EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
A Bizottság (EU) 2021/915 végrehajtási határozata (2021. június 4.) az adatkezelők és az adatfeldolgozók közötti, az (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 29. cikkének (7) bekezdése szerinti általános szerződési feltételekről (EGT-vonatkozású szöveg)
A Bizottság (EU) 2021/915 végrehajtási határozata (2021. június 4.) az adatkezelők és az adatfeldolgozók közötti, az (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 29. cikkének (7) bekezdése szerinti általános szerződési feltételekről (EGT-vonatkozású szöveg)
C/2021/3701
HL L 199., 2021.6.7, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/18 |
A BIZOTTSÁG (EU) 2021/915 VÉGREHAJTÁSI HATÁROZATA
(2021. június 4.)
az adatkezelők és az adatfeldolgozók közötti, az (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 29. cikkének (7) bekezdése szerinti általános szerződési feltételekről
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (1) és különösen annak 28. cikke (7) bekezdésére,
tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (EUDPR) (2) és különösen annak 29. cikke (7) bekezdésére,
mivel:
|
(1) |
Az adatkezelő és az adatfeldolgozó fogalma döntő szerepet játszik az (EU) 2016/679 rendelet és az (EU) 2018/1725 rendelet alkalmazásában. Az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Az (EU) 2018/1725 rendelet alkalmazásában adatkezelő az az uniós intézmény vagy szerv, főigazgatóság vagy bármely más szervezeti egység, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módját. Ha az adatkezelés céljait és eszközeit konkrét uniós jogszabály határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós jog határozhatja meg. Adatfeldolgozó az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. |
|
(2) |
Ugyanazon általános szerződési feltételeknek kell vonatkozniuk az adatkezelők és az (EU) 2016/679 rendelet hatálya alá tartozó adatfeldolgozók közötti kapcsolatra, mint azokra az esetekre, amikor az (EU) 2018/1725 rendelet hatálya alá tartoznak. Ennek az az oka, hogy a személyes adatok Unión belüli védelmére és a személyes adatok Unión belüli szabad áramlására vonatkozó koherens megközelítés érdekében az (EU) 2016/679 rendeletnek a tagállamok közszektorára alkalmazandó adatvédelmi szabályait, valamint az (EU) 2018/1725 rendeletben foglalt, az uniós intézményekre, szervekre, hivatalokra és ügynökségekre alkalmazandó adatvédelmi szabályokat a lehetőségekhez mérten összehangolták egymással. |
|
(3) |
Az (EU) 2016/679 és az (EU) 2018/1725 rendelet követelményeinek való megfelelés biztosítása érdekében az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, amelyek – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – megfelelő garanciákat nyújtanak az (EU) 2016/679 rendelet és az (EU) 2018/1725 rendelet követelményeinek megfelelő technikai és szervezési intézkedések végrehajtásához, beleértve az adatkezelés biztonságát. |
|
(4) |
Az adatfeldolgozó általi adatkezelést olyan, uniós vagy tagállami jog szerinti szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatkezelő tekintetében kötelező az adatfeldolgozóra nézve, és amely meghatározza az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében vagy az (EU) 2018/1725 rendelet 29. cikkének (3) és (4) bekezdésében felsorolt elemeket. A szerződésnek vagy aktusnak írásban kell megtörténnie, beleértve az elektronikus formát is. |
|
(5) |
Az (EU) 2016/679 rendelet 28. cikkének (6) bekezdésével és az (EU) 2018/1725 rendelet 29. cikkének (6) bekezdésével összhangban az adatkezelő és az adatfeldolgozó dönthet úgy, hogy tárgyalásokat folytat az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében, illetve az (EU) 2018/1725 rendelet 29. cikkének (3) és (4) bekezdésében meghatározott kötelező elemeket tartalmazó egyedi szerződésről, vagy részben vagy teljes mértékben alkalmazza a Bizottság által az (EU) 2016/679 rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 rendelet 29. cikkének (7) bekezdése alapján elfogadott általános szerződési feltételeket. |
