ADATFELDOLGOZÁSI MEGÁLLAPODÁS
1. Preambulum
Jelen megállapodás az i-Cell Informatikai Fejlesztő és Szolgáltató Kft. (székhely és levelezési cím: 1037 Budapest Bécsi út 269.) mint Szolgáltató (továbbiakban: „Szolgáltató”) és útdíjfizetésre kötelezett ügyfele mint Ügyfél („Ügyfél”) között az útdíjbevallás közreműködői szolgáltatás tárgyában létrejött szerződés teljesítése során elvégzendő adatfeldolgozási tevékenységet szabályozza, amely a Szolgáltató Általános Szerződési Feltételeinek 2. számú mellékletét képezi („Megállapodás”).
2. A Megállapodás tárgya és időtartama
(1) A Megállapodás tárgya
A felek között útdíjbevallás közreműködői szolgáltatás tárgyában létrejött szerződésben („Szerződés”) meghatározott szolgáltatásokkal összefüggő adatfeldolgozás, mely során a Szolgáltató a következő adatkezelési műveleteket hajtja végre az Ügyfél részére:
- a jogszabályok által előírt úthasználati bevallás teljesítése érdekében a Szolgáltató az Ügyfél fedélzeti eszköze által gyűjtött GPS koordináta adatokat a bevallás teljesítésére alkalmassá teszi, ehhez a szükséges informatikai feladatokat ellátja;
- a fedélzeti eszköz által gyűjtött, informatikailag megfelelő jármű adatokat a NÚSZ Zrt. által mindenkor meghatározott műszaki, informatika kritériumrendszerét kielégítő formátumban továbbítja a NÚSZ Zrt által üzemeltetett útdíjfizetési rendszerbe,
- az adatokat a NÚSZ Zrt. ÁSZF-jében előírt időtartamra és feltételek szerint tárolja.
(2) A Megállapodás időtartama
A Megállapodás időtartama megegyezik a Szerződés időtartamával.
3. A Megállapodás tartalma
(1) Az adatfeldolgozás jellegének és céljának meghatározása
Az adatfeldolgozás célja, az Ügyfél által hozzáférhetővé tett személyes adatok felhasználása abból a célból, hogy az Szolgáltató a Szerződésben meghatározott szolgáltatás(oka)t teljesítse.
Szolgáltató az Ügyfél megbízásából kezelt adatokat kizárólag a Megállapodás teljesítéséhez használhatja fel.
Adatfeldolgozási műveleteket Szolgáltató csak az Ügyfél dokumentált utasítása alapján hajthat végre. Érdemi döntés meghozatalára az adatkezeléssel kapcsolatban Szolgáltató nem jogosult.
(2) Az adatfeldolgozás az alábbi adattípusokat/ adatkategóriákat érinti:
útvonal adatok, járművek GPS koordinátái
(3) Az érintettek kategóriái a következők:
ügyfelek, járművezetők
(4) Az adatfeldolgozás helye:
Az adatfeldolgozás kizárólag az Európai Unió (EU) vagy az Európai Gazdasági Térség (EGT) tagállamai terüIetén folytatható.
Nem EU vagy nem EGT tagállamba való adattovábbítás csak akkor történhet, ha azt az Ügyfél kifejezetten engedélyezte. Szolgáltató köteles az Ügyfelet minden ilyen esetben írásban, megfelelő dokumentációval alátámasztva tájékoztatni arról, hogy az adattovábbítás megfelelő védelmét hogyan biztosította.
4. Technikai és szervezési intézkedések
(1) Szolgáltató köteles az adatkezelés biztonságát megfelelő technikai és szervezési intézkedésekkel biztosítani akként, hogy az intézkedések garantálják a kockázatoknak megfelelő adatbiztonságot, így különösen a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét.
(2) Kérésre a Szolgáltató köteles az Ügyfelet írásban, teljes körűen és részletesen tájékoztatni a ténylegesen megtett intézkedéseiről.
