Adatfeldolgozói szerződés
Általános adatfeldolgozói szerződés (a továbbiakban: „Szerződés”), amely létrejött az alábbi felek között: Ügyfél; mint adatkezelő (továbbiakban: Adatkezelő) és Wexel Hungary Kft., (székhely: 5000 Szolnok Jubileum tér 5., cégjegyzékszám: 16-09-019181, adószám: 27944989-2-16, mint adatfeldolgozó (a továbbiakban: Adatfeldolgozó, Adatkezelő és Adatfeldolgozó külön-külön, illetve együtt: „Fél”, illetőleg „Felek”).
1. A szerződés célja
Jelen Szerződés célja, hogy a Felek eleget tegyenek az „Európai Parlamentnek és a Tanácsnak a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 rendeletében (a továbbiakban: „Rendelet”) az adatfeldolgozói szerződések, illetve az adatkezelő és az adatfeldolgozó kapcsolata tekintetében meghatározott előírásoknak.
2. A szerződés háttere
Az 1. pontban foglaltakra tekintettel a Felek jelen Szerződésben a Felek között a jelen Szerződéssel egyidejűleg megkötésre került online ügyviteli alkalmazás szolgáltatás (továbbiakban: Alkalmazás) nyújtására irányuló szerződést (a továbbiakban: Alapszerződés) annak teljesítéséhez szükséges személyes adatkezelésre irányuló rendelkezésekkel egészítik ki.
3. Általános rendelkezések
3.1. E Szerződés célja, hogy az Adatfeldolgozó az Adatkezelő utasításai alapján, az irányadó jogszabályoknak, e Szerződésnek és az Alapszerződésnek megfelelően végezze az adatkezelési tevékenységet.
3.2. Az Adatkezelő és az Adatfeldolgozó együttműködnek az adatkezelés jogszerű, a személyes adatok kezelésére vonatkozó jogszabályok figyelembe vételével történő ellátása érdekében.
4. A Szerződés tárgya
Az Adatkezelő a Rendelet 28. cikkében meghatározottaknak megfelelően jelen Szerződés aláírásával megbízza az Adatfeldolgozót az alábbi adatkezelési feladatok elvégzésével:
Érintettek
A kezelt adatok típusai
Adatkezelő természetes személy ügyfelei és azok természetes személy képviselői
Személyazonosító adatok és a szerződés megkötése, teljesítése során kezelt adatok: név, telefon, email, adószám, cím, rendszám, alvázszám
Adatkezelő nem természetes személy ügyfeleinek a természetes személy képviselői
Személyazonosító adatok és a szerződés megkötése, teljesítése során kezelt adatok: név, telefon, email, adószám, cím, rendszám, alvázszám
Az adatkezelés célja: időpontfoglalások kezelése, munkalapok nyitása és szerkesztése, ügyfélértesítések küldése (a foglalások visszaigazolásáról, a vállalt munkák elkészültéről, lejáró műszaki vizsgák érvényességéről), ügyfél – és gépjárműkartonok visszakeresési lehetőségnek biztosítása az Adatkezelő tevékenységéhez
Adatkezelési műveletek: adatgyűjtés, adattárolás, adatrendszerezés, értesítések küldése, adattörlés, adatzárolás.
Az adatkezelési tevékenység végzésének helye: Az Adatfeldolgozó mindenkori székhelye, telephelye és fióktelepe, továbbá az igénybe vett al-adatfeldologozók adatkezelési tevékenységének helyszínei.
5. Az Adatkezelő feladatai és kötelezettsége
5.1. Az Adatkezelő a személyes adatok kezelésének céljait és eszközeit maga határozza meg, szavatolja, hogy az adatkezelés megfelelő jogalappal és jogszerű célból történik.
