT].

A.3. Az adatkezelés az érintettek alábbi típusú személyes adataira terjed ki:

[ISMERTESSE A KEZELT SZEMÉLYES ADATOK TÍPUSÁT].

[PÉLDÁUL]

„Név, e-mail cím, telefonszám, cím, nemzeti azonosító szám, fizetési adatok, tagsági szám, a tagság típusa, fitneszközpont igénybevétele és adott fitneszórákra való jelentke-zés.”

[MEGJEGYZÉS: ENNEK A LEÍRÁSNAK A LEHETŐ LEGRÉSZLETESEBB MÓDON KELL TÖRTÉNNIE, ÉS MINDEN KÖRÜLMÉNYEK KÖZÖTT RÉSZLETEZNI SZÜKSÉ-GES A SZEMÉLYES ADATOK TÍPUSAIT, TEHÁT NEM ELÉG PUSZTÁN „AZ ÁLTALÁ-NOS ADATVÉDELMI RENDELET 4. CIKKÉNEK (1) BEKEZDÉSÉBEN MEGHATÁRO-ZOTT SZEMÉLYES ADATOKRA” HIVATKOZNI, VAGY AZT MEGJELÖLNI, HOGY AZ ADATKEZELÉS A SZEMÉLYES ADATOK MELY KATEGÓRIÁJÁT (AZ ÁLTALÁNOS ADATVÉDELMI RENDELET 6., 9. VAGY 10. CIKKE) ÉRINTI.]

A.4. Az adatkezelés az érintettek alábbi kategóriáit érinti:

[ADJA MEG AZ ÉRINTETT KATEGÓRIÁJÁT].

A.5. A személyes adat adatkezelő nevében, az adatfeldolgozó által végzett kezelése a szerződési feltételek hatályba lépésével kezdhető meg. Az adatkezelés időtartama a következő:

[ISMERTESSE AZ ADATKEZELÉS IDŐTARTAMÁT].

 

B. függelék Engedélyezett további adatfeldolgozók

A. függelék
B.1. Engedélyezett további adatfeldolgozók
A szerződési feltételek hatálybalépésekor az adatkezelő a következő további adatfel-dolgozók alkalmazását engedélyezi:

Az adatkezelő a szerződési feltételek hatálybalépésekor engedélyezi a fent említett to-vábbi adatfeldolgozóknak az adott fél tekintetében ismertetett adatkezelés esetében történő alkalmazását. Az adatfeldolgozó – az adatkezelő kifejezett írásban tett felhatal-mazása nélkül – nem vehet igénybe további adatfeldolgozót azoktól „eltérő” adatkeze-lésre, amelyekről megállapodás született, vagy amelyek esetében egy másik további adatfeldolgozó végzi az ismertetett adatkezelést.

B.2. Előzetes értesítés a további adatfeldolgozók engedélyezéséről

[FAKULTATÍV] [ADOTT ESETBEN ADJA MEG A TOVÁBBI ADATFELDOLGOZÓK ELŐ-ZETES ENGEDÉLYEZÉSÉVEL KAPCSOLATOS ELŐZETES ÉRTESÍTÉSRE VONAT-KOZÓ HATÁRIDŐKET]

 

C. függelék A személyes adatok felhasználására vonatkozó utasítások

C.1. Az adatkezelés tárgya/az adatkezelésre vonatkozó utasítás

A személyes adatok adatkezelő nevében, az adatfeldolgozó által végzett kezelését a következőket teljesítő adatfeldolgozó végzi:

[ISMERTESSE AZ ADATKEZELÉST, AMELYNEK ELVÉGZÉSÉRE AZ ADATFELDOL-GOZÓT UTASÍTOTTÁK].

C.2. Az adatkezelés biztonsága
A biztonsági szintnek figyelembe kell vennie a következőket:

[FIGYELEMBE VÉVE AZ ADATKEZELÉSI TEVÉKENYSÉG JELLEGÉT, HATÓKÖRÉT, KONTEXTUSÁT ÉS CÉLJAIT, VALAMINT A TERMÉSZETES SZEMÉLYEK JOGAIRA ÉS SZABADSÁGAIRA JELENTETT KOCKÁZATOT, ISMERTESSE AZOKAT AZ ELE-MEKET, AMELYEK ALAPVETŐ FONTOSSÁGÚAK A BIZTONSÁG SZINT SZEMPONT-JÁBÓL.]

