Adatfeldolgozási megállapodás

a között.

A megrendelő az ÁSZF-nek megfelelően, mint Adatkezelő (a továbbiakban "Adatkezelő"),

és

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Németország, mint adatfeldolgozó (a továbbiakban "Adatfeldolgozó", Adatkezelő és Adatfeldolgozó együttesen a "Feladatfeldolgozó").

Preambulum

Az Adatkezelő az Adatfeldolgozót az ÁSZF-ben (a továbbiakban: "Főszerződés") bízta meg az abban meghatározott szolgáltatásokkal. A szerződés teljesítésének része a személyes adatok kezelése. Különösen az adatkezelésre vonatkozó Art. 28 GDPR különleges követelményeket támaszt az ilyen megbízásos adatkezeléssel szemben. Ezen követelményeknek való megfelelés érdekében a Felek az alábbi Adatfeldolgozási szerződést (a továbbiakban: "Szerződés") kötik, amelynek teljesítése külön díjazásra nem kerül, kivéve, ha erről kifejezetten megállapodtak.

§ 1 Fogalommeghatározások

(1) Az Art. 4. § (7) bekezdése értelmében az adatkezelő az a szervezet, amely egyedül vagy más adatkezelőkkel együtt meghatározza a személyes adatok kezelésének céljait és eszközeit.

(2) Az Art. 4. § (8) bekezdése szerint az adatfeldolgozó olyan természetes vagy jogi személy, hatóság, intézmény vagy egyéb szerv, amely az Adatkezelő nevében személyes adatokat kezel.

(3) Az Art. 4. § (1) bekezdése értelmében személyes adatnak minősül az azonosított vagy azonosítható természetes személyre (a továbbiakban: érintett) vonatkozó bármely információ; azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző egy vagy több tényező alapján.

(4) A különleges védelmet igénylő személyes adatok az Art. GDPR 9. cikke szerinti személyes adatok, amelyek az Érintettek faji vagy etnikai származását, politikai véleményét, vallási vagy világnézeti meggyőződését vagy szakszervezeti tagságát feltárják, a GDPR 9. cikke szerinti személyes adatok. GDPR 10. cikke szerinti büntetőítéletekre és bűncselekményekre vonatkozó személyes adatok, illetve a kapcsolódó biztonsági intézkedések, valamint a GDPR 10. cikke szerinti genetikai adatok. GDPR 4. cikk (13) bekezdése szerinti biometrikus adatok, a GDPR 4. cikk (13) bekezdése szerinti biometrikus adatok. 4 (14) GDPR, health data pursuant to Art. GDPR 4. cikkének (15) bekezdése szerinti adatok, valamint a természetes személy szexuális életére vagy szexuális irányultságára vonatkozó adatok.

(5) A GDPR 4. cikk (2) bekezdése szerint adatkezelésnek minősül a személyes adatokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így például gyűjtés, rögzítés, rendszerezés, tárolás, archiválás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján történő közlés, összehangolás vagy összekapcsolás, korlátozás, törlés vagy megsemmisítés.

(6) A GDPR 4. cikkének (21) bekezdése értelmében a felügyeleti hatóság a GDPR 51. cikke alapján valamely tagállam által létrehozott független állami szerv.

§ 2 A szerződés tárgya

(1) Az Adatfeldolgozó az Adatkezelő részére a Fővállalkozási szerződésben meghatározott szolgáltatásokat nyújtja. Ennek során az Adatfeldolgozó hozzáférést kap személyes adatokhoz, amelyeket az Adatfeldolgozó kizárólag az Adatkezelő nevében és utasításai szerint kezel az Adatkezelő részére. Az Adatfeldolgozó által végzett adatkezelés terjedelmét és célját a Főszerződés és a kapcsolódó szolgáltatási leírások tartalmazzák. Az adatkezelés elfogadhatóságának megítélése az Adatkezelő feladata.

