2021.6.7.   

HU

Az Európai Unió Hivatalos Lapja

L 199/31


A BIZOTTSÁG (EU) 2021/914 VÉGREHAJTÁSI HATÁROZATA

(2021. június 4.)

az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről

(EGT-vonatkozású szöveg)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (1) és különösen annak 28. cikke (7) bekezdésére és 46. cikke (2) bekezdésének c) pontjára,

mivel:

(1)

A technológiai fejlődés megkönnyíti az adatok nemzetközi áramlását, amely a nemzetközi együttműködés és a nemzetközi kereskedelem bővítéséhez szükséges. Ugyanakkor biztosítani kell, hogy a személyes adatok harmadik országokba történő továbbításakor – a további adattovábbítás eseteit is beleértve – ne sérüljön a természetes személyeknek az (EU) 2016/679 rendelet által garantált védelmi szintje (2). Az (EU) 2016/679 rendelet V. fejezetében foglalt adattovábbítási rendelkezések célja e magas szintű védelem folytonosságának biztosítása a személyes adatok harmadik országba történő továbbítása esetén (3).

(2)

Az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében a 45. cikk (3) bekezdése szerinti bizottsági megfelelőségi határozat hiányában az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha megfelelő garanciákat nyújtott be, és feltéve, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Ilyen garanciákat a Bizottság által a 46. cikk (2) bekezdésének c) pontja alapján elfogadott általános adatvédelmi kikötések írhatnak elő.

(3)

Az általános szerződési feltételek szerepe a nemzetközi adattovábbításra vonatkozó megfelelő adatvédelmi garanciák biztosítására korlátozódik. Ezért a személyes adatokat harmadik országba továbbító adatkezelő vagy adatfeldolgozó (a továbbiakban: adatátadó) és a személyes adatokat átvevő adatkezelő vagy adatfeldolgozó (a továbbiakban: adatátvevő) szabadon belefoglalhatja ezeket az általános szerződési feltételeket egy szélesebb körű szerződésbe, és egyéb feltételekkel vagy további garanciákkal is kiegészítheti, feltéve, hogy azok sem közvetlenül, sem közvetve nem ellentétesek az általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait vagy szabadságait. Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános szerződési feltételeket kiegészítő szerződéses kötelezettségvállalások útján további garanciákat nyújtsanak (4). Az általános szerződési feltételek alkalmazása nem érinti az adatátadónak és/vagy az adatátvevőnek az alkalmazandó kiváltságok és mentességek tiszteletben tartásának biztosítására vonatkozó szerződéses kötelezettségeit.

(4)

Az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése szerinti adattovábbításra vonatkozó megfelelő garanciák biztosítása érdekében az általános szerződési feltételek alkalmazásán túl az adatátadónak teljesítenie kell az (EU) 2016/679 rendelet szerinti, adatkezelői vagy adatfeldolgozói általános feladatait. E feladatok közé tartozik az adatkezelő azon kötelezettsége, hogy tájékoztassa az érintetteket arról, hogy személyes adataikat az (EU) 2016/679 rendelet 13. cikke (1) bekezdésének e) pontja és 14. cikke (1) bekezdésének f) pontja alapján harmadik országba szándékozik továbbítani. Az (EU) 2016/679 rendelet 46. cikke szerinti adattovábbítás esetében, e tájékoztatásnak tartalmaznia kell a megfelelő garanciákra és azon módokra való hivatkozást, ahogy meg lehet szerezni azok másolatát vagy rendelkezésre bocsátásuk esetén az információkat.

(5)

A 2001/497/EK (5) és a 2010/87/EU bizottsági határozat (6) általános szerződési feltételeket tartalmaz, amelyek megkönnyítik a személyes adatoknak az Unióban székhellyel rendelkező adatkezelőtől egy olyan, harmadik országban székhellyel rendelkező adatkezelőhöz vagy adatfeldolgozóhoz történő továbbítását, amely nem nyújt megfelelő szintű védelmet. Ezek a határozatok a 95/46/EK európai parlamenti és tanácsi irányelven (7) alapultak.

(6)

Az (EU) 2016/679 rendelet 46. cikkének (5) bekezdése értelmében a 2001/497/EK határozat és a 2010/87/EU határozat mindaddig hatályban marad, amíg azokat szükség esetén az említett rendelet 46. cikkének (2) bekezdése alapján elfogadott bizottsági határozat nem módosítja, fel nem váltja vagy hatályon kívül nem helyezi. A határozatokban szereplő általános szerződési feltételek az (EU) 2016/679 rendelet új követelményeinek fényében frissítésre szorultak. Ezenkívül a határozatok elfogadása óta a digitális gazdaság jelentős fejlődésen ment keresztül: az új és összetettebb adatkezelési műveletek széles körben elterjedtek, gyakran több adatátvevőt és adatátadót, hosszú és összetett adatkezelési láncot, valamint folyamatosan fejlődő üzleti kapcsolatokat foglalnak magukban. Ez szükségessé teszi az általános szerződési feltételek korszerűsítését annak érdekében, hogy azok jobban tükrözzék ezeket a realitásokat, lefedve a további adatkezelési és -továbbítási helyzeteket, és hogy rugalmasabb megközelítést tegyenek lehetővé, például a szerződéshez csatlakozni képes felek számát illetően.

(7)

Az adatkezelő vagy adatfeldolgozó felhasználhatja az e határozat mellékletében meghatározott általános szerződési feltételeket annak érdekében, hogy az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében megfelelő garanciákat nyújtson a személyes adatoknak a harmadik országban székhellyel rendelkező adatfeldolgozó vagy adatkezelő részére történő továbbítására vonatkozóan, a nemzetközi adattovábbításnak az (EU) 2016/679 rendeletben szereplő fogalma értelmezésének sérelme nélkül. Az általános szerződési feltételek csak abban az esetben alkalmazhatók ilyen adattovábbításra, ha az adatátvevő általi adatkezelés nem tartozik az (EU) 2016/679 rendelet hatálya alá. Ez magában foglalja a személyes adatoknak az Unióban székhellyel nem rendelkező adatkezelő vagy adatfeldolgozó általi továbbítását is, amennyiben az adatkezelés az (EU) 2016/679 rendelet hatálya alá tartozik (az említett rendelet 3. cikkének (2) bekezdése alapján), mivel az kiterjed az áruk vagy szolgáltatások EU-n belüli, érintettek részére történő nyújtására vagy az érintettek viselkedésének nyomon követésére, amennyiben az adatkezelésre az EU-n belül kerül sor.

(8)

Az (EU) 2016/679 rendelet és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (8) általános összehangolására tekintettel lehetővé kell tenni, hogy az általános szerződési feltételek az (EU) 2018/1725 rendelet 29. cikkének (4) bekezdésében hivatkozottak szerint alkalmazhatók legyenek olyan személyesadat-továbbításokra is, amelyeket nem uniós intézményként vagy szervként eljáró, azonban az (EU) 2016/679 rendelet hatálya alá tartozó és a személyes adatokat az (EU) 2018/1725 rendelet 29. cikkével összhangban uniós intézmény vagy szerv nevében kezelő adatfeldolgozó végez harmadik országban található további adatfeldolgozó számára. Feltéve, hogy a szerződés az adatkezelő és az adatfeldolgozó közötti, az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdése szerinti szerződésben vagy egyéb jogi aktusban meghatározott adatvédelmi kötelezettségeket tükrözi, különösen azáltal, hogy megfelelő garanciákat nyújt a technikai és szervezési intézkedésekre vonatkozóan annak biztosítása érdekében, hogy az adatkezelés megfeleljen az említett rendelet követelményeinek, ez biztosítja az (EU) 2018/1725 rendelet 29. cikke (4) bekezdésének való megfelelést. Ez különösen abban az esetben áll fenn, ha az adatkezelő és az adatfeldolgozó az (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (9) 29. cikkének (7) bekezdése alapján elfogadott, az adatkezelők és az adatfeldolgozók közötti általános szerződési feltételekről szóló bizottsági végrehajtási határozatban foglalt általános szerződési feltételeket alkalmazza.

(9)

Amennyiben az adatkezelés az (EU) 2016/679 rendelet hatálya alá tartozó adatkezelőktől a területi hatályán kívül eső adatfeldolgozók részére vagy az (EU) 2016/679 rendelet hatálya alá tartozó adatfeldolgozóktól a területi hatályán kívül eső további adatfeldolgozók részére történő adattovábbítással jár, az e határozat mellékletében meghatározott általános szerződési feltételeknek lehetővé kell tenniük az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében foglalt követelmények teljesítését is.

(10)

Az e határozat mellékletében meghatározott általános szerződési feltételek az általános szerződési feltételeket moduláris megközelítéssel ötvözik a különböző adattovábbítási forgatókönyvek és a modern adatkezelési láncok összetettségének figyelembevétele érdekében. Az általános feltételek mellett az adatkezelőknek és adatfeldolgozóknak ki kell választaniuk a helyzetükre alkalmazandó modult annak érdekében, hogy az általános szerződési feltételek szerinti kötelezettségeiket a szóban forgó adatkezeléssel kapcsolatos szerepükhöz és feladataikhoz igazítsák. Lehetővé kell tenni, hogy kettőnél több fél csatlakozhasson az általános szerződési feltételekhez. Ezen túlmenően a további adatkezelők és adatfeldolgozók számára lehetővé kell tenni, hogy adatátadóként vagy adatátvevőként csatlakozzanak az általános szerződési feltételekhez azon szerződés teljes életciklusa alatt, amelynek részét képezik.