5.2. Az Adatkezelő – adatkezelésre vonatkozó döntéseinek végrehajtására – utasításokat ad az Adatfeldolgozó részére, e Szerződésben foglalt feladatok megfelelő ellátásának biztosítása érdekében. Az Adatkezelő nevében a törvényes képviselőkön és a Szerződésben megjelölt kapcsolattartókon kívül azoktól fogadhat el utasítást az Adatfeldolgozó, akiknek a munkaköréből vagy egyéb körülményeiből lehet erre következtetni. Az utasítás-adás postai levél vagy e-mail útján történhet. Az Alkalmazás használatával adott utasítások körében az Alkalmazás használója ad utasítást az Adatfeldolgozó részére, amely tekintetében az Adatfeldolgozó nem köteles ellenőrizni az utasítást adó személy jogosultságát. A Szerződésben meghatározott feladatokkal (az Alkalmazás használatával) kapcsolatos utasításai jogszerűségéért az Adatkezelőt terheli felelősség.
5.3. Az Adatkezelő felelős, hogy az érintettek részére megfelelő tájékoztatást nyújtson az általa nyújtott szolgáltatás végzéséhez, és így az Alkalmazás igénybe vételéhez kapcsolódó adatkezelésről.
5.4. Az Adatfeldolgozó vállalja, hogy az Adatkezelő rendelkezésére bocsát minden olyan, számára rendelkezésre álló információt, amely lehetővé teszi és elősegíti az Adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, ide nem értve a helyszíni vizsgálatokat, amelyekről a Feleknek külön írásbeli megállapodást kell kötniük.
5.5. Az adatkezeléssel kapcsolatban az érintettektől érkező kérelmekkel vagy bármely hatóságtól érkező megkeresésekkel kapcsolatos döntéseket az Adatkezelő hozza meg, ezzel kapcsolatban az Adatkezelő az Adatfeldolgozót utasíthatja.
6. Az Adatfeldolgozó feladatai és kötelezettsége
6.1. Az Adatfeldolgozó az érintettek személyes adatait az Adatkezelő nevében, kizárólag e Szerződés és az Adatkezelő dokumentált utasításai alapján kezeli. Az Adatfeldolgozó kizárólag a megbízás tárgyát képező technikai adatkezelési műveletek végrehajtására jogosult. Az Adatfeldolgozó a kezelt adatok tekintetében az Adatkezelő erre vonatkozó dokumentált utasításának hiányában saját maga nem járhat el adatkezelőként, az adatokat harmadik fél felé nem továbbíthatja és az adatokat harmadik fél, mint Adatkezelő helyett és nevében nem kezelheti.
6.2. Az Adatfeldolgozó a személyes adatokat e Szerződésben meghatározott cél(ok)ból kezelheti. Az Adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott adatokat kizárólag az Adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatkezelési műveletet nem végezhet, valamint az Adatkezelő rendelkezései szerint köteles az adatokat tárolni, illetve megőrizni.
6.3. A 6.1 és 6.2. pont rendelkezései nem alkalmazhatók, ha valamely adatkezelési műveletet az Adatfeldolgozóra alkalmazandó jogszabály írja elő. Ebben az esetben az alkalmazandó jogszabályi rendelkezésről az Adatfeldolgozó az Adatkezelőt az adatkezelési műveletet megelőzően értesíti, kivéve, ha az Adatkezelő értesítését az adott jogszabály tiltja.
6.4. Jogszabályba ütköző utasítás esetén az Adatfeldolgozó az Adatkezelő utasításait megtagadhatja.
6.5. Az Adatfeldolgozó kijelenti, hogy a Szerződésben meghatározott feladatok teljesítésben megfelelő ismerettel és gyakorlattal rendelkező személyek/munkavállalók vesznek részt.
6.6. Az Adatfeldolgozó – a 7. fejezetnek megfelelően – köteles gondoskodni az általa kezelt, papíron, illetve elektronikusan tárolt adatok megfelelő védelméről.
6.7. Az adatkezeléssel kapcsolatban az érintettektől érkező kérelmeket vagy bármely hatóságtól az Adatfeldolgozóhoz érkezett megkereséseket az Adatfeldolgozó köteles a beérkezéstől számított két munkanapon belül továbbítani az Adatkezelő részére. Az Adatkezelő válaszának előkészítéshez az Adatfeldolgozó – az Adatkezelő kérésére és az általa megszabott határidőn belül – köteles a szükséges információt és támogatást megadni. Az Adatfeldolgozó együttműködik az Adatkezelővel a hatósági megkeresésekkel kapcsolatos intézkedések végrehajtásában.