(2) A Felek az adatvédelmi jog szerinti kölcsönös jogok és kötelezettségek meghatározása érdekében kötik meg ezt a megállapodást. Kétség esetén a jelen megállapodás rendelkezései elsőbbséget élveznek a főszerződés rendelkezéseivel szemben.

(3) A jelen szerződés rendelkezéseit kell alkalmazni minden olyan, a Főszerződéshez kapcsolódó tevékenységre, amelynek során az Adatfeldolgozó és alkalmazottai vagy az Adatfeldolgozó által megbízott személyek kapcsolatba kerülnek az Adatkezelőtől származó vagy az Adatkezelő részére gyűjtött személyes adatokkal.

(4) A jelen szerződés időtartamára a Főszerződés időtartama irányadó, kivéve, ha az alábbi rendelkezések további kötelezettségeket vagy felmondási jogokat keletkeztetnek.

§ 3 Oktatási jog

(1) Az Adatfeldolgozó csak a Főszerződés hatálya alatt és az Adatkezelő utasításainak megfelelően gyűjthet, dolgozhat fel vagy használhat fel adatokat. Ha az Adatfeldolgozót az Európai Unió vagy a rá vonatkozó tagállami jogszabályok további adatkezelésre kötelezik, az adatkezelést megelőzően tájékoztatja az Adatkezelőt e jogi követelményekről.

(2) Az ellenőr utasításait kezdetben e megállapodás határozza meg. Ezt követően azokat az Adatkezelő írásban vagy szöveges formában egyedi utasításokkal (Egyedi utasítások) módosíthatja, kiegészítheti vagy helyettesítheti. Az Adatkezelő bármikor jogosult ilyen utasításokat kiadni. Ez magában foglalja az adatok helyesbítésére, törlésére és zárolására vonatkozó utasításokat is.

(3) Minden kiadott utasítást az ellenőr dokumentál. Azokat az utasításokat, amelyek túlmutatnak a Főszerződésben megállapított szolgáltatáson, a szolgáltatás megváltoztatására irányuló kérelemként kell kezelni.

(4) Ha az Adatfeldolgozó úgy véli, hogy az Adatkezelő valamely utasítása sérti az adatvédelmi rendelkezéseket, erről indokolatlan késedelem nélkül értesíti az Adatkezelőt. Az Adatfeldolgozó jogosult felfüggeszteni az érintett utasítás végrehajtását mindaddig, amíg azt az Adatkezelő meg nem erősíti vagy nem módosítja. Az Adatfeldolgozó megtagadhatja a nyilvánvalóan jogellenes utasítás végrehajtását.

4. § A feldolgozott adatok típusai, az Érintettek csoportja, harmadik ország

(1) Az Adatfeldolgozó a Fő szerződés végrehajtása keretében hozzáférhet az 1. mellékletben részletesebben meghatározott személyes adatokhoz.

(2) Az adatkezelés által érintett Érintettek csoportját az 1. melléklet tartalmazza.

(3) A személyes adatok harmadik országba történő továbbítására az Art. 44. és azt követő cikkei szerint. GDPR 44. CIKKE ALAPJÁN.

§ 5 Az adatfeldolgozó védelmi intézkedései

(1) Az Adatfeldolgozó köteles betartani az adatvédelemre vonatkozó jogszabályi rendelkezéseket, és az Adatkezelő domainjéről szerzett információkat nem adhatja át harmadik személyeknek, illetve nem teheti hozzáférhetővé számukra. Az iratokat és adatokat a technika állásának figyelembevételével biztosítani kell az illetéktelenek tudomására jutása ellen.

(2) Az Adatfeldolgozó a feladatkörébe tartozó belső szervezetet úgy alakítja ki, hogy az megfeleljen az adatvédelem speciális követelményeinek. Meg kell hoznia a 2. mellékletben meghatározott technikai és szervezési intézkedéseket az Adatkezelő adatainak megfelelő védelme érdekében az Art. GDPR 32. §-ában foglaltaknak megfelelően, amelyeket az Adatkezelő megfelelőnek ismer el. Az Adatfeldolgozó fenntartja magának a jogot, hogy a megtett biztonsági intézkedéseket megváltoztassa, biztosítva ugyanakkor, hogy a szerződésben vállalt védelmi szint ne csökkenjen.