|
(6) |
Az adatkezelő és az adatfeldolgozó szabadon beépítheti az e határozatban szereplő általános szerződési feltételeket egy szélesebb körű szerződésbe, és más feltételekkel vagy további garanciákkal egészítheti ki azt, feltéve, hogy azok közvetve vagy közvetlenül nem mondanak ellen az általános szerződési feltételeknek, vagy nem sértik az érintettek alapvető jogait és szabadságait. Az általános szerződési feltételekre való hivatkozás nem érinti az adatkezelőnek és/vagy az adatfeldolgozónak az alkalmazandó kiváltságok és mentességek tiszteletben tartásának biztosítására vonatkozó szerződéses kötelezettségeit. |
|
(7) |
Az általános szerződési feltételeknek anyagi jogi és eljárási szabályokat egyaránt magukban kell foglalniuk. Az (EU) 2016/679 rendelet 28. cikkének (3) bekezdésével és az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdésével összhangban az általános szerződési feltételekben elő kell írni az adatkezelő és adatfeldolgozó számára, hogy határozza meg az adatkezelés tárgyát és időtartamát, jellegét és célját, az érintett személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait. |
|
(8) |
Az (EU) 2016/679 rendelet 28. cikkének (3) bekezdése és az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdése értelmében az adatfeldolgozónak haladéktalanul tájékoztatnia kell az adatkezelőt, ha véleménye szerint az adatkezelő utasításai megsértik az (EU) 2016/679 rendeletet vagy az (EU) 2018/1725 rendeletet, vagy más uniós vagy tagállami adatvédelmi rendelkezéseket. |
|
(9) |
Ha egy adatfeldolgozó meghatározott tevékenységek végzése céljából további adatfeldolgozót vesz igénybe, az (EU) 2016/679 rendelet 28. cikkének (2) és (4) bekezdésében vagy az (EU) 2018/1725 rendelet 29. cikkének (2) és (4) bekezdésében említett egyedi követelményeket kell alkalmazni. Különösen előzetes kifejezett vagy általános írásbeli engedélyre van szükség. Függetlenül attól, hogy ez az előzetes engedély egyedi vagy általános jellegű-e, az elsődleges adatfeldolgozónak naprakész jegyzéket kell vezetnie a többi adatfeldolgozóról. |
|
(10) |
Az (EU) 2016/679 rendelet 46. cikkének (1) bekezdésében foglalt követelmények teljesítése érdekében a Bizottság általános szerződési feltételeket fogadott el az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének c) pontja alapján. Az említett feltételek teljesítik továbbá az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében foglalt követelményeket, amelyek az (EU) 2016/679 rendelet hatálya alá tartozó adatkezelők részéről a rendelet területi hatályán kívül eső adatfeldolgozók részére történő adattovábbításokra vagy az (EU) 2016/679 rendelet hatálya alá tartozó adatfeldolgozók részéről a rendelet területi hatályán kívül eső további adatfeldolgozók részére történő adattovábbításokra vonatkoznak. Ezek az általános szerződési feltételek nem használhatók általános szerződési feltételként az (EU) 2016/679 rendelet V. fejezetének alkalmazásában. |
|
(11) |
Lehetővé kell tenni, hogy harmadik felek a szerződés teljes életciklusa alatt az általános szerződési feltételek szerződő felévé váljanak. |
|
(12) |
Az általános szerződési feltételek működését az (EU) 2016/679 rendelet 97. cikkében említett időszakos értékelés alrészeként kell értékelni. |
|
(13) |
Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, és a biztos és a testület 2021. január 14-én közös véleményt adott ki (3), amelynek figyelembevételére sor került e határozat előkészítése során. |
|
(14) |
Az e határozatban előírt intézkedések összhangban vannak az (EU) 2016/679 rendelet 93. cikke és az (EU) 2018/1725 rendelet 96. cikkének (2) bekezdése alapján létrehozott bizottság véleményével, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
A mellékletben meghatározott általános szerződési feltételek teljesítik az adatkezelők és adatfeldolgozók közötti szerződésekre vonatkozóan az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében, valamint az (EU) 2018/1725 rendelet 29. cikkének (3) és (4) bekezdésében foglalt követelményeket.