(11)

A megfelelő garanciák biztosítása érdekében az általános szerződési feltételeknek biztosítaniuk kell, hogy az ezen az alapon továbbított személyes adatok az Unióban garantálttal lényegében egyenértékű védelmi szintet élvezzenek (10). Az adatkezelés átláthatóságának biztosítása érdekében az érintettek rendelkezésére kell bocsátani az általános szerződési feltételek egy példányát, és tájékoztatni kell őket különösen a kezelt személyes adatok kategóriáiról, az általános szerződési feltételek másolatának beszerzéséhez való jogról és minden további továbbításról. Az adatátvevő által egy másik harmadik országban lévő harmadik fél részére történő adattovábbítás csak akkor engedélyezhető, ha a harmadik fél csatlakozik az általános szerződési feltételekhez, ha a védelem folyamatossága más módon biztosított, vagy különleges helyzetekben, például az érintett kifejezett, tájékoztatáson alapuló hozzájárulása alapján.

(12)

Néhány kivételtől eltekintve, különösen bizonyos kötelezettségek tekintetében, amelyek kizárólag az adatátadó és az adatátvevő közötti kapcsolatot érintik, az érintettek számára lehetővé kell tenni, hogy harmadik fél kedvezményezettként hivatkozhassanak az általános szerződési feltételekre, és adott esetben érvényesíthessék azokat. Ezért, bár a felek számára lehetővé kell tenni, hogy az általános szerződési feltételeket szabályozó valamely tagállam jogát válasszák, e jognak biztosítania kell a harmadik fél kedvezményezettek jogait. Az egyéni jogorvoslat megkönnyítése érdekében az általános szerződési feltételeknek elő kell írniuk az adatátvevő számára, hogy tájékoztassa az érintetteket a kapcsolattartó pontról, és haladéktalanul foglalkozzon a panaszokkal vagy kérelmekkel. Az adatátvevő és a harmadik félként őt megillető jogokra hivatkozó érintett közötti vita esetén lehetővé kell tenni, hogy az érintett panaszt nyújtson be az illetékes felügyeleti hatósághoz, vagy a jogvitát az illetékes uniós bíróságok elé utalja.

(13)

A hatékony végrehajtás biztosítása érdekében az adatátvevőt kötelezni kell arra, hogy elfogadja az említett hatóság és bíróságok illetékességét, és kötelezettséget vállaljon arra, hogy az alkalmazandó tagállami jog értelmében betartja a kötelező erejű határozatokat. Az adatátvevőnek vállalnia kell, hogy válaszol a megkeresésekre, aláveti magát az ellenőrzéseknek, és betartja a felügyeleti hatóság által elfogadott intézkedéseket, beleértve a korrekciós és kompenzációs intézkedéseket is. Ezen túlmenően az adatátvevő számára lehetőséget kell biztosítani arra, hogy költségmentesen lehetőséget biztosítson az érintettek számára arra, hogy független vitarendezési testület előtt jogorvoslatért folyamodjanak. Az (EU) 2016/679 rendelet 80. cikkének (1) bekezdésével összhangban lehetővé kell tenni, hogy az érintetteket egyesületek vagy más szervek képviseljék az adatátvevővel szembeni jogvitákban, amennyiben úgy kívánják.

(14)

Az általános szerződési feltételeknek szabályokat kell tartalmazniuk a felek közötti és az érintettekkel kapcsolatos felelősségre, valamint a felek közötti kártalanításra vonatkozóan. Amennyiben az érintett anyagi vagy nem vagyoni kárt szenved a kedvezményezett harmadik személy általános szerződési feltételek szerinti jogainak megsértése következtében, kártérítésre jogosultnak kell lennie. Ez nem sértheti az (EU) 2016/679 rendelet szerinti felelősséget.

(15)

Az adatfeldolgozóként vagy további adatfeldolgozóként eljáró adatátvevő részére történő adattovábbítás esetében az (EU) 2016/679 rendelet 28. cikkének (3) bekezdésével összhangban egyedi követelményeket kell alkalmazni. Az általános szerződési feltételeknek elő kell írniuk az adatátvevő számára, hogy bocsásson rendelkezésre minden olyan információt, amely a feltételekben meghatározott kötelezettségeknek való megfelelés igazolásához, valamint az adatátadó adatkezelési tevékenységeinek ellenőrzéséhez szükséges. Az (EU) 2016/679 rendelet 28. cikkének (2) és (4) bekezdésével összhangban bármely további feldolgozónak az adatátvevő általi bevonása tekintetében az általános szerződési feltételeknek meg kell határozniuk különösen az adatátadó általános vagy egyedi felhatalmazására vonatkozó eljárást, valamint a további adatfeldolgozóval kötött írásbeli szerződésre vonatkozó követelményt, amely ugyanolyan szintű védelmet biztosít, mint a feltételek.

(16)

Helyénvaló az általános szerződési feltételekben olyan különböző garanciákat nyújtani, amelyek lefedik a személyes adatoknak az Unión belüli adatfeldolgozó által harmadik országbeli adatkezelő részére történő továbbításának konkrét helyzetét, és tükrözik az adatfeldolgozóknak az (EU) 2016/679 rendelet szerinti korlátozott önálló kötelezettségeit. Az általános szerződési feltételeknek különösen elő kell írniuk az adatfeldolgozó számára, hogy tájékoztassa az adatkezelőt, ha nem tudja követni az utasításait, ideértve azt is, ha az ilyen utasítások sértik az uniós adatvédelmi jogot, és elő kell írnia az adatkezelő számára, hogy tartózkodjon minden olyan intézkedéstől, amely megakadályozná az adatfeldolgozót az (EU) 2016/679 rendelet szerinti kötelezettségei teljesítésében. Ezenkívül elő kell írniuk azt is, hogy a felek segítséget nyújtsanak egymásnak az adatátvevőre alkalmazandó helyi jog vagy – az Unión belüli adatkezelés esetén – az (EU) 2016/679 rendelet alapján az érintettek által benyújtott megkeresések és kérelmek megválaszolásában. Abban az esetben, ha az uniós adatfeldolgozó a harmadik országbeli adatkezelőtől kapott személyes adatokat az Unióban gyűjtött személyes adatokkal kombinálja, további követelményeknek kell vonatkozniuk annak kezelésére, hogy a rendeltetési hely szerinti harmadik ország jogszabályai milyen hatást gyakorolnak az adatkezelőnek a rendelkezéseknek való megfelelésére, különös tekintettel arra, hogy miként kell kezelni a harmadik ország hatóságainak a továbbított személyes adatok közlésére irányuló kötelező érvényű megkereséseit. Ezzel szemben az ilyen követelmények nem indokoltak, ha a kiszervezés csupán az adatkezelőtől kapott személyes adatok kezelését és visszaküldését foglalja magában, és minden esetben a szóban forgó harmadik ország joghatósága alá tartozott és tartozik.

(17)

A feleknek képesnek kell lenniük annak igazolására, hogy eleget tesznek az általános szerződési feltételek szerinti kötelezettségeiknek. Az adatátvevő számára elő kell írni különösen, hogy őrizze meg a felelősségi körébe tartozó adatkezelési tevékenységekhez szükséges megfelelő dokumentációt, és haladéktalanul tájékoztassa az adatátadót, ha bármilyen okból nem képes megfelelni a feltételeknek. Az adatátadónak pedig fel kell függesztenie az adattovábbítást és különösen súlyos esetekben jogában áll felmondani a szerződést, amennyiben az az általános szerződési feltételek szerinti személyesadat-kezelésre vonatkozik, ha az adatátvevő megsérti a feltételeket vagy nem tudja betartani azokat. Különleges szabályokat kell alkalmazni abban az esetben, ha a helyi jogszabályok hatással vannak a feltételeknek való megfelelésre. Azokat a személyes adatokat, amelyeket a szerződés megszűnése előtt továbbítottak, vagy azok másolatait az adatátadó választása szerint haladéktalanul vissza kell juttatni az adatátadónak, vagy teljes egészében meg kell semmisíteni.

(18)

Az általános szerződési feltételeknek – különösen a Bíróság ítélkezési gyakorlatának fényében (11) – konkrét biztosítékokat kell nyújtaniuk annak érdekében, hogy kezelni lehessen a rendeltetési hely szerinti harmadik ország jogszabályainak a hatásait az adatátvevő feltételeknek való megfelelésére, különös tekintettel arra, hogy miként kell kezelni az adott ország hatóságaitól érkező, a továbbított személyes adatok közlésére irányuló kötelező érvényű kérelmeket.