5. Adatok helyesbítése, korlátozása vagy törlése
(1) Szolgáltató saját döntése alapján nem helyesbítheti, korlátozhatja vagy törölheti az Ügyfél megbízásából kezelt adatokat.
(2) Amennyiben az érintett a feldolgozás helyesbítésével, korlátozásával vagy törlésével kapcsolatban Szolgáltatót közvetlenül megkeresi, Szolgáltató köteles az érintett kérését késedelem nélkül továbbítani az Ügyfél felé.
(3) Amennyiben az Ügyfél úgy rendelkezik, a Szolgáltató köteles biztosítani az érintett törléshez, valamint a felejtéshez, korlátozáshoz, helyesbítéshez, adathordozhatósághoz és adathozzáféréshez való jogának érvényesülését, illetve az Ügyfél utasításai alapján az érintett kérelmét megválaszolni és a vonatkozó intézkedéseket megtenni.
6. Szolgáltató egyéb kötelezettségei
Szolgáltató szerződéses kötelezettségei mellett köteles a GDPR 28–33. cikkelyeiben előírt követelmények betartásával eljárni. Ennek megfelelően Szolgáltató köteles biztosítani különösen az alábbi követelményeknek való megfelelést:
- a) Ügyfél utasítási jogának érvényre juttatása a GDPR 28. cikkelyének (3) bekezdése a) pontjának megfelelően, valamint a GDPR 29. cikkelye és a 32. cikkely (4) bekezdésében meghatározottak szerint. Ha jogszabály másképpen nem rendeli, Szolgáltató és minden, Szolgáltató irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy, az adatokat kizárólag az Ügyfél utasítása alapján, a Megállapodásban (és adott esetben a Szerződésben) meghatározott kereteken belül kezelheti.
- b) Titoktartási kötelezettség biztosítása a GDPR 28. cikkelyének (3) bekezdése b) pontjának megfelelően. Szolgáltató kizárólag olyan alkalmazottat von be a Megállapodás szerinti adatfeldolgozási műveletekbe, aki titoktartási kötelezettség hatálya alatt áll, és akit korábban tájékoztattak a munkájával kapcsolatos adatvédelmi előírásokról.
- c) A Megállapodás teljesítéséhez szükséges minden technikai és szervezési intézkedést a GDPR 32. cikkelyével összhangban kell meghozni.
- d) Ügyfél és Szolgáltató feladatai végrehajtása során a felügyeleti hatósággal – annak megkeresése alapján – együttműködik.
- e) Szolgáltató késlekedés nélkül tájékoztatja az Ügyfelet a felügyeleti hatóság által folytatott vizsgálatokról, illetve az általa hozott intézkedésekről, amennyiben azok érintik a Megállapodás szerinti szolgáltatást. Szolgáltató tájékoztatási kötelezettsége akkor is fennáll, ha az illetékes szerv által folytatott eljárás a Szolgáltató ellen folyik vagy az eljárásban egyébként Szolgáltató részt vesz, mely eljárás a jelen Megállapodás szerinti adatfeldolgozással kapcsolatos polgárjogi, büntetőjogi vagy közigazgatási vagy más eljárásjogi rendelkezés megsértése miatt indul.
- f) Szolgáltató köteles minden ésszerű erőfeszítést megtenni Ügyfél támogatására, amennyiben Ügyfél ellen a felügyeleti hatóság vizsgálatot indít, ellene közigazgatási, szabálysértési vagy bűntető eljárás indul, vagy vele szemben az érintett vagy harmadik fél, vagy bármely más személy követelést támaszt a jelen Megállapodás keretében végzett adatfeldolgozással kapcsolatban.
- g) Szolgáltató köteles rendszeresen ellenőrizni a belső folyamatait, technikai és szervezési intézkedéseit annak biztosítása érdekében, hogy saját felelősségi körében az adatfeldolgozás összhangban legyen az alkalmazandó adatvédelmi jogszabályokkal és az érintettek jogainak védelmével.