6.8. Abban az esetben, ha az Adatkezelőnek adatvédelmi hatásvizsgálatot kell elvégeznie, az Adatfeldolgozó minden szükséges információt megad, együttműködik az Adatkezelővel a hatásvizsgálat elvégzése céljából.
7. Adatbiztonság
7.1. Felek rögzítik, hogy az adatbiztonsági követelményrendszer a személyes adatok védelmének – a Rendelet 32. cikkének megfelelő – technikai és szervezési intézkedésekkel, valamint fizikai és informatikai megoldásokkal történő támogatását jelenti a kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés megakadályozása érdekében; továbbá a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása érdekében.
7.2. Az Adatfeldolgozó köteles az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást kialakítani és folyamatosan működtetni.
8. Titoktartás
8.1. A Felek az Alapszerződésben foglalt titoktartásra, titokvédelemre vonatkozó rendelkezések mellett az alábbi rendelkezések betartását vállalják:
8.2. A Felek az Alapszerződés és a jelen Szerződés során a másik Féllel, annak működésével kapcsolatban tudomásukra jutott üzleti titkot időbeli korlátozás nélkül bizalmasan kezelik. Üzleti titoknak minősül bármely olyan tény, információ, megoldás vagy egyéb adat (beleértve az adatból levonható következtetéseket is), függetlenül annak megjelenési formájától, amelyet a Fél a tevékenységével összefüggésben a másik Félnek átad vagy amely az Alapszerződés és a jelen Szerződés teljesítése során egyébként a másik Fél tudomására jut. Üzleti titoknak minősülnek különösen a szabályzatok, a védett ismeretek, az informatikai és fizikai hozzáférés ellenőrzését biztosító adatok (felhasználónevek és jelszavak), üzleti vagy üzemi folyamatok és módszerek, tervek, specifikációk, pénzügyi, marketing és értékesítési adatok, ügyféllisták, szoftverek és adatbázisok, valamint az Adatkezelő által kezelt személyes adatok. Nem minősül üzleti titoknak az az információ, amely az adott felhasználási területen közismert vagy nyilvánosan, bárki számára közvetlenül hozzáférhető. Nem üzleti titok az sem, amit a jogosult Fél kifejezetten „nyilvánosként” vagy „nem bizalmasként” megjelölve adott át a másik Félnek. Az üzleti titok átadására vagy nyilvánosságra hozatalára egyik Fél sem jogosult, kivéve:
- ha az üzlet titok nyilvánosságra hozatalát vagy meghatározott harmadik személlyel való közlését a Felek vonatkozásában jogszabály írja elő;
- a Fél az üzleti titkot az Alapszerződésben vagy a jelen Szerződésben foglaltaknak megfelelően igénybe vett közreműködőjének továbbítja, feltéve, hogy ha a továbbítás az Alapszerződés, illetőleg a jelen Szerződés teljesítéséhez szükséges;
- a Felet az üzleti titok továbbítására vagy nyilvánosságra hozatalára hatósági vagy bírósági határozat, illetve intézkedés kötelezi, feltéve, hogy a Fél e kötelezettségéről ‑– jogi lehetőségeihez mérten – haladéktalanul értesítette a másik Felet.
8.3. A titoktartási kötelezettség a Feleket a Szerződés teljesítésére, illetőleg megszűnésére tekintet nélkül, határidő nélkül terheli. A titoktartási kötelezettség megsértésével okozott kár megtérítéséért a károkozó Felet teljes körű kártérítési felelősség terheli.
8.4. Amennyiben harmadik személy a személyes adatok jogellenes kezelése vagy az érintetti jogok megsértése miatt az Adatfeldolgozóval szemben keresetet indít, az Adatkezelő köteles az Adatfeldolgozó pernyertessége érdekében az Adatfeldolgozó perbehívására beavatkozóként a perben csatlakozni.