2. cikk
A mellékletben meghatározott általános szerződési feltételek alkalmazhatók az adatkezelő és az adatkezelő nevében személyes adatokat kezelő adatfeldolgozó közötti szerződésekben.
3. cikk
A Bizottság az (EU) 2016/679 rendelet 97. cikkében előírt időszakos értékelés részeként az összes rendelkezésre álló információ alapján értékeli a mellékletben meghatározott általános szerződési feltételek gyakorlati alkalmazását.
4. cikk
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Kelt Brüsszelben, 2021. június 4-én.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 119., 2016.5.4., 1. o.
(2) HL L 295., 2018.11.21., 39. o.
(3) Az Európai Adatvédelmi Testület-európai adatvédelmi biztos 1/2021. sz.közös véleménye a személyes adatoknak az (EU) 2016/679 rendelet 28. cikkének (7) bekezdésében és az (EU) 2018/1725 rendelet 29. cikkének (7) bekezdésében említett kérdések tekintetében az adatkezelők és az adatfeldolgozók közötti általánosszerződési feltételekről szóló európai bizottsági végrehajtási határozatról.
MELLÉKLET
Általános szerződési feltételek
I. SZAKASZ
1. feltétel
Cél és alkalmazási kör
|
(a) |
Ezen általános szerződési feltételek (a továbbiakban: a feltételek) célja a következő cikknek való megfelelés [válassza ki a megfelelő lehetőséget: 1. LEHETŐSÉG: a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (3) és (4) bekezdése]/[2. LEHETŐSÉG: a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendelet 29. cikkének (3) és (4) bekezdése]. |
|
(b) |
Az I. mellékletben felsorolt adatkezelők és adatfeldolgozók az (EU) 2016/679 rendelet 28. cikke (3) és (4) bekezdésének és/vagy az (EU) 2018/1725 rendelet 29. cikke (3) és (4) bekezdésének való megfelelés biztosítása érdekében elfogadták ezeket a feltételeket. |
|
(c) |
E feltételek a II. mellékletben meghatározott személyes adatok kezelésére vonatkoznak. |
|
(d) |
Az I–IV. melléklet a feltételek szerves részét képezi. |
|
(e) |
Ezek a feltételek nem érintik az adatkezelőre az (EU) 2016/679 rendelet és/vagy az (EU) 2018/1725 rendelet értelmében háruló kötelezettségeket. |
|
(f) |
Ezek a feltételek önmagukban nem biztosítják az (EU) 2016/679 rendelet V. fejezete és/vagy az (EU) 2018/1725 rendelet szerinti nemzetközi adattovábbításokkal kapcsolatos kötelezettségek teljesítését. |
2. feltétel
A feltételek megváltoztathatatlansága
|
(a) |
A felek vállalják, hogy nem módosítják a feltételeket, kivéve, ha a mellékleteket további információkkal egészítik ki, vagy a bennük szereplő információkat frissítik. |
|
(b) |
Ez nem akadályozza meg a Feleket abban, hogy az e szerződési feltételekben meghatározott általános szerződési feltételeket egy szélesebb szerződésbe foglalják vagy egyéb záradékokkal vagy kiegészítő garanciákkal egészítsék ki, feltéve, hogy azok sem közvetlenül, sem közvetve nem mondanak ellent ezeknek a feltételeknek, és nem csökkentik az érintettek alapvető jogait vagy szabadságait. |
3. feltétel
Értelmezés
|
(a) |
Amennyiben ezek a feltételek az (EU) 2016/679 rendeletben vagy az (EU) 2018/1725 rendeletben meghatározott fogalmakat használják, e fogalmak jelentése megegyezik az említett rendeletben foglaltakkal. |
|
(b) |
Ezeket a feltételeket az (EU) 2016/679 rendelet vagy az (EU) 2018/1725 rendelet rendelkezéseinek fényében kell értelmezni. |
|
(c) |
E feltételek nem értelmezhetők oly módon, amely ellentétes az (EU) 2016/679 rendeletben/az (EU) 2018/1725 rendeletben meghatározott jogokkal és kötelezettségekkel, vagy oly módon, amely sérti az érintettek alapvető jogait vagy szabadságait. |
4. feltétel
Hierarchia
Abban az esetben, ha ellentmondás áll fenn e feltételek és a Felek között az e feltételek elfogadásakor vagy az azt követően létrejött kapcsolódó megállapodásokban foglalt rendelkezések között, ezek a feltételek az irányadók.