[PÉLDÁUL]

„Az adatkezelés nagy mennyiségű személyes adatot érint, amelyekre az általános adat-védelmi rendeletnek a »személyes adatok különleges kategóriáiról« szóló 9. cikke vonat-kozik, ezért »magas« biztonsági szintet kell biztosítani.”

Az adatfeldolgozó a továbbiakban jogosult és köteles döntést hozni a szükséges (és elfo-gadott) szintű adatbiztonság megteremtése érdekében alkalmazandó technikai és szerve-zési intézkedésekről.

Az adatfeldolgozónak azonban minden esetben és legalább a következő, az adatkezelővel egyeztetett intézkedéseket kell végrehajtania:

[ISMERTESSE A SZEMÉLYES ADATOK ÁLNEVESÍTÉSÉRE ÉS TITKOSÍTÁSÁRA VONATKOZÓ KÖVETELMÉNYEKET]

[ISMERTESSE A SZEMÉLYES ADATOK KEZELÉSÉRE HASZNÁLT RENDSZEREK ÉS SZOLGÁLTATÁSOK FOLYAMATOS BIZALMAS JELLEGÉNEK, INTEGRITÁSÁ-NAK, RENDELKEZÉSRE ÁLLÁSÁNAK ÉS ELLENÁLLÓ KÉPESSÉGÉNEK BIZTOSÍ-TÁSÁRA VONATKOZÓ KÖVETELMÉNYEKET]

[ISMERTESSE AZ ARRA VONATKOZÓ KÖVETELMÉNYEKET, HOGY FIZIKAI VAGY MŰSZAKI INCIDENS ESETÉN A SZEMÉLYES ADATOKHOZ VALÓ HOZZÁFÉRÉS ÉS AZ ADATOK RENDELKEZÉSRE ÁLLÁSA KELLŐ IDŐBEN HELYREÁLLÍTHATÓ LE-GYEN]

[ISMERTESSE AZ ADATKEZELÉS BIZTONSÁGÁNAK GARANTÁLÁSÁRA HOZOTT TECHNIKAI ÉS SZERVEZETI INTÉZKEDÉSEK HATÉKONYSÁGÁNAK RENDSZERES TESZTELÉSÉRE, FELMÉRÉSÉRE ÉS ÉRTÉKELÉSÉRE SZOLGÁLÓ ELJÁRÁSOKRA VONATKOZÓ KÖVETELMÉNYEKET]

[ISMERTESSE AZ ADATOKHOZ VALÓ ONLINE HOZZÁFÉRÉSRE VONATKOZÓ KÖ-VETELMÉNYEKET]

ISMERTESSE A TOVÁBBÍTÁS SORÁN AZ ADATOK VÉDELMÉRE VONATKOZÓ KÖ-VETELMÉNYEKET]

[ISMERTESSE AZ ADATOK TÁROLÁS KÖZBENI VÉDELMÉRE VONATKOZÓ KÖVE-TELMÉNYEKET]

[ISMERTESSE A SZEMÉLYES ADATOK KEZELÉSÉNEK HELYSZÍNEIRE VONATKO-ZÓ FIZIKAI BIZTONSÁGI KÖVETELMÉNYEKET]

[ISMERTESSE AZ OTTHONI/TÁVOLI MUNKAVÉGZÉSRE VONATKOZÓ KÖVETEL-MÉNYEKET]

[A NAPLÓZÁSRA VONATKOZÓ KÖVETELMÉNYEK LEÍRÁSA]

C.3. Az adatkezelőnek nyújtott segítség

Az adatfeldolgozó a lehető legnagyobb mértékben – a segítségnyújtás alábbiakban ismertetett hatókörén és mértékén belül – a 9.1. és 9.2. szakasznak megfelelően az alábbi technikai és szervezési intézkedések végrehajtásával segíti az adatkezelőt:

[ISMERTESSE AZ ADATFELDOLGOZÓ ÁLTAL NYÚJTANDÓ SEGÍTSÉG HATÓKÖRÉT ÉS MÉRTÉKÉT]