(3) Az Adatfeldolgozó által az adatfeldolgozásban foglalkoztatott személyeknek tilos személyes adatokat engedély nélkül gyűjteni, feldolgozni vagy felhasználni. Az Adatfeldolgozó az általa a jelen szerződés feldolgozásával és teljesítésével megbízott valamennyi személyt (a továbbiakban: Alkalmazottak) ennek megfelelően kötelezi (titoktartási kötelezettség, Art. GDPR 28. (3) lit. b)), és kellő gondossággal biztosítja e kötelezettség betartását.

(4) Az Adatfeldolgozó adatvédelmi tisztviselőt nevezett ki. Az Adatfeldolgozó adatvédelmi tisztviselője a heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Az adatfeldolgozó tájékoztatási kötelezettségei

(1) Az Adatfeldolgozó által a személyes adatoknak az Adatfeldolgozó, az általa a szerződés hatálya alatt alkalmazott személyek vagy harmadik személyek által végzett kezelése során bekövetkezett zavarok, az adatvédelem megsértésének gyanúja vagy az Adatfeldolgozó szerződéses kötelezettségeinek megszegése, a biztonsággal kapcsolatos incidensek gyanúja vagy egyéb szabálytalanságok esetén az Adatfeldolgozó indokolatlan késedelem nélkül tájékoztatja az Adatkezelőt. Ugyanez vonatkozik az Adatfeldolgozó adatvédelmi felügyeleti hatóság általi ellenőrzésére is. Az adatvédelmi incidensről szóló értesítésnek legalább a következő információkat kell tartalmaznia:

(a) az adatvédelmi incidens jellegének leírása, beleértve - a lehetséges mértékben - az érintett Érintettek kategóriáit és számát, az érintett kategóriákat és az érintett személyesadat-nyilvántartások számát;

(b) az Adatfeldolgozó által a jogsértés kezelése érdekében hozott vagy javasolt intézkedések leírása, és adott esetben az esetleges káros hatások enyhítésére irányuló intézkedések;

(c) az adatvédelmi incidens várható következményeinek leírása.

(2) Az Adatfeldolgozó haladéktalanul megteszi a szükséges intézkedéseket az adatok biztonsága és az Érintetteket érintő esetleges hátrányos következmények enyhítése érdekében, erről tájékoztatja az Adatkezelőt, és további utasításokat kér.

(3) Az Adatfeldolgozó köteles továbbá az Adatkezelőt bármikor tájékoztatni, amennyiben az Adatkezelő adatait az (1) bekezdés szerinti sérelem érinti.

(4) Az Adatfeldolgozó tájékoztatja az Adatkezelőt az 5. szakasz (2) bekezdése szerinti biztonsági intézkedésekben bekövetkezett jelentős változásokról.

7. § Az Adatkezelő ellenőrzési jogai

(1) Az Adatkezelő az adatkezelés megkezdése előtt, majd azt követően évente rendszeresen meggyőződhet az Adatfeldolgozó technikai és szervezési intézkedéseiről. Ebből a célból az Adatkezelő például információt szerezhet be az Adatfeldolgozótól, beszerezheti a meglévő tanúsítványokat szakértőktől, tanúsítványokat vagy belső auditokat, vagy - kellő időben történő egyeztetést követően - személyesen ellenőrizheti az Adatfeldolgozó technikai és szervezési intézkedéseit a szokásos munkaidőben, vagy ellenőrizheti azokat egy illetékes harmadik féllel, feltéve, hogy a harmadik fél nem áll versenyhelyzetben az Adatfeldolgozóval. Az Adatkezelő az ellenőrzéseket csak a szükséges mértékben végzi el, és ennek során nem zavarja aránytalanul az Adatfeldolgozó működését.