- h) Szolgáltató köteles biztosítani Ügyfél ellenőrzési jogát a Szolgáltató által hozott intézkedéseket illetően a Megállapodás 7. pontjában szabályozott ellenőrzési jogának megfelelően.
- i) Szolgáltató a GDPR 30. cikkének (2) bekezdése szerinti nyilvántartást vezet az adatkezelési tevékenységéről.
7. További adatfeldolgozó igénybevétele
(1) A Megállapodás alkalmazásában alvállalkozó igénybevétele olyan szolgáltatást jelent, amely a Megállapodás szerinti főszolgáltatást, azaz az adatfeldolgozói tevékenységet közvetlenül érinti. Nem tartoznak ide a kapcsolódó szolgáltatások, mint pl. a telekommunikációs szolgáltatások, postai, szállítási, karbantartási és a felhasználói támogatásra vonatkozó szolgáltatások, valamint az adathordozók adásvétele, sem pedig azon intézkedések, melyek a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét hivatottak biztosítani (továbbiakban: „Kapcsolódó szolgáltatások”). Szolgáltató azonban köteles megfelelő, megállapodást kötni és megfelelő ellenőrző intézkedéseket hozni az Ügyfél megbízásából kezelt adatainak védelme és biztonsága érdekében még a Kapcsolódó szolgáltatások kiszervezése esetén is.
(2) Szolgáltató csak azt követően vehet igénybe alvállalkozót (további adatfeldolgozót), ha ehhez az Ügyfél kifejezett írásbeli, vagy más módon dokumentált hozzájárulását beszerezte.
(2) További adatfeldolgozó igénybevétele vagy a meglévő további adatfeldolgozó lecserélése akkor megengedett, ha:
- a) Szolgáltató – írásban vagy más dokumentált formában – előzetesen, kellő időben tájékoztatja az Ügyfelet, és
- b) az Ügyfél az adatok – további Szolgáltató részére történő – átadásának időpontjáig nem emel kifogást írásban vagy más dokumentált formában a tervezett kiszervezés ellen, és
- c) a további adatfeldolgozó a GDPR 28. cikkely 2-4 bekezdéseinek megfelelő megállapodáson alapul.
(4) Szolgáltató csak azt követően adhatja át a személyes adatokat a további adatfeldolgozónak, illetve az csak azt követően kezdheti meg az adatok feldolgozását, ha az összes előírt követelmény teljesült.
(5) További adatfeldolgozó általi további kiszervezés előfeltétele az Ügyfél kifejezett hozzájárulása dokumentált formában.
(6) Szolgáltató köteles minden egyes további adatfeldolgozóra a jelen Megállapodás szerinti adatvédelmi kötelezettségeket előírni.
(7) Szolgáltató sajátjaként felel az igénybevett további adatfeldolgozó tevékenységéért, illetve az adatvédelmi követelményeknek való megfeleléséért.
8. Ügyfél ellenőrzési joga
Szolgáltató köteles segítséget nyújtani Ügyfélnek abban, hogy az ellenőrizhesse a GDPR 28. cikkelyében előírt kötelezettségek Szolgáltató részéről történő teljesítését. Szolgáltató vállalja, hogy kérésre átadja Ügyfél számára azokat a szükséges információkat, amelyek igazolják, hogy a technikai és szervezési intézkedések megtörténtek.
9. Szolgáltató adatbiztonsággal kapcsolatos további kötelezettségei
(1) Szolgáltató köteles Ügyfélnek segítséget nyújtani a GDPR 32.–36. cikkelyeiben hivatkozott, a személyes adatok biztonságával, adatvédelmi incidensek jelentésével, adatvédelmi hatásvizsgálattal és előzetes konzultációval kapcsolatos követelmények teljesítéséhez. Ide tartoznak az alábbiak:
- a) Megfelelő szintű védelem biztosítása a technikai és szervezési intézkedések révén figyelembe véve az adatfeldolgozás körülményeit és célját, valamint a biztonsági sérülékenység miatt bekövetkező esetleges jogsértés valószínűségét és súlyosságát, és amely intézkedések lehetővé teszik a jogsértések azonnali észlelését.