5. feltétel – Fakultatív
Dokkolási feltétel
|
(a) |
Az a jogalany, amely e feltételeknek nem részes fele, minden Fél beleegyezése mellett a mellékletek kitöltésével és az I. melléklet aláírásával bármikor csatlakozhat ezekhez a feltételekhez adatkezelőként vagy adatfeldolgozóként. |
|
(b) |
Az a) pontban említett mellékletek kitöltését és aláírását követően a csatlakozó jogalanyt e feltételek részes felének kell tekinteni, és megilletik az adatkezelő vagy adatfeldolgozó jogai és kötelezettségei az I. mellékletben szereplő megnevezéssel összhangban. |
|
(c) |
A csatlakozó jogalany nem rendelkezik a részes féllé válást megelőző időszakból az e feltételekből eredő jogokkal vagy kötelezettségekkel. |
II. SZAKASZ
A FELEK KÖTELEZETTSÉGEI
6. feltétel
Az adatkezelés(ek) leírása
Az adatkezelési műveletek részleteit, különösen a személyes adatok kategóriáit és azon adatkezelési célokat, amelyek miatt a személyes adatokat az adatkezelő nevében kezelik, a II. melléklet határozza meg.
7. feltétel
A Felek kötelezettségei
7.1. Utasítások
|
(a) |
Az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő. Ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja. Az adatkezelő a személyes adatok kezelésének teljes időtartama alatt további utasításokat is adhat. Ezeket az utasításokat mindig dokumentálni kell. |
|
(b) |
Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha az adatfeldolgozó véleménye szerint az adatkezelő által adott utasítások sértik az (EU) 2016/679 rendeletet/az (EU) 2018/1725 rendeletet vagy az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseket. |
7.2. Célhoz kötöttség
Az adatfeldolgozó a személyes adatokat kizárólag a II. mellékletben meghatározott konkrét cél(ok)ból kezelheti, amennyiben nem kap további utasításokat az adatkezelőtől.
7.3. A személyes adatok kezelésének időtartama
Az adatfeldolgozó általi adatkezelésre csak a II. mellékletben meghatározott ideig kerülhet sor.
7.4. Az adatkezelés biztonsága
|
(a) |
Az adatfeldolgozó végrehajtja legalább a III. mellékletben meghatározott technikai és szervezési intézkedéseket a személyes adatok biztonságának garantálása érdekében. Ez magában foglalja az adatoknak a biztonság olyan megsértése elleni védelmét, amely az adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan nyilvánosságra hozatalát vagy az azokhoz való jogosulatlan hozzáférést eredményezi (adatvédelmi incidens). A megfelelő biztonsági szint értékelése során a Feleknek kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és céljait, valamint az érintetteket érintő kockázatokat. |
|
(b) |
Az adatfeldolgozó csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára a kezelés alatt álló személyes adatokhoz. Az adatfeldolgozó biztosítja azt, hogy a kapott személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. |
7.5. Különleges adatok
Amennyiben az adatkezelés faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó adatokat tartalmaz („különleges adatok”), az adatfeldolgozó egyedi korlátozásokat és/vagy további garanciákat alkalmaz.