(2) Az Adatfeldolgozó vállalja, hogy az Adatkezelő szóbeli vagy írásbeli kérésére, ésszerű határidőn belül az Adatkezelő rendelkezésére bocsátja az Adatkezelő technikai és szervezési intézkedéseinek ellenőrzéséhez szükséges valamennyi információt és bizonyítékot.

(3) Az Adatkezelő dokumentálja az ellenőrzés eredményét, és erről értesíti az Adatfeldolgozót. Az Adatkezelő által - különösen az ellenőrzés eredményeinek ellenőrzése során - feltárt hibák vagy szabálytalanságok esetén az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az Adatfeldolgozót. Ha az ellenőrzés során olyan tényeket állapítanak meg, amelyek jövőbeni elkerülése az elrendelt eljárás módosítását teszi szükségessé, az Adatkezelő haladéktalanul értesíti az Adatfeldolgozót a szükséges eljárási módosításokról.

§ 8 Szolgáltatók igénybevétele

(1) A szerződésben vállalt szolgáltatásokat a 3. mellékletben megnevezett szolgáltatók (a továbbiakban: alkalmazottak) bevonásával kell teljesíteni. Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak a GDPR 28. cikk (2) bekezdés 1. s. 1. pontja értelmében arra, hogy a szerződéses kötelezettségei körében további Alfeldolgozókat vegyen igénybe, vagy a már igénybe vett Alfeldolgozókat lecserélje.

(2) Az Adatfeldolgozó köteles tájékoztatni az Adatkezelőt minden olyan tervezett változás előtt, amely az alfeldolgozó bevonásával vagy cseréjével kapcsolatos. Az Adatkezelő az adatvédelmi jog szerinti fontos okból kifogást emelhet az alfeldolgozó tervezett bevonása vagy cseréje ellen.

(3) Az alvállalkozó tervezett bevonása vagy cseréje ellen a változásról szóló tájékoztatás kézhezvételétől számított 2 héten belül kifogást kell emelni. Ha nem emelnek kifogást, a bevonás vagy a csere jóváhagyottnak tekintendő. Ha az adatvédelmi jog alapján fontos ok áll fenn, és az Adatkezelő és az adatfeldolgozó között nem lehetséges a békés megoldás, az Adatkezelőnek külön felmondási joga van a kifogást követő hónap végén.

(4) Alvállalkozó adatfeldolgozók igénybevétele esetén az Adatfeldolgozó a jelen Megállapodás rendelkezéseivel összhangban kötelezi őket.

(5) Az e rendelkezések értelmében vett alvállalkozói jogviszony nem áll fenn, ha az Adatfeldolgozó harmadik személyeket bíz meg olyan szolgáltatásokkal, amelyek pusztán kiegészítő szolgáltatásoknak minősülnek. Ide tartoznak például a postai, szállítási és szállítmányozási szolgáltatások, a takarítási szolgáltatások, a távközlési szolgáltatások anélkül, hogy az adatfeldolgozó által az adatkezelőnek nyújtott szolgáltatásokra külön utalás történne, valamint az őrzési szolgáltatások. A karbantartási és tesztelési szolgáltatások hozzájárulást igénylő alvállalkozói kapcsolatnak minősülnek, amennyiben azokat olyan informatikai rendszerekhez nyújtják, amelyeket az Adatkezelő részére történő szolgáltatásnyújtással összefüggésben is használnak.

§ 9 Az érintettek kérelmei és jogai

(1) Az Adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel támogatja az Adatkezelőt a GDPR 12-22. és 32-36. cikke szerinti kötelezettségeinek teljesítésében.

(2) Ha az Érintett közvetlenül az Adatfeldolgozóval szemben érvényesít jogokat, például az adataihoz való hozzáféréshez, helyesbítéshez vagy törléshez való jogot, az Adatfeldolgozó nem reagál önállóan, hanem az Érintettet az Adatkezelőhöz irányítja, és megvárja az Adatkezelő utasításait.