(19)

A személyes adatok általános szerződési feltételek alapján történő továbbítására és kezelésére nem kerülhet sor, ha a rendeltetési hely szerinti harmadik ország jogszabályai és gyakorlata megakadályozzák, hogy az adatátvevő megfeleljen a feltételeknek. E tekintetben azok a törvények és gyakorlatok, amelyek tiszteletben tartják az alapvető jogok és szabadságok lényegét, és nem haladják meg azt a mértéket, amely egy demokratikus társadalomban az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célkitűzések egyikének biztosításához szükséges és arányos, nem tekinthetők az általános szerződési feltételekkel ellentétesnek. A feleknek garantálniuk kell, hogy az általános szerződési feltételek elfogadásakor nincs okuk azt feltételezni, hogy az adatátvevőre alkalmazandó jogszabályok és gyakorlatok nem felelnek meg ezeknek a követelményeknek.

(20)

A feleknek figyelembe kell venniük különösen a továbbítás sajátos körülményeit (mint például a szerződés tartalma és időtartama, a továbbítandó adatok jellege, a címzett típusa, az adatkezelés célja), a rendeltetési hely szerinti harmadik országnak az adattovábbítás körülményeire tekintettel releváns jogszabályait és gyakorlatait, valamint az általános szerződési feltételekben foglaltak kiegészítésére bevezetett garanciákat (ideértve a személyes adatok továbbítására és a rendeltetési országban történő kezelésére vonatkozó szerződéses, technikai és szervezési intézkedéseket). Ami az ilyen törvényeknek és gyakorlatoknak az általános szerződési feltételeknek való megfelelésre gyakorolt hatását illeti, az átfogó értékelés részeként különböző elemeket lehet figyelembe venni, ideértve a jog gyakorlati alkalmazására vonatkozó megbízható információkat (például az ítélkezési gyakorlatot és a független felügyeleti szervek jelentéseit), a kérelmek meglétét vagy hiányát ugyanabban az ágazatban, valamint szigorú feltételek mellett az adatátadó és/vagy adatátvevő dokumentált gyakorlati tapasztalatát.

(21)

Az adatátvevőnek értesítenie kell az adatátadót, ha az általános szerződési feltételek elfogadását követően okkal feltételezi, hogy nem képes megfelelni az általános szerződési feltételeknek. Ha az adatátadó ilyen értesítést kap, vagy más módon tudomást szerez arról, hogy az adatátvevő már nem képes megfelelni az általános szerződési feltételeknek, meg kell határoznia a helyzet kezeléséhez szükséges megfelelő intézkedéseket, szükség esetén az illetékes felügyeleti hatósággal konzultálva. Az ilyen intézkedések közé tartozhatnak az adatátadó és/vagy az adatátvevő által elfogadott kiegészítő intézkedések, például a biztonság és a titoktartás biztosítása érdekében hozott technikai vagy szervezési intézkedések. Az adatátadót kötelezni kell arra, hogy függessze fel az adattovábbítást, ha úgy ítéli meg, hogy nem biztosíthatók a megfelelő garanciák, vagy ha az illetékes felügyeleti hatóság erre utasítást ad.

(22)

Amennyiben lehetséges, az adatátvevőnek értesítenie kell az adatátadót és az érintettet, ha a rendeltetési ország joga szerinti nemzeti hatóságtól (ideértve az igazságügyi hatóságokat) jogilag kötelező érvényű kérelmet kap az általános szerződési feltételek alapján továbbított személyes adatok közlésére. Hasonlóképpen értesítenie kell őket, ha tudomást szerez arról, hogy a hatóságok a rendeltetési hely szerinti harmadik ország jogával összhangban közvetlenül hozzáférnek az ilyen személyes adatokhoz. Amennyiben az adatátvevő – minden erőfeszítése ellenére – nincs abban a helyzetben, hogy értesítse az adatátadót és/vagy az érintettet a konkrét nyilvánosságra hozatali kérelmekről, a lehető legtöbb lényeges információt meg kell adnia az adatátadónak a kérelmekről. Ezenkívül az adatátvevőnek rendszeres időközönként összesített információkat kell szolgáltatnia az adatátadó számára. Az adatátvevő számára elő kell írni továbbá, hogy dokumentálja a tájékoztatásra irányuló, beérkezett kérelmeket és a kapott válaszokat, és kérésre bocsássa az adatátadó vagy az illetékes felügyeleti hatóság vagy mindkettő rendelkezésére ezt az információt. Amennyiben az ilyen kérelem jogszerűségének a rendeltetési ország jogszabályai szerinti felülvizsgálatát követően az adatátvevő arra a következtetésre jut, hogy alapos okkal feltételezhető, hogy a kérelem a rendeltetési hely szerinti harmadik ország jogszabályai szerint jogellenes, azt meg kell támadnia, adott esetben a rendelkezésre álló jogorvoslati lehetőségek kimerítésével. Amennyiben az adatátvevő már nem tudja teljesíteni az általános szerződési feltételeket, erről tájékoztatnia kell az adatátadót, beleértve azt is, ha ez a közlésre irányuló kérelem következménye.

(23)

mivel az érdekelt felek igényei, a technológia és az adatkezelési műveletek változhatnak, a Bizottságnak az (EU) 2016/679 rendelet 97. cikkében említett időszakos értékelés részeként a tapasztalatok fényében értékelnie kell az általános szerződési feltételek alkalmazását.

(24)

A 2001/497/EK és 2010/87/EU határozatok e rendelet hatálybalépésének napját követő három hónap elteltével hatályukat vesztik. Ezen időszak alatt az adatátadók és adatátvevők az (EU) 2016)679 rendelet 46. cikke (1) bekezdésének alkalmazásában továbbra is alkalmazhatják a 2001/497/EK és a 2010/87/EU határozatban meghatározott általános szerződési feltételeket. További 15 hónapig az adatátadók és az adatátvevők számára lehetővé kell tenni, hogy az (EU) 2016/679 rendelet 46. cikke (1) bekezdésének alkalmazásában továbbra is támaszkodhassanak a 2001/497/EK és a 2010/87/EU határozatban meghatározott általános szerződési feltételekre az említett határozatok hatályon kívül helyezése előtt közöttük megkötött szerződések teljesítése tekintetében, feltéve, hogy a szerződés tárgyát képező adatkezelési műveletek változatlanok maradnak, és hogy a szerződési feltételekre való hivatkozás biztosítja, hogy a személyes adatok továbbítására az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében megfelelő garanciák vonatkozzanak. A szerződés lényeges módosítása esetén az adatátadó számára elő kell írni, hogy a szerződés szerinti adattovábbítás tekintetében új jogalapra támaszkodjon, különösen azáltal, hogy a meglévő általános szerződési feltételeket az e határozat mellékletében meghatározott általános szerződési feltételekkel váltja fel. Ugyanez vonatkozik a szerződés hatálya alá tartozó adatkezelési műveletek (további) adatfeldolgozók részére történő alvállalkozásba adására is.

(25)

Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, és a biztos és a testület 2021. január 14-én közös véleményt adott ki (12), amelynek figyelembevételére sor került e határozat előkészítése során.

(26)

Az e határozatban előírt intézkedések összhangban vannak az (EU) 2016/679 rendelet 93. cikke alapján létrehozott bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

(1)   A mellékletben ismertetett általános szerződési feltételek az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése és (2) bekezdésének c) pontja értelmében megfelelő garanciákat nyújtanak a személyes adatoknak a rendelet hatálya alá tartozó adatkezelőtől vagy adatfeldolgozótól (adatátadó) a rendelet hatálya alá nem tartozó adatkezelő vagy (további) adatfeldolgozó (adatátvevő) részére történő továbbításához.

(2)   Az általános szerződési feltételek meghatározzák továbbá az adatkezelők és adatfeldolgozók jogait és kötelezettségeit az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében említett kérdések tekintetében, a személyes adatoknak az adatkezelőtől az adatfeldolgozó részére vagy az adatfeldolgozótól a további adatfeldolgozó részére történő továbbításával kapcsolatban.

2. cikk

Amennyiben az illetékes tagállami hatóságok az (EU) 2016/679 rendelet 58. cikke értelmében korrekciós jogkört gyakorolnak arra válaszul, hogy az adatátvevőre olyan jogszabályok vagy gyakorlatok vonatkoznak vagy fognak vonatkozni a rendeltetési hely szerinti harmadik országban, amelyek megakadályozzák a mellékletben meghatározott általános szerződési feltételek teljesítését, és ez a harmadik országokba irányuló adattovábbítás felfüggesztését vagy megtiltását eredményezi, az érintett tagállam haladéktalanul tájékoztatja a Bizottságot, amely továbbítja az információt a többi tagállamnak.

3. cikk

A Bizottság az (EU) 2016/679 rendelet 97. cikkében előírt időszakos értékelés részeként az összes rendelkezésre álló információ alapján értékeli a mellékletben meghatározott általános szerződési feltételek gyakorlati alkalmazását.

4. cikk

(1)   Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2)   A 2001/497/EK határozat 2021. szeptember 27-én hatályát veszti.

(3)   A 2010/87/EU határozat 2021. szeptember 27-én hatályát veszti.

(4)   A 2001/497/EK határozat vagy a 2010/87/EU határozat alapján 2021. szeptember 27. előtt kötött szerződéseket úgy kell tekinteni, mint amelyek 2022. december 27-ig megfelelő garanciákat nyújtanak az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében, feltéve, hogy a szerződés tárgyát képező adatkezelési műveletek változatlanok maradnak, és az említett feltételekre való hivatkozás biztosítja, hogy a személyes adatok továbbítására megfelelő garanciák vonatkozzanak.