7.6. Dokumentáció és megfelelés
|
(a) |
A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. |
|
(b) |
Az adatfeldolgozó haladéktalanul és megfelelően kezeli az adatkezelőnek az e feltételekkel összhangban végzett adatkezeléssel kapcsolatos kérdéseit. |
|
(c) |
Az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e feltételekben meghatározott, közvetlenül az (EU) 2016/679 rendeletből és/vagy az (EU) 2018/1725 rendeletből eredő kötelezettségek teljesítésének igazolásához szükséges. Az adatkezelő kérésére az adatfeldolgozónak lehetővé kell tennie továbbá és hozzá kell járulnia az észszerű időközönkénti vagy a megfelelés elmaradására utaló jelek esetén történő ellenőrzéshez az e feltételek hatálya alá tartozó adatkezelési tevékenységekkel kapcsolatban. A felülvizsgálatra vagy ellenőrzésre vonatkozó döntés meghozatalakor az adatkezelő figyelembe veheti az adatfeldolgozó birtokában lévő vonatkozó tanúsítványokat. |
|
(d) |
Az adatkezelő dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független könyvvizsgálót. Az ellenőrzések kiterjedhetnek az adatfeldolgozó telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra is, amelyeket adott esetben észszerű értesítés mellett kell elvégezni. |
|
(e) |
A Felek kérésre az illetékes felügyeleti hatóság(ok) rendelkezésére bocsátják az e feltételben említett információkat, beleértve az ellenőrzések eredményeit is. |
7.7. További adatfeldolgozók alkalmazása
|
(a) |
1. LEHETŐSÉG: KIFEJEZETT ELŐZETES ENGEDÉLY: Az adatfeldolgozó – az adatkezelő kifejezett előzetes írásbeli engedélye nélkül – nem adja alvállalkozásba az adatkezelő nevében e feltételekkel összhangban végzett adatkezelési műveleteit egy további adatfeldolgozónak. Az adatfeldolgozó a kifejezett hozzájárulás iránti kérelmet legalább [ADJA MEG AZ IDŐTARTAMOT] az érintett további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatkezelő dönthessen az engedélyről. Az adatkezelő által jóváhagyott további adatfeldolgozók listája megtalálható a IV. mellékletben. A felek a IV. mellékletet rendszeresen frissítik. 2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY: Az adatfeldolgozó rendelkezik az adatkezelő általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatfeldolgozó írásban kifejezetten tájékoztatja az adatkezelőt az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [ADJA MEG AZ IDŐTARTAMOT] korábban, elegendő időt biztosítva az adatkezelőnek arra, hogy az érintett további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatfeldolgozó megadja az adatkezelőnek azokat az információkat, amelyek szükségesek ahhoz, hogy az adatkezelő a tiltakozáshoz való jogát gyakorolhassa. |
|
(b) |
Amennyiben az adatfeldolgozó meghatározott adatkezelési tevékenységek végzése céljából (az adatkezelő nevében) további adatfeldolgozót vesz igénybe, ezt olyan szerződés útján kell megtennie, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket rója a további feldolgozóra, mint amelyeket e feltételekkel összhangban az adatfeldolgozó számára előírnak. Az adatfeldolgozó biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatfeldolgozóra e feltételek, valamint az (EU) 2016/679 rendelet és/vagy az (EU) 2018/1725 rendelet értelmében alkalmazandók. |
|
(c) |
Az adatkezelő kérésére az adatfeldolgozónak az adatkezelő rendelkezésére kell bocsátania a további adatfeldolgozóra vonatkozó megállapodás és annak későbbi módosításai egy példányát. Az üzleti titok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatfeldolgozó a másolat megosztása előtt kivonatolhatja a megállapodás szövegét. |
|
(d) |
Az adatfeldolgozó továbbra is teljes mértékben felel az adatkezelő felé a további adatfeldolgozónak az adatfeldolgozóval kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatfeldolgozó értesíti az adatkezelőt, ha a további adatfeldolgozó nem teljesíti a szerződéses kötelezettségeit. |
|
(e) |
Az adatfeldolgozó megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatkezelő jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatfeldolgozó ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált. |
7.8. Nemzetközi adattovábbítások
|
(a) |
Az adatfeldolgozó általi, harmadik országba vagy nemzetközi szervezet részére történő adattovábbításra kizárólag az adatkezelő dokumentált utasításai alapján vagy az adatfeldolgozóra vonatkozó uniós vagy tagállami jog valamely konkrét követelményének teljesítése céljából kerülhet sor, és azt az (EU) 2016/679 rendelet V. fejezetével vagy az (EU) 2018/1725 rendelettel összhangban kell végrehajtani. |