[ISMERTESSE AZOKAT A KONKRÉT TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSE-KET, AMELYEKET AZ ADATFELDOLGOZÓNAK VÉGRE KELL HAJTANIA AZ ADAT-KEZELŐNEK VALÓ SEGÍTSÉGNYÚJTÁS ÉRDEKÉBEN]

C.4. Tárolási időszak/törlési eljárások

[ADOTT ESETBEN ADJA MEG AZ ADATFELDOLGOZÓ TÁROLÁSI IDEJÉT/TÖRLÉSI ELJÁRÁSAIT]

[PÉLDÁUL]

„A személyes adatokat [ADJA MEG AZ IDŐTARTAMOT VAGY INCIDENTS] tárolják, majd ezt követően az adatfeldolgozó automatikusan törli a személyes adatokat.

A személyes adatok kezelésének megszüntetésekor az adatfeldolgozó az 11.1. szakasz-nak megfelelően törli vagy visszaküldi a személyes adatokat, kivéve, ha az adatkezelő – a szerződés aláírását követően – módosította az adatkezelő eredeti választását. Az ilyen módosítást dokumentálni kell, és írásban – akár elektronikus formában is – meg kell őriz-ni a szerződési feltételekkel összefüggésben.”

C.5. Adatkezelés helye

A személyes adatok szerződési feltételek szerinti kezelése az adatkezelő előzetesen írásos felhatalmazása nélkül nem végezhető el az alábbiaktól eltérő helyszínen:

[MEG KELL ADNI, HOGY HOL TÖRTÉNIK AZ ADATKEZELÉS] [MEG KELL ADNI A CÍMET HASZNÁLÓ ADATFELDOLGOZÓT VAGY TOVÁBBI ADATFELDOLGOZÓT]

C.6. A személyes adatok harmadik országokba történő továbbítására vonatkozó utasítás

[ISMERTESSE A SZEMÉLYES ADATOK HARMADIK ORSZÁGBA VAGY NEMZETKÖZI SZERVEZET RÉSZÉRE TÖRTÉNŐ TOVÁBBÍTÁSÁRA VONATKOZÓ UTASÍTÁST]

[ADJA MEG AZ ÁLTALÁNOS ADATVÉDELMI RENDELET V. FEJEZETE SZERINTI ADATTOVÁBBÍTÁS JOGALAPJÁT]
Ha az adatkezelő a szerződési feltételekben, vagy azt követően nem ad írásbeli utasítá-sokat a személyes adatok harmadik országba történő továbbítására vonatkozóan, az adatfeldolgozó a szerződési feltételek keretében nem jogosult ilyen adattovábbításra.

C.7. Az adatkezelő által a személyes adatok adatfeldolgozó általi kezelése tekinteté-ben végzett auditokra – beleértve a helyszíni vizsgálatokat is – alkalmazandó eljárá-sok

[ISMERTESSE AZ ADATKEZELŐ ÁLTAL A SZEMÉLYES ADATOK ADATFELDOLGO-ZÓ ÁLTALI KEZELÉSE TEKINTETÉBEN VÉGZETT AUDITOKRA – BELEÉRTVE A HELYSZÍNI VIZSGÁLATOKAT IS – ALKALMAZANDÓ ELJÁRÁSOKAT]

Például:

„Az adatfeldolgozó [ADJA MEG AZ IDŐTARTAMOT] [AZ ADATFELDOLGOZÓ/ ADAT-KEZELŐ] költségén független harmadik féltől [ELLENŐRI JELENTÉST/VIZSGÁLATI JELENTÉST] szerez be arról, hogy az adatfeldolgozó megfelel-e az általános adatvédelmi rendeletnek, az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseknek és a szerződési feltételeknek.

A felek megállapodtak abban, hogy a szerződési feltételeknek megfelelően a következő típusú [ELLENŐRI JELENTÉS/VIZSGÁLATI JELENTÉS] használható fel:

[BEILLESZTENDŐK A „JÓVÁHAGYOTT” ELLENŐRI JELENTÉSEK/VIZSGÁLATI JE-LENTÉSEK]

Az [ELLENŐRI JELENTÉS/VIZSGÁLATI JELENTÉS]-t tájékoztatás céljából indokolatlan késedelem nélkül be kell nyújtani az adatkezelőhöz. Az adatkezelő vitathatja a jelentés alkalmazási körét és/vagy módszertanát, és ilyen esetekben egy felülvizsgált alkalmazási kör és/vagy más módszertan alapján új auditot/helyszíni vizsgálatot kérhet.