Kelt Brüsszelben, 2021. június 4-én.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN


(1)  HL L 119., 2016.5.4., 1. o.

(2)  Az (EU) 2016/679 rendelet 44. cikke.

(3)  Lásd még a Bíróság C-311/18. sz., Adatvédelmi biztos kontra Facebook Ireland Ltd és Maximillian Schrems (Schrems II) ügyben 2020. július 16-án hozott ítéletének (ECLI:EU:C:2020:559) 93. pontját.

(4)  Az (EU) 2016/679 rendelet (109) preambulumbekezdése.

(5)  A Bizottság 2001/497/EK határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (HL L 181., 2001.7.4., 19. o.).

(6)  A Bizottság 2010/87/EU határozata (2010. február 5.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről (HL L 39., 2010.2.12., 5. o.).

(7)  Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

(8)  Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.); lásd az (5) preambulumbekezdést.

(9)  C(2021)3701.

(10)  A Schrems II ügyben hozott ítélet 96. és 103. pontja. Lásd még az (EU) 2016/679 rendelet (108) és (114) preambulumbekezdését.

(11)  Schrems II.

(12)  Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos 2/2021. sz.közös véleménye a személyes adatoknak az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének c) pontjában említett kérdések tekintetében harmadik országokba történő továbbítására vonatkozó általános szerződési feltételekről szóló európai bizottsági végrehajtási határozatról.


MELLÉKLET

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

I. SZAKASZ

1. feltétel

Cél és alkalmazási kör

a)

Ezen általános szerződési feltételek célja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (1) követelményeinek való megfelelés biztosítása a személyes adatok harmadik országba történő továbbítása tekintetében.

b)

A Felek:

i.

az I. melléklet A. részében felsorolt, személyes adatokat továbbító természetes vagy jogi személy(ek), közigazgatási szerv(ek), ügynökség(ek) vagy egyéb szerv(ek) (a továbbiakban: az adatátadó); valamint

ii.

harmadik országbeli jogalany(ok), amely(ek) az I. melléklet A. részében felsoroltak szerint az adatátadótól közvetlenül vagy közvetve más, szintén e szerződési feltételekben részes jogalanyon keresztül átveszi(k) a személyes adatokat (a továbbiakban külön-külön: az adatátvevő),

elfogadták ezeket az általános szerződési feltételeket (a továbbiakban: „feltételek”).

c)

E feltételek az I. melléklet B. részében meghatározott személyes adatok továbbítására vonatkoznak.

d)

E szerződési feltételek függeléke, amely tartalmazza az ott említett mellékleteket, e feltételek szerves részét képezi.

2. feltétel

A feltételek hatálya és megváltoztathatatlansága

a)

Ezek a feltételek az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése és 46. cikke (2) bekezdésének c) pontja értelmében megfelelő garanciákat – többek között érvényesíthető jogokat és hatékony jogorvoslati lehetőségeket, továbbá az adatkezelők által az adatfeldolgozók részére és/vagy az adatfeldolgozók által az adatfeldolgozók részére történő adattovábbítás tekintetében az (EU) 2016/679 rendelet 28. cikkének (7) bekezdése szerinti általános szerződési feltételeket határoznak meg, feltéve, hogy azokat nem módosítják, kivéve a megfelelő modul(ok) kiválasztását, illetve a függelékben szereplő információk hozzáadását vagy naprakésszé tételét. Ez nem akadályozza meg a Feleket abban, hogy az e szerződési feltételekben meghatározott általános szerződési feltételeket egy szélesebb szerződésbe foglalják és/vagy egyéb záradékokkal vagy kiegészítő garanciákkal egészítsék ki, feltéve, hogy azok sem közvetlenül, sem közvetve nem mondanak ellent ezeknek a feltételeknek, és nem sértik az érintettek alapvető jogait vagy szabadságait.

b)

Ezek a feltételek nem érintik az adatátadóra az (EU) 2016/679 rendelet értelmében háruló kötelezettségeket.

3. feltétel

Harmadik fél kedvezményezettek

a)

Az érintettek harmadik fél kedvezményezettként hivatkozhatnak ezekre a feltételekre és érvényesíthetik azokat az adatátadóval és/vagy adatátvevővel szemben, az alábbi kivételekkel:

i.

1. feltétel, 2. feltétel, 3. feltétel, 6. feltétel, 7. feltétel;

ii.

8. feltétel – Első modul: A 8.5. feltétel e) bekezdése és a 8.9. feltétel b) bekezdése; Második modul: A 8.1. feltétel b) bekezdése, a 8.9. feltétel a), c), d) és e) bekezdése; Harmadik modul: A 8.1. feltétel a), c) és d) bekezdése, valamint a 8.9. feltétel a), c), d), e), f) és g) bekezdése; Negyedik modul: A 8.1. feltétel b) bekezdése és a 8.3. feltétel b) bekezdése;

iii.

9. feltétel – Második modul: A 9. feltétel a), c), d) és e) bekezdése; Harmadik modul: A 9. feltétel a), c), d) és e) bekezdése;

iv.

12. feltétel – Első modul: A 12. feltétel a) és d) bekezdése; Második és harmadik modul: A 12. feltétel a), d) és f) bekezdése;

v.

13. feltétel;

vi.

a 15.1. feltétel c), d) és e) bekezdése;

vii.

a 16. feltétel e) bekezdése;

viii.

18. feltétel – Első, második és harmadik modul: A 18. feltétel a) és b) bekezdése; Negyedik modul: 18. feltétel.

b)

Az a) bekezdés nem érinti az érintettek (EU) 2016/679 rendelet szerinti jogait.

4. feltétel

Értelmezés

a)

Amennyiben ezek a feltételek az (EU) 2016/679 rendeletben meghatározott fogalmakat használják, e fogalmak jelentése megegyezik az említett rendeletben foglaltakkal.

b)

Ezeket a feltételeket az (EU) 2016/679 rendelet rendelkezéseinek fényében kell értelmezni.

c)

E feltételek nem értelmezhetők oly módon, amely ellentétes az (EU) 2016/679 rendeletben meghatározott jogokkal és kötelezettségekkel.

5. feltétel

Hierarchia

Abban az esetben, ha ellentmondás áll fenn e feltételek és a Felek között az e feltételek elfogadásakor vagy az azt követően létrejött, kapcsolódó megállapodásokban foglalt rendelkezések között, ezek a feltételek az irányadók.

6. feltétel

Az adattovábbítás(ok) leírása

A továbbítás(ok) részleteit és különösen a továbbított személyes adatok kategóriáit és továbbításuk célját (céljait) az I. melléklet B. része határozza meg.

7. feltétel – Fakultatív

Dokkolási feltétel

a)

Az a jogalany, amely e feltételeknek nem részes fele, a Felek beleegyezése mellett a függelék kitöltésével és az I. melléklet A. részének aláírásával bármikor csatlakozhat ezekhez a feltételekhez adatátadóként vagy adatátvevőként.

b)

A függelék kitöltését és az I. melléklet A. részének aláírását követően a csatlakozó jogalany e feltételek részes felévé válik, és megilletik az adatátadó vagy adatátvevő jogai és kötelezettségei az I. melléklet A. részében szereplő megnevezéssel összhangban.

c)

A csatlakozó jogalany nem rendelkezik a részes féllé válást megelőző időszakból az e feltételekből eredő jogokkal vagy kötelezettségekkel.

II. SZAKASZ – A FELEK KÖTELEZETTSÉGEI

8. feltétel

Adatvédelmi garanciák

Az adatátadó garantálja, hogy észszerű erőfeszítéseket tett annak megállapítására, hogy az adatátvevő a megfelelő technikai és szervezési intézkedések végrehajtása révén teljesíteni tudja-e az e feltételek szerinti kötelezettségeit.

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

8.1.   Célhoz kötöttség

Az adatátvevő a személyes adatokat kizárólag az I. melléklet B. részében meghatározott konkrét cél(ok)ból kezelheti. A személyes adatokat kizárólag akkor kezelheti más célból, ha:

i.

megszerezte az érintett előzetes hozzájárulását;

ii.

az konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy

iii.

az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

8.2.   Átláthatóság

a)

Annak érdekében, hogy az érintettek hatékonyan gyakorolhassák a 10. feltétel szerinti jogaikat, az adatátvevő közvetlenül vagy az adatátadón keresztül tájékoztatja őket a következőkről:

i.

személyazonossága és elérhetőségei;

ii.

a kezelt személyes adatok kategóriái;

iii.

az e feltételek példányának beszerzéséhez való jog;

iv.

amennyiben a személyes adatokat harmadik félnek (feleknek), a címzett(ek)nek vagy a címzettek kategóriáinak kívánja továbbítani (adott esetben érdemi információk szolgáltatása céljából), a további adattovábbítás célja és a 8.7. feltétel szerinti indoka.

b)

Az a) bekezdés nem alkalmazandó abban az esetben, ha az érintett már rendelkezik az információval, ideértve azt az esetet is, amikor az adatátadó már rendelkezésre bocsátotta az információt, vagy az ilyen információ rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést jelentene az adatátvevő számára. Ez utóbbi esetben az adatátvevőnek a lehető legnagyobb mértékben nyilvánosan hozzáférhetővé kell tennie az információt.

c)

Kérésre a Felek díjmentesen az érintett rendelkezésére bocsátják e feltételek egy példányát, beleértve a függelék általuk kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a személyes adatok – védelméhez szükséges mértékben a Felek a másolati példány megosztása előtt kivonatolhatják a függelék szövegének egy részét, de érdemi összefoglalót kell készíteniük, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem lenne képes jogait gyakorolni. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat.

d)

Az a)–c) bekezdés nem érinti az adatátadónak az (EU) 2016/679 rendelet 13. és 14. cikke szerinti kötelezettségeit.