|
(b) |
Az adatkezelő egyetért azzal, hogy amennyiben az adatfeldolgozó a 7.7. feltétellel összhangban további adatfeldolgozót vesz igénybe meghatározott adatkezelési tevékenységeknek (az adatkezelő nevében történő) végzése céljából, és az adatkezelési tevékenységek az (EU) 2016/679 rendelet V. fejezete értelmében személyes adatok továbbításával járnak, az adatfeldolgozó és a további adatfeldolgozó a Bizottság által az (EU) 2016/679 rendelet 46. cikkének (2) bekezdésével összhangban elfogadott általános szerződési feltételek alkalmazásával biztosíthatja az (EU) 2016/679 rendelet V. fejezetének való megfelelést, feltéve, hogy teljesülnek az említett általános szerződési feltételek alkalmazásának feltételei. |
8. feltétel
Segítségnyújtás az adatkezelőnek
|
(a) |
Az adatfeldolgozó haladéktalanul értesíti az adatkezelőt az érintettől kapott valamennyi kérelemről. A kérelemre ő maga nem válaszolhat, hacsak erre az adatkezelő fel nem hatalmazza. |
|
(b) |
Az adatfeldolgozó segíti az adatkezelőt azon kötelezettségei teljesítésében, hogy válaszoljon az érintetteknek a jogaik gyakorlásával kapcsolatos kérelmeire, figyelembe véve az adatkezelés jellegét. Az adatfeldolgozó az a) és b) pont szerinti kötelezettségei teljesítése során köteles betartani az adatkezelő utasításait. |
|
(c) |
Az adatfeldolgozó azon kötelezettségén túl, hogy segítséget nyújt az adatkezelőnek a 8. feltétel b) pontja értelmében, az adatfeldolgozónak segítenie kell az adatkezelőt a következő kötelezettségek teljesítésében is, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat:
|
|
(d) |
A Felek a III. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, amelyek alapján az adatfeldolgozó köteles segítséget nyújtani az adatkezelőnek a jelen feltétel alkalmazásában, valamint a szükséges segítségnyújtás hatókörét és mértékét. |
9. feltétel
Adatvédelmi incidensről szóló értesítés
Adatvédelmi incidens esetén az adatfeldolgozónak együtt kell működnie az adatkezelővel és segítenie kell az adatkezelőt az (EU) 2016/679 rendelet 33. és 34. cikke vagy adott esetben az (EU) 2018/1725 rendelet 34. és 35. cikke szerinti kötelezettségei teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat.
9.1. Az adatkezelő által kezelt adatokkal kapcsolatos adatvédelmi incidens
Az adatkezelő által kezelt személyes adatokkal kapcsolatos adatvédelmi incidens esetén az adatfeldolgozó segíti az adatkezelőt a következőkben:
|
(a) |
adott esetben az adatkezelő tudomására jutását követően indokolatlan késedelem nélkül értesíti az illetékes felügyeleti hatóságo(ka)t az adatvédelmi incidensről (kivéve, ha az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve); |
|
(b) |
megszerzi a következő információkat, amelyeket [1. LEHETŐSÉG] az (EU) 2016/679 rendelet 33. cikkének (3) bekezdése/[2. LEHETŐSÉG] az (EU) 2018/1725 rendelet 34. cikkének (3) bekezdése értelmében az adatkezelő értesítésében fel kell tüntetni, és amelyeknek legalább a következőket kell tartalmazniuk:
|
Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.
|
(c) |
az [1. LEHETŐSÉG] (EU) 2016/679 rendelet 34. cikke/[2. LEHETŐSÉG] az (EU) 2018/1725 rendelet 35. cikke értelmében azon kötelezettség teljesítése, hogy indokolatlan késedelem nélkül tájékoztassa az érintettet a személyes adatok megsértéséről, amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. |
9.2. Az adatfeldolgozó által kezelt adatokkal kapcsolatos adatvédelmi incidens
Az adatfeldolgozó által kezelt személyes adatokkal kapcsolatos adatvédelmi incidens esetén az adatfeldolgozó indokolatlan késedelem nélkül értesíti az adatkezelőt azt követően, hogy az adatfeldolgozó tudomást szerzett az adatvédelmi incidensről. Az ilyen értesítés magában foglalja legalább a következőket:
|
(a) |
az adatvédelmi incidens jellegének leírása (beleértve lehetőség szerint az érintettek és az érintett adatok kategóriáit és hozzávetőleges számát); |
|
(b) |
egy olyan kapcsolattartó pont adatai, ahol az adatvédelmi incidenssel kapcsolatban további információk szerezhetők be; |
|
(c) |
az adatkezelő által az incidens orvoslására tett vagy tervezett intézkedések ismertetése, beleértve adott esetben az incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket is. |
Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.