§ 10 Felelősség

(1) Az Adatfeldolgozóval fennálló belső jogviszonyban kizárólag az Adatkezelő felel az Érintettel szemben az Érintettnek az adatvédelmi jogszabályok alapján megengedhetetlen vagy helytelen adatkezeléssel vagy a megbízáson alapuló adatkezelés keretében történő felhasználással az Érintett által elszenvedett kár megtérítéséért.

(2) Az Adatfeldolgozó korlátlanul felel a kárért, amennyiben a kár oka az Adatfeldolgozó, törvényes képviselője vagy közreműködője szándékos vagy súlyosan gondatlan kötelezettségszegésén alapul.

(3) Az Adatfeldolgozó csak olyan kötelezettségszegés esetén felel gondatlan magatartásért, amelynek teljesítése a szerződés rendeltetésszerű teljesítésének előfeltétele, és amelynek betartására az Adatkezelő rendszeresen számít és számíthat, de legfeljebb a szerződésre jellemző átlagos kár mértékéig. Minden egyéb tekintetben az Adatfeldolgozó felelőssége - ideértve a közreműködői felelősségét is - kizárt.

(4) A 10.3. § szerinti felelősségkorlátozás nem vonatkozik az élet, a test, az egészség sérüléséből vagy a garancia vállalásából eredő kártérítési igényekre.

11. § A fővállalkozási szerződés felmondása

(1) A Főszerződés megszűnését követően az Adatfeldolgozó a rendelkezésére bocsátott valamennyi dokumentumot, adatot és adathordozót visszaadja az Adatkezelőnek, vagy - az Adatkezelő kérésére, kivéve, ha az uniós jog vagy a Németországi Szövetségi Köztársaság joga alapján a személyes adatok tárolására vonatkozó kötelezettség áll fenn - törli azokat. Ez vonatkozik az Adatfeldolgozónál készült adatmentésekre is. Az Adatfeldolgozó kérésre dokumentáltan igazolja az adatok megfelelő törlését.

(2) Az Adatkezelő jogosult az adatok teljes körű és szerződésszerű visszaadását vagy törlését az Adatfeldolgozónál megfelelő módon ellenőrizni.

(3) Az Adatfeldolgozó köteles a Főszerződéssel összefüggésben tudomására jutott adatokat a Főszerződés lejártát követően is bizalmasan kezelni. A jelen Megállapodás a Főszerződés lejártát követően is érvényben marad mindaddig, amíg az Adatfeldolgozó rendelkezik olyan személyes adatokkal, amelyeket az Adatkezelő továbbított neki, vagy amelyeket az Adatkezelő részére gyűjtött.

§ 12 Záró rendelkezések

(1) Amennyiben az Adatfeldolgozó a jelen Megállapodás szerinti támogatási tevékenységeket nem kifejezetten ingyenesen végzi, ezért az Adatkezelőtől ésszerű díjat számíthat fel, kivéve, ha az Adatfeldolgozó saját tevékenysége vagy mulasztása miatt a támogatás közvetlenül szükségessé vált.

(2) E megállapodás módosításait és kiegészítéseit írásban kell megtenni. Ez vonatkozik az e formai követelményről való lemondásra is. Az egyedi szerződéses megállapodások elsőbbsége változatlanul fennmarad.

(3) Ha a jelen Megállapodás egyes rendelkezései részben vagy egészben érvénytelenek vagy végrehajthatatlanok, ez nem érinti a többi rendelkezés érvényességét.

(4) E megállapodás a német jog hatálya alá tartozik.

melléklet - Az adatfeldolgozó technikai és szervezési intézkedései

1. Bevezetés

Ez a dokumentum összefoglalja az adatfeldolgozó által az Adatfeldolgozó által az Art. 32. bek. GDPR 1. CIKKE ÉRTELMÉBEN. Ezek az Adatfeldolgozó által a személyes adatok védelme érdekében hozott intézkedések. A dokumentum célja, hogy támogassa az Adatkezelőt abban, hogy eleget tegyen az Art. GDPR 5. cikkének (2) bekezdésében foglaltak teljesítéséhez.