8.3.   Pontosság és adattakarékosság

a)

A Felek biztosítják, hogy a személyes adatok pontosak és szükség esetén naprakészek legyenek. Az adatátvevő minden észszerű lépést megtesz annak érdekében, hogy az adatkezelés céljára (céljaira) tekintettel pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

b)

Ha valamelyik Fél tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja a másik Felet.

c)

Az adatátvevő biztosítja, hogy a személyes adatok megfelelőek és relevánsak legyenek, valamint az adatkezelés céljához (céljaihoz) szükséges mértékre korlátozódjanak.

8.4.   A tárolás korlátozása

Az adatátvevő a személyes adatokat legfeljebb az adatkezelés céljához (céljaihoz) szükséges ideig őrzi meg. Megfelelő technikai vagy szervezési intézkedéseket vezet be az e kötelezettségnek való megfelelés biztosítása érdekében, beleértve az adatok törlését vagy anonimizálását (2), valamint az adatok és biztonsági másolataik törlését vagy anonimizálását a tárolási időszak végén.

8.5.   Az adatkezelés biztonsága

a)

Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be a személyes adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintettet érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető.

b)

A Felek elfogadták a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak.

c)

Az adatátvevő biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

d)

Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve az esetleges káros hatások enyhítésére irányuló intézkedéseket is.

e)

Olyan adatvédelmi incidens esetén, amely valószínűleg kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, az adatátvevő indokolatlan késedelem nélkül értesíti mind az adatátadót, mind az 13. feltétel szerinti illetékes felügyeleti hatóságot. Az értesítésnek tartalmaznia kell i. az incidens jellegének leírását (lehetőség szerint beleértve az érintettek kategóriáit és hozzávetőleges számát, valamint az érintett személyes adatokat); ii. annak valószínű következményeit; iii. az incidens kezelése érdekében hozott vagy javasolt intézkedéseket; valamint iv. egy olyan kapcsolattartó pont adatait, ahonnan további információk szerezhetők be. Amennyiben az adatátvevőnek nem áll módjában egyidejűleg az összes információt megadni, ezt indokolatlan késedelem nélkül, szakaszokban is megteheti.

f)

Olyan adatvédelmi incidens esetén, amely valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatátvevő indokolatlan késedelem nélkül értesíti az érintetteket az adatvédelmi incidensről és jellegéről, szükség esetén az adatátadóval együttműködve, az e) bekezdés ii–iv. pontjában említett információkkal együtt, kivéve, ha az adatátvevő a természetes személyek jogait vagy szabadságait érintő kockázat jelentős csökkentésére irányuló intézkedéseket hajtott végre, vagy az értesítés aránytalan erőfeszítéssel járna. Ez utóbbi esetben az adatátvevőnek ehelyett nyilvános tájékoztatást kell kiadnia, vagy hasonló intézkedést kell hoznia, amelyben tájékoztatja a nyilvánosságot az adatvédelmi incidensről.

g)

Az adatátvevő dokumentálja a személyes adatok megsértésével kapcsolatos valamennyi lényeges tényt, beleértve annak hatásait és a meghozott korrekciós intézkedéseket is, és ezekről nyilvántartást vezet.

8.6.   Különleges adatok

Ha az adattovábbítás faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre vagy bűncselekményekre vonatkozó adatokat tartalmaz (a továbbiakban: különleges adatok), az adatátvevő az adatok sajátos jellegéhez és a kapcsolódó kockázatokhoz igazított egyedi korlátozásokat és/vagy további garanciákat alkalmaz. Ez magában foglalhatja a személyes adatokhoz való hozzáférésre jogosult személyzet korlátozását, további biztonsági intézkedéseket (például álnevesítést) vagy a további adatközlésre vonatkozó kiegészítő korlátozásokat.

8.7.   Adattovábbítás harmadik fél részére

Az adatátvevő nem közölheti a személyes adatokat az Európai Unión kívüli harmadik féllel (3) (az adatátvevővel azonos országban vagy más harmadik országban, a továbbiakban: további adattovábbítás), kivéve, ha a harmadik félre nézve az e feltételek a megfelelő modul alapján kötelezők, vagy azokat a harmadik fél vállalja. Ellenkező esetben az adatátvevő általi további adattovábbításra csak akkor kerülhet sor, ha:

i.

olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik;

ii.

a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat a szóban forgó adatkezelés tekintetében;

iii.

a harmadik fél kötelező erejű megállapodást köt az adatátvevővel, amely ugyanolyan szintű adatvédelmet biztosít, mint az e feltételek, és az adatátvevő e garanciák egy példányát átadja az adatátadónak;

iv.

az konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;

v.

az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; vagy

vi.

ha a többi feltétel egyike sem áll fenn, az adatátvevő – miután tájékoztatta az érintettet a további adattovábbítás céljáról, a címzett személyazonosságáról és a megfelelő adatvédelmi garanciák hiánya miatt az érintettet érő lehetséges kockázatokról – megszerezte az érintettnek az adott helyzetben történő további továbbításhoz való kifejezett hozzájárulását. Ebben az esetben az adatátvevő tájékoztatja az adatátadót, és utóbbi kérésére megküldi neki az érintettnek nyújtott információk másolatát.

További adattovábbítás esetén az adatátvevő betartja az e feltételek szerinti összes többi garanciát, különösen a célhoz kötöttséget.

8.8.   Az adatátvevő irányítása alatt végzett adatkezelés

Az adatátvevő biztosítja, hogy az irányítása alatt eljáró személyek – ideértve az adatfeldolgozót is – kizárólag az utasításai alapján kezelik az adatokat.

8.9.   Dokumentáció és megfelelés

a)

Mindegyik Félnek igazolnia kell, hogy eleget tesz az e feltételek szerinti kötelezettségeinek. Nevezetesen az adatátvevőnek meg kell őriznie a felelősségi körében elvégzett adatkezelési tevékenységek megfelelő dokumentációját.

b)

Az adatátvevő ezt a dokumentációt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja.

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

8.1.   Utasítások

a)

Az adatátvevő a személyes adatokat csak az adatátadó dokumentált utasításai alapján kezelheti. Az adatátadó a szerződés teljes időtartama alatt adhat ilyen utasításokat.

b)

Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha nem tudja követni ezeket az utasításokat.

8.2.   Célhoz kötöttség

Az adatátvevő a személyes adatokat kizárólag az I. melléklet B. részében meghatározott konkrét cél(ok)ból kezelheti, amennyiben nem kap további utasításokat az adatátadótól.

8.3.   Átláthatóság

Kérésre az adatátadó díjmentesen az érintett rendelkezésére bocsátja e feltételek egy példányát, beleértve a függelék Felek által kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a II. mellékletben ismertetett intézkedések és a személyes adatok – védelméhez szükséges mértékben az adatátadó a másolat megosztása előtt kivonatolhatja e feltételek függeléke szövegének egy részét, de érdemi összefoglalót kell készítenie, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem képes gyakorolni a jogait. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat. Ez a feltétel nem érinti az adatátadónak az (EU) 2016/679 rendelet 13. és 14. cikke szerinti kötelezettségeit.

8.4.   Pontosság

Ha az adatátvevő tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja az adatátadót. Ebben az esetben az adatátvevő együttműködik az adatátadóval az adatok törlése vagy helyesbítése érdekében.

8.5.   Az adatkezelés időtartama és az adatok törlése vagy visszaküldése

Az adatátvevő általi adatkezelésre kizárólag az I. melléklet B. részében meghatározott időtartamig kerülhet sor. Az adatkezelési szolgáltatások nyújtásának végét követően az adatátvevő az adatátadó választása szerint törli az adatátadó nevében kezelt valamennyi személyes adatot, és igazolja az adatátadó számára, hogy ezt megtette, vagy visszaküldi az adatátadónak a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli. Ez nem érinti a 14. feltételt, különösen az adatátvevőnek a 14. feltétel e) pontja szerinti azon kötelezettségét, hogy a szerződés teljes időtartama alatt értesítse az adatátadót, ha okkal feltételezi, hogy olyan jogszabályok vagy gyakorlatok hatálya alá tartozik vagy tartozott, amelyek nincsenek összhangban a 14. feltétel a) pontjában foglalt követelményekkel.