- b) Az adatvédelmi incidens indokolatlan késedelem nélküli jelentése Ügyfél felé.
- c) Ügyfél támogatása abban, hogy Ügyfél teljesíteni tudja tájékoztatási kötelezettségét az érintett felé, és ezzel kapcsolatban minden vonatkozó információ átadása Ügyfél részére indokolatlan késedelem nélkül.
- d) Ügyfél támogatása az adatvédelmi hatásvizsgálatokkal kapcsolatban
- e) Ügyfél támogatása a felügyeleti hatósággal való előzetes konzultációt illetően
10. Ügyfél utasítási jogköre
(1) Ügyfél köteles a szóban adott utasításokat indokolatlan késedelem nélkül írásban is megerősíteni.
(2) Szolgáltató köteles az Ügyfelet haladéktalanul tájékoztatni arról, ha véleménye szerint valamely utasítás sérti az adatvédelmi előírásokat, ugyanakkor az utasítás puszta elfogadása nem jelenti azt, vagy utal arra, hogy az utasítás megfelel az adatvédelmi előírásoknak. Szolgáltató a kérdéses utasítások végrehajtását mindaddig felfüggesztheti, amíg Ügyfél meg nem erősíti vagy nem módosítja azokat.
11. Személyes adatok törlése és visszaszolgáltatása
(1) Az adatokról másolat vagy másodpéldány Ügyfél tudta nélkül nem készíthető. Kivételt képeznek a biztonsági másolatok, amennyiben azok az adatok szerződésszerű feldolgozásához szükségesek, valamint, amelyek a jogszabályban előírt megőrzésre vonatkozó előírásoknak való megfelelést szolgálják.
(2) A Megállapodás teljesítését követően, vagy Ügyfél kérésére azt megelőzően is, de legkésőbb a Szerződés megszűnésekor Szolgáltató köteles Ügyfélnek átadni – vagy előzetes jóváhagyás esetén megsemmisíteni minden Szolgáltató birtokába került dokumentumot, valamint a feldolgozás és felhasználás eredményeit és a Szerződéssel kapcsolatos adatkészleteket is az adatvédelmi rendelkezéseknek megfelelő módon. Ugyanez vonatkozik minden kapcsolódó tesztre, felesleges és kiselejtezett anyagra. Erre irányuló kérés esetén Szolgáltató köteles a megsemmisítési vagy törlési naplót Ügyfélnek bemutatni.
(3) Az adatfeldolgozás megfelelőségét és szerződésszerűségét igazoló dokumentációt Szolgáltató jelen Megállapodás megszűnését követően is köteles megőrizni a vonatkozó adatmegőrzési előírásoknak megfelelően.
12. Egyéb rendelkezések
(1) Felek kijelentik, hogy a Megállapodás alapján ellátott feladatok ellátásáért Ügyfelet fizetési kötelezettség nem terheli. Szolgáltató a Megállapodás alapján díjra, költségre nem tarthat igényt.
(2) A jelen Megállapodás alkalmazása szempontjából írásban közölt, illetve dokumentált tájékoztatásnak kell tekinteni a fél képviselőjének vagy kapcsolattartójának küldött e-maileket is.
(3) Felek kijelentik, hogy közöttük a Megállapodáson felül annak megkötésekor, annak szabályozási körében egyéb szóbeli vagy írásbeli megállapodás nem létezik, amennyiben ilyen létezne, azt hatálytalannak tekintik.
(4) A jelen Megállapodásban használt szavakat és kifejezéseket elsősorban a GDPR alapján kell értelmezni.
(5) Felek a jelen Megállapodásból eredő jogviszonyukban kikötik a GDPR és a magyar jog alkalmazását.