A Felek a III. mellékletben meghatározzák azt az összes egyéb elemet, amelyet az adatfeldolgozónak meg kell adnia, amikor segítséget nyújt az adatkezelőnek [1. LEHETŐSÉG] az (EU) 2016/679 rendelet 33. és 34. cikke/[2. LEHETŐSÉG] az (EU) 2018/1725 rendelet 34. és 35. cikke szerinti kötelezettségek teljesítésében.
III. SZAKASZ
ZÁRÓ RENDELKEZÉSEK
10. feltétel
A feltételeknek való meg nem felelés és a szerződés felmondása
|
(a) |
Az (EU) 2016/679 rendelet és/vagy az (EU) 2018/1725 rendelet bármely rendelkezésének sérelme nélkül, abban az esetben, ha az adatfeldolgozó megszegi az e szerződési feltételek szerinti kötelezettségeit, az adatkezelő utasíthatja az adatfeldolgozót, hogy függessze fel a személyes adatok kezelését mindaddig, amíg az adatfeldolgozó eleget nem tesz e feltételeknek, vagy a szerződés meg nem szűnik. Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha bármilyen okból nem tud megfelelni ezeknek a feltételeknek. |
|
(b) |
Az adatkezelő jogosult a szerződés felmondására, amennyiben az személyes adatok e feltételek szerinti kezelésére vonatkozik, ha:
|
|
(c) |
Az adatfeldolgozó jogosult felmondani a szerződést, amennyiben az a személyes adatok e feltételek szerinti kezelésére vonatkozik, ha az adatkezelő – miután az adatfeldolgozó tájékoztatta az adatkezelőt arról, hogy utasításai sértik a 7.1. feltétel b) pontja szerinti, alkalmazandó jogi követelményeket – ragaszkodik az utasítások teljesítéséhez. |
|
(d) |
A szerződés megszűnését követően az adatfeldolgozó az adatkezelő választása szerint törli az adatkezelő nevében kezelt valamennyi személyes adatot, és igazolja az adatkezelő felé, hogy ezt megtette, vagy az összes személyes adatot visszaküldi az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog előírja a személyes adatok tárolását. Az adatok törléséig vagy visszaküldéséig az adatfeldolgozó továbbra is biztosítja az e feltételeknek való megfelelést. |
I. MELLÉKLET
A felek jegyzéke
Adatkezelő(k): [Az adatkezelő(k) személyazonossága és elérhetősége, valamint – ha van ilyen – az adatkezelő adatvédelmi tisztviselőjének személyazonossága és elérhetősége]
|
1. |
Név: … |
|
|
Cím: … |
|
|
A kapcsolattartó személy neve, beosztása és elérhetősége: … |
|
|
Aláírás és csatlakozási dátum: … |
|
2. |
|
…
Adatfeldolgozó(k): [Az adatfeldolgozó(k) személyazonossága és elérhetősége, valamint – ha van ilyen – az adatfeldolgozó adatvédelmi tisztviselőjének neve és elérhetősége]
|
1. |
Név: … |
|
|
Cím: … |
|
|
A kapcsolattartó személy neve, beosztása és elérhetősége: … |
|
|
Aláírás és csatlakozási dátum: … |
|
2. |
|
…
II. MELLÉKLET
Az adatkezelés leírása
Az érintettek azon kategóriái, akiknek a személyes adatait kezelik
…
A kezelt személyes adatok kategóriái
…
A kezelt érzékeny adatok (adott esetben) és azon korlátozások vagy garanciák alkalmazása, amelyek teljes mértékben figyelembe veszik az adatok jellegét és a kapcsolódó kockázatokat, például szigorú célhoz kötöttség, hozzáférési korlátozások (ideértve a kizárólag a speciális képzésben részt vevő személyzet hozzáférését), az adatokhoz való hozzáférés nyilvántartása, az adattovábbításra vonatkozó korlátozások vagy további biztonsági intézkedések.