8.6.   Az adatkezelés biztonsága

a)

Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be az adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy az adatokhoz való hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során a Feleknek kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintetteket érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. Álnevesítés esetén a személyes adatoknak egy adott érintetthez való hozzárendelésére vonatkozó kiegészítő információk lehetőség szerint az adatátadó kizárólagos ellenőrzése alatt maradnak. Az e bekezdés szerinti kötelezettségének való megfelelés során az adatátvevő végrehajtja legalább a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak.

b)

Az adatátvevő csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára a személyes adatokhoz. Biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

c)

Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve a káros hatások enyhítésére irányuló intézkedéseket is. Az adatátvevő az incidensről való tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátadót is. Az értesítésnek tartalmaznia kell egy olyan kapcsolattartó pont adatait, ahol további információ szerezhető, az incidens jellegének leírását (beleértve lehetőség szerint az érintett személyek kategóriáit és a személyes adatok hozzávetőleges számát), annak valószínű következményeit, valamint az incidens kezelésére hozott vagy javasolt intézkedéseket, beleértve adott esetben a lehetséges káros hatások enyhítésére irányuló intézkedéseket is. Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.

d)

Az adatátvevőnek együtt kell működnie az adatátadóval és segítenie kell abban, hogy az adatátadó eleget tehessen az (EU) 2016/679 rendelet szerinti kötelezettségeinek, nevezetesen, hogy értesítse az illetékes felügyeleti hatóságot és az érintetteket, figyelembe véve az adatkezelés jellegét és az adatátvevő rendelkezésére álló információkat.

8.7.   Különleges adatok

Amennyiben az adattovábbítás faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó adatokat tartalmaz (a továbbiakban: különleges adatok), az I. melléklet B. részében leírt egyedi korlátozásokat és/vagy további garanciákat alkalmaz.

8.8.   Adattovábbítás harmadik fél részére

Az adatátvevő a személyes adatokat csak az adatátadó dokumentált utasításai szerint teheti közzé harmadik fél számára. Ezenfelül az adatok kizárólag akkor közölhetők az Európai Unión kívüli harmadik féllel (4) (az adatátvevővel azonos országban vagy más harmadik országban, a továbbiakban: további adattovábbítás), ha a harmadik félre nézve az e feltételek a megfelelő modul alapján kötelezők, vagy azokat a harmadik fél vállalja, vagy ha:

i.

a további adattovábbítás olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik;

ii.

a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat a szóban forgó adatkezelés tekintetében;

iii.

a további adattovábbítás konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy

iv.

a további adattovábbítás az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

További adattovábbítás esetén az adatátvevő betartja az e feltételek szerinti összes többi garanciát, különösen a célhoz kötöttséget.

8.9.   Dokumentáció és megfelelés

a)

Az adatátvevő haladéktalanul és megfelelően foglalkozik az adatátadó azon kérdéseivel, amelyek az e feltételek szerinti adatkezeléssel kapcsolatosak.

b)

A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. Nevezetesen az adatátvevőnek meg kell őriznie az adatátadó nevében elvégzett adatkezelési tevékenységek megfelelő dokumentációját.

c)

Az adatátvevő az adatátadó rendelkezésére bocsát minden olyan információt, amely az e szerződési feltételekben és az adatátadó kérésére előírt kötelezettségek teljesítésének igazolásához szükséges, lehetővé teszi az e szerződési feltételek hatálya alá tartozó adatkezelési tevékenységek észszerű időközönkénti vagy a megfelelés hiányára utaló jelek előfordulása esetén történő ellenőrzését, valamint hozzájárul ahhoz. A felülvizsgálatra vagy ellenőrzésre vonatkozó döntés meghozatalakor az adatátadó figyelembe veheti az adatátvevő birtokában lévő vonatkozó tanúsítványokat.

d)

Az adatátadó dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független könyvvizsgálót. Az ellenőrzések kiterjedhetnek az adatátvevő telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra, amelyeket adott esetben észszerű értesítés mellett kell elvégezni.

e)

A Felek kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják a b) és c) bekezdésben említett információkat, beleértve az ellenőrzések eredményeit is.

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

8.1.   Utasítások

a)

Az adatátadó tájékoztatta az adatátvevőt arról, hogy adatkezelője (adatkezelői) utasításai szerint adatfeldolgozóként jár el, amelyeket az adatátadó a kezelést megelőzően az adatátvevő rendelkezésére bocsát.

b)

Az adatátvevő a személyes adatokat kizárólag az adatkezelő dokumentált utasításai alapján, az adatátadó által az adatátvevővel közölt, valamint az adatátadótól kapott további dokumentált utasítások alapján kezeli. Az ilyen kiegészítő utasítások nem lehetnek ellentétesek az adatkezelő utasításaival. Az adatkezelő vagy az adatátadó további dokumentált utasításokat adhat az adatkezelésre vonatkozóan a szerződés teljes időtartama alatt.

c)

Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha nem tudja követni ezeket az utasításokat. Ha az adatátvevő nem tudja követni az adatkezelő utasításait, az adatátadó haladéktalanul értesíti az adatkezelőt.

d)

Az adatátadó garantálja, hogy ugyanazokat az adatvédelmi kötelezettségeket írta elő az adatátvevő számára, mint amelyeket az adatkezelő és az adatátadó között létrejött, uniós vagy tagállami jog szerinti szerződés vagy más jogi aktus meghatároz (5).

8.2.   Célhoz kötöttség

Az adatátvevő a személyes adatokat kizárólag az I. melléklet B. részében meghatározott konkrét cél(ok)ból kezelheti, amennyiben nem kap további utasításokat az adatátvevő számára az adatátadó által közöltek szerint az adatkezelőtől vagy az adatátadótól.

8.3.   Átláthatóság

Kérésre az adatátadó díjmentesen az érintett rendelkezésére bocsátja e feltételek egy példányát, beleértve a függelék Felek által kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a személyes adatok – védelméhez szükséges mértékben az adatátadó a másolati példány megosztása előtt kivonatolhatják a függelék szövegének egy részét, de érdemi összefoglalót kell készíteniük, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem lenne képes jogait gyakorolni. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat.

8.4.   Pontosság

Ha az adatátvevő tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja az adatátadót. Ebben az esetben az adatátvevő együttműködik az adatátadóval az adatok helyesbítése vagy törlése érdekében.

8.5.   Az adatkezelés időtartama és az adatok törlése vagy visszaküldése

Az adatátvevő általi adatkezelésre kizárólag az I. melléklet B. részében meghatározott időtartamig kerülhet sor. Az adatkezelési szolgáltatások nyújtásának végét követően az adatátvevő az adatátadó választása szerint törli az adatkezelő nevében kezelt valamennyi személyes adatot, és igazolja az adatátadó számára, hogy ezt megtette, vagy visszaküldi az adatátadónak a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli. Ez nem érinti a 14. feltételt, különösen az adatátvevőnek a 14. feltétel e) pontja szerinti azon kötelezettségét, hogy a szerződés teljes időtartama alatt értesítse az adatátadót, ha okkal feltételezi, hogy olyan jogszabályok vagy gyakorlatok hatálya alá tartozik vagy tartozott, amelyek nincsenek összhangban a 14. feltétel a) pontjában foglalt követelményekkel.

8.6.   Az adatkezelés biztonsága

a)

Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be az adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy az adatokhoz való hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintettet érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. Álnevesítés esetén a személyes adatoknak egy adott érintetthez való hozzárendelésére vonatkozó kiegészítő információk lehetőség szerint az adatátadó vagy adatkezelő kizárólagos ellenőrzése alatt maradnak. Az e bekezdés szerinti kötelezettségének való megfelelés során az adatátvevő végrehajtja legalább a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak.

b)

Az adatátvevő csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára az adatokhoz. Biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

c)

Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve a káros hatások enyhítésére irányuló intézkedéseket is. Az adatátvevő az incidensről való tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátadót és – amennyiben alkalmazandó és megvalósítható – az adatkezelőt is. Az értesítésnek tartalmaznia kell egy olyan kapcsolattartó pont adatait, ahol további információ szerezhető, az incidens jellegének leírását (beleértve lehetőség szerint az érintett személyek kategóriáit és a személyes adatok hozzávetőleges számát), annak valószínű következményeit, valamint az adatvédelmi incidens kezelésére hozott vagy javasolt intézkedéseket, beleértve adott esetben a lehetséges káros hatások enyhítésére irányuló intézkedéseket is. Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.

d)

Az adatátvevőnek együtt kell működnie az adatátadóval és segítenie kell abban, hogy az adatátadó eleget tehessen az (EU) 2016/679 rendelet szerinti kötelezettségeinek, nevezetesen, hogy értesítse az adatkezelőjét, hogy az értesíteni tudja az illetékes felügyeleti hatóságot és az érintetteket, figyelembe véve az adatkezelés jellegét és az adatátvevő rendelkezésére álló információkat.

8.7.   Különleges adatok

Amennyiben az adattovábbítás faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó adatokat tartalmaz (a továbbiakban: különleges adatok), az I. melléklet B. részében meghatározott egyedi korlátozásokat és/vagy további garanciákat alkalmaz.