9. További adatfeldolgozó igénybevétele
9.1. Az Adatfeldolgozó az Adatkezelő írásban tett előzetes felhatalmazása nélkül további adatfeldolgozót (ideértve az Európai Unió területén kívül adatfeldolgozót) is jogosult igénybe venni. Az Adatfeldolgozó köteles biztosítani, hogy a további adatfeldolgozó a jelen megállapodásban az Adatfeldolgozóra vonatkozó kötelezettségekkel azonos tartalmú kötelezettségeknek eleget tegyen.
9.2. A további adatfeldolgozónak vállalnia kell a szükséges technikai és szervezési intézkedések végrehajtását, így biztosítva a jogszabályokban előírt rendelkezéseknek való megfelelést.
9.3. Az Adatfeldolgozó teljes felelősséggel tartozik az Adatkezelő felé a további adatfeldolgozó kötelezettségeinek teljesítéséért.
9.4. A mindenkori al-adatfeldolgozók az Adatfeldolgozó honlapján ismerhetőek meg.
10. Eljárás az érintett jogainak gyakorlása során
10.1. Az érintettek személyes adataira vonatkozó jogainak gyakorlásával kapcsolatos megkeresések megválaszolása, az érintettek tájékoztatása az Adatkezelő kizárólagos feladata.
10.2. Az érintettől érkezett, a személyes adatok kezelésére vonatkozó megkereséseket az Adatfeldolgozó – beérkezéstől számított egy munkanapon belül – az Adatkezelő részére válaszadás céljából az érintett egyidejű értesítése mellett továbbítja az Adatkezelőnek.
10.3. Az Adatkezelő döntésének előkészítéshez az Adatfeldolgozó – az Adatkezelő kérésére és az általa megszabott határidőn belül – köteles a szükséges információt és támogatást megadni, beleértve azt is, ha az érintett az adatkezelés tárgyát képező személyes adatok másolatát kéri és a másolatot az Adatfeldolgozó tudja előállítani. Az Adatkezelő az érintettnek küldött válaszáról tájékoztathatja Adatfeldolgozót is.
10.4. Amennyiben az érintett a Rendelet 15. cikk (3) bekezdése szerinti másolatot kér az adatkezelés tárgyát képező személyes adatokról, a második másolattól számítva az Adatfeldolgozó a másolatért a Felek által közösen megállapított, az Adatfeldolgozó költségein alapuló, ésszerű mértékű díjat számolhat fel, melyet az érintett az Adatkezelőnek fizet meg.
10.5. Az érintett adatainak helyesbítésére, törlésére, az adatkezelés korlátozására, az érintettnek az adatai kezelése elleni tiltakozására és az adathordozhatóságra vonatkozó kérelmének teljesítése a következőképpen történik: amennyiben az érintett kérelmét az Adatfeldolgozó tudja teljesíteni, az Adatkezelő a kérelem megalapozottságának megállapítását követően a kérelemnek megfelelő utasítással látja el az Adatfeldolgozót, aki azt indokolatlan késedelem nélkül teljesíti és erről az Adatkezelőt értesíti. Az érintett kérelmének teljesítéséről vagy annak elutasításáról az Adatkezelő tájékoztatja az érintettet.
10.6. További adatfeldolgozó igénybevétele esetén az Adatfeldolgozó az Adatkezelő érintett kérelmére vonatkozó utasítását továbbítja a további adatfeldolgozó felé. A további adatfeldolgozó az általa megtett intézkedésekről az Adatfeldolgozón keresztül tájékoztatja az Adatkezelőt. Szükség esetén a további adatfeldolgozó közvetlenül tájékoztatja az Adatkezelőt, az Adatfeldolgozó egyidejű értesítésével.
10.7. Az Adatfeldolgozó vállalja, hogy az Adatkezelő rendelkezésére bocsát minden olyan rendelkezésére álló információt, amely az érintetti jogok teljesítésének igazolásához szükséges.