Az ilyen audit/ helyszíni vizsgálat eredményei alapján az adatkezelő további intézkedése-ket kérhet az általános adatvédelmi rendeletnek, az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseknek és a szerződési feltételeknek való megfelelés biztosítása érdekében.

Az adatkezelőnek vagy az adatkezelő képviselőjének emellett hozzáféréssel kell rendel-keznie ahhoz, hogy ellenőrizhesse azokat a helyszíneket – beleértve a fizikai ellenőrzést is –, ahol az adatfeldolgozó a személyes adatok kezelését végzi, ideértve a fizikai léte-sítményeket, valamint az adatkezeléshez használt és azzal kapcsolatos rendszereket is. Ezt a helyszíni vizsgálatot akkor kell elvégezni, amikor azt az adatkezelő szükségesnek ítéli.”

[VAGY]

„Az adatkezelő vagy az adatkezelő képviselője [ADJA MEG A HATÁRIDŐT] fizikailag megvizsgálja azokat a helyszíneket, ahol az adatfeldolgozó a személyes adatok kezelését végzi, beleértve a fizikai létesítményeket, valamint az adatkezeléshez használt és azzal kapcso-latos rendszereket annak megállapítása érdekében, hogy az adatfeldolgozó megfelel-e az általános adatvédelmi rendeletnek, az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseknek és a szerződési feltételeknek.

Az adatkezelő a tervezett helyszíni vizsgálaton kívül is ellenőrizheti az adatfeldolgozót, ha azt szükségesnek ítéli.”

[ÉS ADOTT ESETBEN]

„Adott esetben az adatkezelő viseli a helyszíni vizsgálattal kapcsolatos költségeit. Az adatfeldolgozó azonban köteles biztosítani azokat az erőforrásokat (főként időt), amelyek az adatkezelő számára a helyszíni vizsgálat elvégzéséhez szükségesek.”

C.8. [ADOTT ESETBEN] Az adatkezelő által a személyes adatok további adatfeldol-gozó általi kezelése tekintetében végzett auditokra – beleértve a helyszíni vizsgála-tokat is – alkalmazandó eljárások

[SMERTESSE AZ ADATKEZELŐ ÁLTAL A SZEMÉLYES ADATOK TOVÁBBI ADAT-FELDOLGOZÓ ÁLTALI KEZELÉSE TEKINTETÉBEN VÉGZETT AUDITOKRA – BELE-ÉRTVE A HELYSZÍNI VIZSGÁLATOKAT IS – ALKALMAZANDÓ ELJÁRÁSOKAT]

[PÉLDÁUL]

„Az adatfeldolgozó [ADJA MEG AZ IDŐTARTAMOT] [AZ ADATFELDOLGOZÓ/ ADAT-KEZELŐ] költségén független harmadik féltől [ELLENŐRI JELENTÉST/VIZSGÁLATI JELENTÉST] szerez be arról, hogy a további adatfeldolgozó megfelel-e az általános adat-védelmi rendeletnek, az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezések-nek és a szerződési feltételeknek.

A felek megállapodtak abban, hogy a szerződési feltételeknek megfelelően a következő típusú [ELLENŐRI JELENTÉS/VIZSGÁLATI JELENTÉS] használható fel:

[BEILLESZTENDŐK A „JÓVÁHAGYOTT” ELLENŐRI JELENTÉSEK/VIZSGÁLATI JE-LENTÉSEK]

Az [ELLENŐRI JELENTÉS/VIZSGÁLATI JELENTÉS]-t tájékoztatás céljából indokolatlan késedelem nélkül be kell nyújtani az adatkezelőhöz. Az adatkezelő vitathatja a jelentés alkalmazási körét és/vagy módszertanát, és ilyen esetekben egy felülvizsgált alkalmazási kör és/vagy más módszertan alapján új auditot/helyszíni vizsgálatot kérhet.