…
Az adatkezelés jellege
…
A személyes adatok adatkezelő nevében történő kezelésének célja(i)
…
Az adatkezelés időtartama
…
…
A (további) feldolgozóknak történő adatkezelések esetében meg kell adni az adatkezelés tárgyát, jellegét és időtartamát is
III. MELLÉKLET
Technikai és szervezési intézkedések, beleértve az adatok biztonságát biztosító technikai és szervezési intézkedéseket
MAGYARÁZÓ FELJEGYZÉS:
A technikai és szervezési intézkedéseket konkrétan, nem pedig általános jelleggel kell ismertetni.
Az adatfeldolgozó(k) által a biztonság megfelelő szintjének biztosítása érdekében végrehajtott technikai és szervezési biztonsági intézkedések leírása (beleértve a vonatkozó tanúsítványokat), figyelembe véve az adatkezelés jellegét, hatókörét, kontextusát és célját, valamint a természetes személyek jogait és szabadságait érintő kockázatokat. Példák a lehetséges intézkedésekre:
|
|
A személyes adatok álnevesítésére és titkosítására irányuló intézkedések |
|
|
A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítására, integritására, rendelkezésre állására és ellenálló képességére irányuló intézkedések |
|
|
Fizikai vagy technikai incidens esetén a személyes adatok időben történő rendelkezésre állásának és az azokhoz való hozzáférés helyreállításának képességét biztosító intézkedések |
|
|
Az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások |
|
|
A felhasználók azonosítására és hitelesítésére vonatkozó intézkedések |
|
|
Az átvitel során az adatok védelmét szolgáló intézkedések |
|
|
A tárolás során az adatok védelmét szolgáló intézkedések |
|
|
A személyes adatok kezelése helyszíneinek fizikai biztonságát biztosító intézkedések |
|
|
Az események naplózásának biztosítására irányuló intézkedések |
|
|
A rendszer konfigurációjának biztosítására irányuló intézkedések, beleértve az alapértelmezett konfigurációt is |
|
|
A belső informatikai és informatikai biztonsági irányításra és kezelésre vonatkozó intézkedések |
|
|
Az eljárások és termékek tanúsítására/biztosítására vonatkozó intézkedések |
|
|
Az adattakarékosságot biztosító intézkedések |
|
|
Az adatminőséget biztosító intézkedések |
|
|
A korlátozott adatmegőrzést biztosító intézkedések |
|
|
Az elszámoltathatóság biztosítására irányuló intézkedések |
|
|
Az adathordozhatóságot lehetővé tevő és a törlést biztosító intézkedések] |
A (további) adatfeldolgozók részére történő adattovábbítás esetében ismertesse azokat a konkrét technikai és szervezési intézkedéseket is, amelyeket a (további) adatfeldolgozónak be kell vezetnie annak érdekében, hogy segítséget tudjon nyújtani az adatkezelőnek
Azon konkrét technikai és szervezési intézkedések leírása, amelyeket az adatfeldolgozónak végre kell hajtania annak érdekében, hogy segítséget tudjon nyújtani az adatkezelőnek.
IV. MELLÉKLET
További adatfeldolgozók jegyzéke
MAGYARÁZÓ FELJEGYZÉS:
Ezt a mellékletet kell kitölteni a további adatfeldolgozók egyedi engedélyezése esetén (7.7. feltétel a) bekezdés, 1. lehetőség).
Az adatkezelő a következő további adatfeldolgozók alkalmazását engedélyezte:
|
1. |
Név: … |
|
|
Cím: … |
|
|
A kapcsolattartó személy neve, beosztása és elérhetősége: … |
|
|
Az adatkezelés leírása (ideértve a felelősségi körök egyértelmű elhatárolását több további adatfeldolgozó engedélyezése esetén): … |
|
2. |
… |