10.8. Jelen fejezetben meghatározott panaszokat, kérelmeket Felek elektronikus úton továbbítják egymásnak.
11. Adatvédelmi incidens
11.1. A Felek rögzítik, hogy – a Rendelet 33. cikkében foglaltaknak megfelelően – az Adatkezelő adatvédelmi incidens-nyilvántartást vezet.
11.2. A jogszabályban meghatározott adatkezelői kötelezettségek teljesítése érdekében az Adatfeldolgozó – a Rendelet 4. cikk 12. pont szerinti – adatvédelmi incidensekről, illetve az adatvédelmi rendellenességekről az azokról való tudomásszerzést követően indokolatlan késedelem nélkül, de legkésőbb 24 órán belül köteles bejelenteni az Adatkezelőnek. Az incidenssel, illetve rendellenességgel kapcsolatosan a következő információkat kell az Adatkezelővel megosztani:
- az adatvédelmi incidens, rendellenesség leírása, jellege, időpontja, tartama, az érintettek és az érintett személyes adatok köre és száma;
- az incidensből, rendellenességből eredő már bekövetkezett, vagy várható következmények;
- az incidens, rendellenesség orvoslására tett intézkedések és az incidensből, rendellenességből eredő esetleges negatív következmények enyhítését szolgáló intézkedések;
- az adatvédelmi incidenssel, rendellenességgel összefüggő minden egyéb releváns információ.
11.3. Az Adatfeldolgozó megtesz minden szükséges intézkedést, valamint együttműködik az Adatkezelő adatvédelmi tisztviselőjével és más közreműködő szervezeti egységgel az adatvédelmi rendellenesség vagy incidens okának feltárásban, orvoslásában és az incidens esetleges negatív következményeinek felszámolásában.
11.5. Adatvédelmi incidensnek (Rendelet 4. cikk 12. pont) a biztonság olyan sérülése minősül, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
11.6. Adatvédelmi rendellenesség az adatbiztonsági intézkedések olyan sérelme, amely nem eredményezi a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést (nem következik be az adatvédelmi incidenssé minősüléshez szükséges eredmény).
12. Az adatok a jelen Szerződés megszűnését vagy megszüntetését követően
A jelen Szerződés bármely okból való megszűnését vagy megszüntetését követően – az Adatkezelő döntésének megfelelően – az Adatfeldolgozó az adatkezelési tevékenység során birtokába került minden adatot vagy töröl, vagy az Alapszerződés szerinti alkalmazás által lehetővé tett struktúrában visszajuttat az Adatkezelőnek és törli a meglévő másolatokat, kivéve, ha az Adatfeldolgozóra kötelező jogszabály az adatok további tárolását írja elő. Az adattörlést úgy kell elvégezni, hogy az adatok helyreállítása a továbbiakban ne legyen lehetséges.
13. A Szerződés felmondása/megszüntetése
13.1. A Szerződést a Felek a 2.1 pontban rögzített Alapszerződéssel azonos időtartamra kötik. A Szerződés az Alapszerződés bármely okból történő megszűnése esetén, azzal egyidejűleg megszűnik.
13.2. A Szerződés megszűnése a titoktartási rendelkezések hatályát nem érinti.
13.3. Amennyiben valamelyik Fél észleli, hogy a másik Fél tevékenysége jogszabályba vagy e Szerződésbe ütközik, írásban haladéktalanul felhívja a másik Felet, hogy tevékenységét a jogszabályoknak és e Szerződésnek megfelelően végezze. Amennyiben a felszólítás ellenére a felszólított Fél a tevékenységét továbbra is jogszabálysértő, illetve ismételten vagy súlyosan szerződésszegő módon végzi, a felszólítást küldő Fél jogosult a jelen Szerződést azonnali hatállyal felmondani. A követelmények súlyos megsértésének minősül különösen, ha a Felek nem teszik meg, illetve megsértik a szükséges technikai és szervezési intézkedéseket, arra nem jogosult személyek férnek hozzá az adatokhoz, megtagadják az együttműködést az érintett jogainak gyakorlásával összefüggésben. A jelen Szerződés azonnali hatályú felmondása esetén az Adatfeldolgozó jogosulttá válik az Alapszerződést azonnali hatállyal felmondani.