2. Titoktartás (GDPR 32. cikk (1) bekezdés b) pont)

2.1 Belépés-ellenőrzés

Az alábbi intézkedésekkel megakadályozzuk, hogy illetéktelen személyek hozzáférjenek az adatfeldolgozó rendszerekhez:

• Otthoni munkavégzés: illetéktelenek nem férhetnek be a munkavállalók otthonába.

• Munka az otthoni irodában: utasítás a munkavállalóknak, hogy lehetőség szerint a nappalitól elkülönített irodában dolgozzanak.

2.2 Belépés-ellenőrzés

Az alábbi intézkedésekkel megakadályozzuk, hogy illetéktelen személyek hozzáférjenek az adatfeldolgozó rendszerekhez:

• Hitelesítés felhasználóval és jelszóval

• Tűzfalak használata

• Mobileszköz-kezelés használata

• Az adathordozók titkosítása

• Automatikus asztali zár

• A felhasználói jogosultságok kezelése

• Felhasználói profilok létrehozása

• Központi jelszószabályok

• 2-faktoros hitelesítés használata

• A biztonságos jelszavakra vonatkozó vállalati politika

• Általános utasítás az asztal kézi lezárására a munkaállomás elhagyásakor

2.3 Hozzáférés-ellenőrzés

Az alábbi intézkedések biztosítják, hogy illetéktelenek ne férhessenek hozzá a személyes adatokhoz:

• Az alkalmazásokhoz való hozzáférés naplózása (különösen az adatok bevitele, módosítása és törlése során)

• Az adminisztrátorok számát a lehető legkisebbre kell csökkenteni.

• A felhasználói jogok rendszergazdák általi kezelése

• A munkavállalók arra való utasítása, hogy az adatokat csak konzultációt követően törlik.

2.4 Elkülönítés-ellenőrzés

A következő intézkedések biztosítják, hogy a különböző célokból gyűjtött személyes adatokat elkülönítve kezeljék:

• Fizikailag elkülönített tárolás külön rendszereken vagy adathordozókon

• A gyártási és tesztelési rendszer szétválasztása

• Logikai ügyfél elkülönítés (szoftveres oldalon)

• Az adatbázis-jogok meghatározása

• Belső utasítás a személyes adatok anonimizálására / álnevesítésére, amennyiben lehetséges, nyilvánosságra hozatal esetén vagy a törvényes törlési határidő lejárta után.

3. Integritás (GDPR 32. cikk (1) bekezdés b) pont)

3.1 Átadás-ellenőrzés

Biztosítani kell, hogy a személyes adatokat az adathordozón történő továbbítás vagy tárolás során ne lehessen engedély nélkül elolvasni, lemásolni, megváltoztatni vagy eltávolítani, és ellenőrizni kell, hogy mely személyek vagy szervek kaptak személyes adatokat. Ennek biztosítása érdekében a következő intézkedéseket hajtották végre:

• WLAN titkosítás (WPA2 erős jelszóval)

• A hozzáférések és lekérdezések naplózása

• Az adatok titkosított kapcsolatokon, például SFTP vagy HTTPS segítségével történő szolgáltatása

• A vállalati adatok külső szerverekre történő feltöltésének tilalma

3.2 Bemeneti vezérlés

A következő intézkedések biztosítják, hogy ellenőrizhető legyen, hogy ki és mikor dolgozott fel személyes adatokat az adatfeldolgozó rendszerekben:

• Az adatok bevitelének, módosításának és törlésének naplózása

• A naplók kézi vagy automatikus vezérlése

• Az adatok bevitelének, módosításának és törlésének nyomon követhetősége egyéni felhasználói neveken (nem felhasználói csoportokon) keresztül.