Az ilyen audit/ helyszíni vizsgálat eredményei alapján az adatkezelő további intézkedése-ket kérhet az általános adatvédelmi rendeletnek, az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseknek és a szerződési feltételeknek való megfelelés biztosítása érdekében.

Az adatfeldolgozónak vagy az adatfeldolgozó képviselőjének emellett hozzáféréssel kell rendelkeznie ahhoz, hogy megvizsgálhassa azokat a helyszíneket – beleértve a fizikai ellenőrzést is –, ahol a további adatfeldolgozó a személyes adatok kezelését végzi, ide-értve a fizikai létesítményeket, valamint az adatkezeléshez használt és azzal kapcsolatos rendszereket is. Ezt a helyszíni vizsgálatot akkor kell elvégezni, amikor azt az adatfeldol-gozó (vagy az adatkezelő) szükségesnek ítéli.

Az ilyen helyszíni vizsgálatok dokumentációját tájékoztatás céljából haladéktalanul az adatkezelő rendelkezésére kell bocsátani. Az adatkezelő vitathatja a jelentés alkalmazási körét és/vagy módszertanát, és ilyen esetekben egy felülvizsgált alkalmazási kör és/vagy más módszertan alapján új helyszíni vizsgálatot kérhet.”

[VAGY]

„Az adatfeldolgozó vagy az adatfeldolgozó képviselője [ADJA MEG A HATÁRIDŐT] fizika-ilag megvizsgálja azokat a helyszíneket, ahol a további adatfeldolgozó a személyes ada-tok kezelését végzi, beleértve a fizikai létesítményeket, valamint az adatkezeléshez hasz-nált és azzal kapcsolatos rendszereket annak megállapítása érdekében, hogy a további adatfeldolgozó megfelel-e az általános adatvédelmi rendeletnek, az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseknek és a szerződési feltételeknek.

A tervezett helyszíni vizsgálaton kívül az adatfeldolgozó akkor is elvégezheti a további adatfeldolgozó ellenőrzését, ha azt az adatfeldolgozó (vagy az adatkezelő) szükségesnek ítéli.

Az ilyen helyszíni vizsgálatok dokumentációját tájékoztatás céljából indokolatlan késede-lem nélkül az adatkezelő rendelkezésére kell bocsátani. Az adatkezelő vitathatja a jelen-tés alkalmazási körét és/vagy módszertanát, és ilyen esetekben felülvizsgált alkalmazási kör és/vagy eltérő módszertan alapján új helyszíni vizsgálatot kérhet.

Az ilyen helyszíni vizsgálat eredményei alapján az adatkezelő további intézkedéseket kérhet az általános adatvédelmi rendeletnek, az alkalmazandó uniós vagy tagállami adat-védelmi rendelkezéseknek és a szerződési feltételeknek való megfelelés biztosítása ér-dekében.”

[ÉS ADOTT ESETBEN]

„Az adatkezelő szükség esetén dönthet úgy, hogy kezdeményezi a további adatfeldolgozó fizikai ellenőrzését, és részt vesz abban. Ez abban az esetben alkalmazható, ha az adat-kezelő úgy ítéli meg, hogy az adatfeldolgozó által a további adatfeldolgozó felett gyakorolt felügyelet nem biztosított elegendő dokumentációt az adatkezelő számára annak megálla-pításához, hogy a további adatfeldolgozó által végzett adatkezelés a szerződési feltéte-leknek megfelelően történik.

Az adatkezelőnek a további adatfeldolgozó ellenőrzésében való részvétele nem változtat azon a tényen, hogy a továbbiakban is teljes mértékben az adatfeldolgozó felel azért, hogy a további adatfeldolgozó megfeleljen az általános adatvédelmi rendeletnek, az al-kalmazandó uniós vagy tagállami adatvédelmi rendelkezéseknek és a szerződési feltéte-leknek.”

[ÉS ADOTT ESETBEN]

„Az adatfeldolgozónak és a további adatfeldolgozónak a további adatfeldolgozó létesítmé-nyeiben végzett fizikai felügyelettel/ellenőrzéssel kapcsolatos költségei nem érintik az adatkezelőt, függetlenül attól, hogy az adatkezelő kezdeményezte-e az ellenőrzést és abban részt vett-e.”

Back To Top