8.8.   Adattovábbítás harmadik fél részére

Az adatátvevő a személyes adatokat csak az adatkezelőnek az adatátadó által az adatátvevő részére közölt, dokumentált utasításai szerint teheti közzé harmadik fél számára. Ezenfelül az adatok kizárólag akkor közölhetők az Európai Unión kívüli harmadik féllel (6) (az adatátvevővel azonos országban vagy más harmadik országban, a továbbiakban: további adattovábbítás), ha a harmadik félre nézve az e feltételek a megfelelő modul alapján kötelezők, vagy azokat a harmadik fél vállalja, vagy ha:

i.

a további adattovábbítás olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik;

ii.

a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat;

iii.

a további adattovábbítás konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy

iv.

a további adattovábbítás az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.

További adattovábbítás esetén az adatátvevő betartja az e feltételek szerinti összes többi garanciát, különösen a célhoz kötöttséget.

8.9.   Dokumentáció és megfelelés

a)

Az adatátvevő haladéktalanul és megfelelően foglalkozik az adatátadó vagy adatkezelő azon kérdéseivel, amelyek az e feltételek szerinti adatkezeléssel kapcsolatosak.

b)

A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. Nevezetesen az adatátvevőnek meg kell őriznie az adatkezelő nevében elvégzett adatkezelési tevékenységek megfelelő dokumentációját.

c)

Az adatátvevő az e feltételekben meghatározott kötelezettségek teljesítésének igazolásához szükséges valamennyi információt elérhetővé teszi az adatátadó számára, aki azt az adatkezelő rendelkezésére bocsátja.

d)

Az adatátvevőnek lehetővé kell tennie és hozzá kell járulnia ahhoz, hogy az adatátadó észszerű időközönként vagy a megfelelés elmaradására utaló jelek esetén ellenőrizze az e feltételek hatálya alá tartozó adatkezelési tevékenységeket. Ugyanez vonatkozik arra az esetre is, ha az adatátadó az adatkezelő utasításai alapján ellenőrzést kér. Az ellenőrzésre vonatkozó döntés meghozatalakor az adatátadó figyelembe veheti az adatátvevő birtokában lévő vonatkozó tanúsítványokat.

e)

Amennyiben az ellenőrzést az adatkezelő utasításai alapján végzik, az adatátadó az eredményeket az adatkezelő rendelkezésére bocsátja.

f)

Az adatátadó dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független könyvvizsgálót. Az ellenőrzések kiterjedhetnek az adatátvevő telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra, amelyeket adott esetben észszerű értesítés mellett kell elvégezni.

g)

A Felek kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják a b) és c) bekezdésben említett információkat, beleértve az ellenőrzések eredményeit is.

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

8.1.   Utasítások

a)

Az adatátadó a személyes adatokat csak az adatkezelőként eljáró adatátvevő dokumentált utasításai alapján kezelheti.

b)

Az adatátadó haladéktalanul tájékoztatja az adatátvevőt, ha nem tudja követni ezeket az utasításokat, beleértve azt is, ha az ilyen utasítások sértik az (EU) 2016/679 rendeletet vagy más uniós vagy tagállami adatvédelmi jogot.

c)

Az adatátvevő tartózkodik minden olyan intézkedéstől, amely megakadályozná az adatátadót az (EU) 2016/679 rendelet szerinti kötelezettségei teljesítésében, ideértve a további adatkezelést vagy az illetékes felügyeleti hatóságokkal való együttműködést is.

d)

Az adatkezelési szolgáltatások nyújtásának végét követően az adatátadó az adatátvevő választása szerint törli az adatátvevő nevében kezelt valamennyi személyes adatot, és igazolja az adatátvevő számára, hogy ezt megtette, vagy visszaküldi az adatátvevőnek a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat.

8.2.   Az adatkezelés biztonsága

a)

A Felek megfelelő technikai és szervezési intézkedéseket vezetnek be az adatok biztonságának biztosítása érdekében, többek közt az adattovábbítás során, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe veszik a technika állását, a végrehajtás költségeit, a személyes adatok jellegét (7), az adatkezelés jellegét, kontextusát és célját, valamint az adatkezeléssel járó kockázatokat az érintettek számára és különösen megfontolják a titkosítást vagy az álnevesítést, többek között a továbbítás során is, amennyiben az adatkezelés célja megvalósítható ilyen módon is.

b)

Az adatátadó az a) bekezdésnek megfelelően segíti az adatátvevőt az adatok megfelelő biztonságának biztosításában. Az e feltételek alapján az adatátadó által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátadó a tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátvevőt, és segíti az adatátvevőt az incidens kezelésében.

c)

Az adatátadó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak.

8.3.   Dokumentáció és megfelelés

a)

A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek.

b)

Az adatátadó az adatátvevő rendelkezésére bocsát minden olyan információt, amely az e feltételek szerinti kötelezettségei teljesítésének igazolásához szükséges, valamint lehetővé teszi és hozzájárul az ellenőrzésekhez.

9. feltétel

További adatfeldolgozók alkalmazása

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

a)

1. LEHETŐSÉG: KIFEJEZETT ELŐZETES HOZZÁJÁRULÁS Az adatátvevő az adatátadó előzetes kifejezett írásbeli hozzájárulása nélkül nem adja alvállalkozásba az adatátadó nevében e feltételek alapján végzett adatkezelési tevékenységeit egy további adatfeldolgozónak. Az adatátvevő a kifejezett hozzájárulás iránti kérelmet legalább [adja meg az időtartamot] a további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatátadó dönthessen az engedélyről. Az adatátadó által jóváhagyott további adatfeldolgozók listája megtalálható a III. mellékletben. A felek a III. mellékletet rendszeresen frissítik.

2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY Az adatátvevő rendelkezik az adatátadó általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatátvevő írásban kifejezetten tájékoztatja az adatátadót az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [adja meg az időtartamot] korábban, elegendő időt biztosítva az adatátadónak arra, hogy a további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatátvevő megadja az adatátadónak azokat az információkat, amelyek szükségesek ahhoz, hogy az adatátadó a tiltakozáshoz való jogát gyakorolhassa.

b)

Amennyiben az adatátvevő konkrét adatkezelési tevékenységek végzése céljából további adatfeldolgozót vesz igénybe (az adatátadó nevében), ezt írásbeli szerződés útján teszi, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint amelyek e feltételek alapján az adatátvevőre nézve kötelezőek, ideértve a harmadik felek kedvezményezettjeit megillető érintetti jogokat is (8). A Felek megállapodnak abban, hogy e feltétel betartásával az adatátvevő teljesíti a 8.8. feltétel szerinti kötelezettségeit. Az adatátvevő biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatátvevőre e feltételek értelmében vonatkoznak.

c)

Az adatátvevő az adatátadó kérésére átadja az adatátadónak a további adatfeldolgozóra vonatkozó megállapodás másolatát, valamint annak minden későbbi módosítását. Az üzleti titkok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatátvevő a másolat megosztása előtt kivonatolhatja a megállapodás szövegét.

d)

Az adatátvevő továbbra is teljes mértékben felel az adatátadó felé a további adatfeldolgozónak az adatátvevővel kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatátvevő értesíti az adatátadót, ha a további adatfeldolgozó nem teljesíti a szerződésből eredő kötelezettségeit.

e)

Az adatátvevő megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatátadó jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatátvevő ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált.

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

a)

1. LEHETŐSÉG: KIFEJEZETT ELŐZETES ENGEDÉLY Az adatátvevő az adatkezelő előzetes kifejezett írásbeli engedélye nélkül nem adja alvállalkozásba az adatátadó nevében e feltételek alapján végzett adatkezelési tevékenységeit egy további adatfeldolgozónak. Az adatátvevő a kifejezett engedély iránti kérelmet legalább [adja meg az időtartamot] a további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatkezelő dönthessen az engedélyről. Az ilyen megbízásról tájékoztatja az adatátadót. Az adatkezelő által jóváhagyott további adatfeldolgozók listája megtalálható a III. mellékletben. A felek a III. mellékletet rendszeresen frissítik.

2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY Az adatátvevő rendelkezik az adatkezelő általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatátvevő írásban kifejezetten tájékoztatja az adatkezelőt az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [adja meg az időtartamot] korábban, elegendő időt biztosítva az adatkezelőnek arra, hogy a további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatátvevő megadja az adatkezelőnek azokat az információkat, amelyek szükségesek ahhoz, hogy az adatkezelő a tiltakozáshoz való jogát gyakorolhassa. Az adatátvevő tájékoztatja az adatátadót a további adatfeldolgozó(k) megbízásáról.

b)

Amennyiben az adatátvevő konkrét adatkezelési tevékenységek végzése céljából további adatfeldolgozót vesz igénybe (az adatkezelő nevében), ezt írásbeli szerződés útján teszi, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint amelyek e feltételek alapján az adatátvevőre nézve kötelezőek, ideértve a harmadik felek kedvezményezettjeit megillető érintetti jogokat is (9). A Felek megállapodnak abban, hogy e feltétel betartásával az adatátvevő teljesíti a 8.8. feltétel szerinti kötelezettségeit. Az adatátvevő biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatátvevőre e feltételek értelmében vonatkoznak.

c)

Az adatátvevő az adatátadó vagy adatkezelő kérésére rendelkezésre bocsátja a további adatfeldolgozóra vonatkozó megállapodás másolatát, valamint minden későbbi módosítást. Az üzleti titkok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatátvevő a másolat megosztása előtt kivonatolhatja a megállapodás szövegét.

d)

Az adatátvevő továbbra is teljes mértékben felel az adatátadó felé a további adatfeldolgozónak az adatátvevővel kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatátvevő értesíti az adatátadót, ha a további adatfeldolgozó nem teljesíti a szerződésből eredő kötelezettségeit.

e)

Az adatátvevő megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatátadó jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatátvevő ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált.