• A törlésekkel kapcsolatos egyértelmű felelősségi körök

legal.dpa.latest.annexes.2.3.2.text.6

4. Elérhetőség és rugalmasság (GDPR 32. cikk (1) bekezdés b) pont)

Az alábbi intézkedések biztosítják, hogy a személyes adatok védve legyenek a véletlen megsemmisülés vagy elvesztés ellen, és mindig az ügyfél rendelkezésére álljanak:

• Tűzoltó készülékek a szerverszobákban

• Készülékek a szerverszobák hőmérsékletének és páratartalmának ellenőrzésére

• Légkondicionálás a szervertermekben

• Védő aljzatcsíkok a szerverszobákban

• Szünetmentes tápegység (UPS)

• Videófelügyelet a szerverszobákban

• Riasztási üzenet a szerverszobákhoz való illetéktelen hozzáférés esetén

• Rendszeres biztonsági mentések

• A mentési folyamat ellenőrzése

• Az adatmentések biztonságos, külső helyszínen történő tárolása

• Rendszeres adat-visszaállítási tesztek és az eredmények naplózása

• A szerverteremben vagy a szerverterem felett nincsenek szaniterek.

• Hosting (legalább a legfontosabb adatok) egy profi tárhelyszolgáltatónál

5. Rendszeres felülvizsgálati, értékelési és értékelési eljárások (GDPR 32. cikk (1) bekezdés d) pont; GDPR 25. cikk (1) bekezdés).

5.1 Adatvédelem kezelése

Az alábbi intézkedések célja annak biztosítása, hogy a szervezet megfeleljen az adatvédelmi jogszabályok alapvető követelményeinek:

• A heyData platform használata az adatvédelem kezelésére

• Az adatvédelmi tisztviselő kinevezése heyData

• A munkavállalók adattitoktartási kötelezettsége

• Rendszeres adatvédelmi képzés az alkalmazottak számára

• Az adatkezelési tevékenységek áttekintésének fenntartása (GDPR 30. cikk)

5.2 Az incidensekre adott válaszok kezelése

Az alábbi intézkedések célja annak biztosítása, hogy adatvédelmi incidensek esetén bejelentési folyamatok induljanak el:

• Az adatvédelem megsértésének bejelentési folyamata az Art. GDPR 4. 12. sz. a felügyeleti hatóságoknak (GDPR 33. cikk)

• Az adatvédelmi incidensek bejelentési folyamata az Art. GDPR 4. sz. 12. cikk szerinti tájékoztatás az érintettek részére (GDPR 34. cikk)

• Az adatvédelmi tisztviselő bevonása a biztonsági incidensekbe és az adatvédelmi incidensekbe

• Tűzfalak használata

5.3 Adatvédelmi szempontból kedvező alapértelmezett beállítások (GDPR 25. cikk (2) bekezdés)

Az alábbi intézkedések célja annak biztosítása, hogy adatvédelmi incidensek esetén bejelentési folyamatok induljanak el:

• Az adatvédelem megsértésének bejelentési folyamata az Art. GDPR 4. 12. sz. a felügyeleti hatóságoknak (GDPR 33. cikk)

• Az adatvédelmi incidensek bejelentési folyamata az Art. GDPR 4. sz. 12. cikk szerinti tájékoztatás az érintettek részére (GDPR 34. cikk)

5.4 A rendelés ellenőrzése

A következő intézkedések biztosítják, hogy a személyes adatok csak az utasításoknak megfelelően dolgozhatók fel:

• A vállalkozónak adott írásbeli utasítások vagy szöveges utasítások (pl. adatfeldolgozási megállapodáson keresztül).

• Az adatok megsemmisítésének biztosítása a megrendelés teljesítése után, például a megfelelő visszaigazolások bekérésével.

• A vállalkozók megerősítése arról, hogy saját alkalmazottaikat is kötelezik az adattitok megtartására (jellemzően az adatfeldolgozási megállapodásban).

• a vállalkozók gondos kiválasztása (különösen az adatbiztonság tekintetében)

• A vállalkozók és tevékenységeik folyamatos felülvizsgálata

• Az adatok megsemmisítésének biztosítása a megrendelés teljesítése után, például a megfelelő visszaigazolások bekérésével.

1.3. verzió, hatályos 2024. április 10-én.