10. feltétel

Az érintettek jogai

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

a)

Az adatátvevő – adott esetben az adatátadó segítségével – indokolatlan késedelem nélkül és legkésőbb a megkeresés vagy kérelem kézhezvételét követő egy hónapon belül foglalkozik az érintettől a személyes adatainak kezelésével és az e szerződési feltételek szerinti jogainak gyakorlásával kapcsolatban kapott megkeresésekkel és kérelmekkel (10). Az adatátvevő megteszi a megfelelő intézkedéseket annak érdekében, hogy megkönnyítse az ilyen megkereséseket, kérelmeket és az érintettek jogainak gyakorlását. Az érintettnek nyújtott tájékoztatásnak érthetőnek és könnyen hozzáférhetőnek kell lennie, és abban világos és közérthető nyelvezetet kell használni.

b)

Az adatátvevő az érintett kérésére különösen köteles ingyenesen biztosítani a következőket:

i.

visszaigazolja az érintettnek, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben igen, a rendelkezésére bocsátja a rá vonatkozó adatok másolatát és az I. mellékletben szereplő információkat; ha a személyes adatokat továbbították vagy tovább fogják továbbítani, a címzettekre vagy azon címzettek kategóriáira vonatkozó információkat (az érdemi tájékoztatásnak megfelelő módon), akik részére a személyes adatokat továbbították vagy tovább fogják továbbítani, az ilyen továbbítás célját és indokát a 8.7. feltételnek megfelelően; valamint a felügyeleti hatóságnál történő panasztétel jogáról szóló tájékoztatást a 12. feltétel (c) bekezdésének i. pontjával összhangban;

ii.

helyesbíti az érintettre vonatkozó pontatlan vagy hiányos adatokat;

iii.

törli az érintettre vonatkozó személyes adatokat, ha ezeket az adatokat a kedvezményezett harmadik fél jogait biztosító feltételek bármelyikének megsértésével kezelik vagy kezelték, vagy ha az érintett visszavonja az adatkezelés alapjául szolgáló hozzájárulását.

c)

Amennyiben az adatátvevő a személyes adatokat közvetlen üzletszerzési célból kezeli, az ilyen célokból történő adatkezelést be kell szüntetni, ha az érintett tiltakozik ellene.

d)

Az adatátvevő nem hozhat olyan, kizárólag a továbbított személyes adatok automatizált kezelésén alapuló döntést (a továbbiakban: automatizált döntés), amely az érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, kivéve, ha ehhez az érintett kifejezett hozzájárulását adta, vagy ha erre a rendeltetési ország jogszabályai szerint engedélyt adnak, amennyiben e jogszabály megfelelő intézkedéseket állapít meg az érintett jogainak és jogos érdekeinek védelme érdekében. Ebben az esetben az adatátvevő szükség esetén az adatátadóval együttműködve:

i.

tájékoztatja az érintettet a tervezett automatizált döntésről, a várható következményekről és az alkalmazott logikáról; valamint

ii.

megfelelő garanciákat vezet be, legalább oly módon, hogy lehetővé teszi az érintett számára, hogy megtámadja a döntést, kifejtse álláspontját és emberi lény általi felülvizsgálatot kapjon.

e)

Ha az érintett kérelme – különösen ismétlődő jellege miatt – túlzó, az adatátvevő, figyelemmel a kérelem teljesítésével járó adminisztratív költségekre, észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem teljesítését.

f)

Az adatátvevő elutasíthatja az érintett kérelmét, ha az elutasítást a rendeltetési ország jogszabályai lehetővé teszik, és az az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célok egyikének védelme érdekében szükséges és arányos egy demokratikus társadalomban.

g)

Ha az adatátvevő el kívánja utasítani az érintett kérelmét, tájékoztatja az érintettet az elutasítás okairól, valamint arról a lehetőségről, hogy panaszt nyújthat be az illetékes felügyeleti hatósághoz és/vagy bírósági jogorvoslatot kérhet.

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

a)

Az adatátvevő haladéktalanul értesíti az adatátadót az érintettől kapott bármely kérelemről. A kérelemre ő maga nem válaszolhat, hacsak erre az adatátadó fel nem hatalmazza.

b)

Az adatátvevő segíti az adatátadót az érintetteknek az (EU) 2016/679 rendelet szerinti jogaik gyakorlásával kapcsolatos kérelmeinek megválaszolására vonatkozó kötelezettségei teljesítésében. E tekintetben a Felek a II. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, figyelembe véve a segítségnyújtást igénylő adatkezelés jellegét, valamint a szükséges segítségnyújtás hatókörét és mértékét.

c)

Az a) és b) bekezdés szerinti kötelezettségeinek teljesítése során az adatátvevőnek meg kell felelnie az adatátadó utasításainak.

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

a)

Az adatátvevő haladéktalanul értesíti az adatátadót és adott esetben az adatkezelőt az érintettől kapott bármely kérelemről, anélkül, hogy válaszolna a kérelemre, kivéve, ha erre az adatkezelő felhatalmazta.

b)

Az adatátvevő adott esetben az adatátadóval együttműködésben segíti az adatkezelőt az érintetteknek az (EU) 2016/679 rendelet vagy adott esetben az (EU) 2018/1725 rendelet szerinti jogaik gyakorlásával kapcsolatos kérelmeinek megválaszolására vonatkozó kötelezettségei teljesítésében. E tekintetben a Felek a II. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, figyelembe véve a segítségnyújtást igénylő adatkezelés jellegét, valamint a szükséges segítségnyújtás hatókörét és mértékét.

c)

Az a) és b) bekezdés szerinti kötelezettségeinek teljesítése során az adatátvevőnek meg kell felelnie az adatkezelőnek az adatátadó által közölt utasításainak.

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

A Felek segítséget nyújtanak egymásnak az adatátvevőre alkalmazandó helyi jog vagy – az uniós adatátadó általi adatkezelés esetén – az (EU) 2016/679 rendelet alapján az érintettek által benyújtott megkeresések és kérelmek megválaszolásában.

11. feltétel

Jogorvoslat

a)

Az adatátvevő átlátható és könnyen hozzáférhető formában, egyedi értesítés útján vagy honlapján tájékoztatja az érintetteket a panaszok kezelésére felhatalmazott kapcsolattartó pontról. Haladéktalanul kezeli az érintettől kapott panaszokat.

[LEHETŐSÉG: Az adatátvevő beleegyezik abba, hogy az érintettek az érintett számára költségmentesen egy független vitarendezési testülethez (11) is benyújthatnak panaszt. Az érintetteket az a) bekezdésben meghatározott módon tájékoztatja erről a jogorvoslati mechanizmusról, és arról, hogy nem kötelesek igénybe venni azt, vagy a jogorvoslat iránti kérelem meghatározott sorrendjét követni.]

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

b)

Abban az esetben, ha az érintett és az egyik Fél között vita alakul ki az e feltételeknek való megfelelés tekintetében, az adott Fél mindent megtesz annak érdekében, hogy a kérdés békés úton, kellő időben rendeződjön. A Felek folyamatosan tájékoztatják egymást az ilyen vitákról, és adott esetben együttműködnek azok megoldásában.

c)

Amennyiben az érintett a kedvezményezett harmadik személyre vonatkozó 3. feltétel szerinti jogra hivatkozik, az adatátvevő elfogadja az érintett döntését, miszerint:

i.

panaszt nyújt be a szokásos tartózkodási helye vagy munkahelye szerinti tagállam felügyeleti hatóságánál vagy a 13. feltétel szerinti illetékes felügyeleti hatóságnál;

ii.

a jogvitát a 18. feltétel értelmében illetékes bíróságok elé utalja.

d)

A Felek elfogadják, hogy az érintettet az (EU) 2016/679 rendelet 80. cikkének (1) bekezdésében meghatározott feltételek szerint nonprofit szerv, szervezet vagy egyesület képviselheti.

e)

Az adatátvevő betartja az alkalmazandó uniós/tagállami jog értelmében kötelező erejű határozatot.

f)

Az adatátvevő egyetért azzal, hogy az érintett választása nem sérti az érintett azon anyagi és eljárási jogait, hogy az alkalmazandó jogszabályokkal összhangban jogorvoslatért folyamodjon.

12. feltétel

Felelősség

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

a)

Mindegyik Fél felelősséggel tartozik a másik Féllel/Felekkel szemben minden olyan kárért, amelyet e feltételek megsértésével a másik Fél/Felek okoz(nak).

b)

Mindegyik Fél felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adott Fél okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. Ez nem érinti az adatátadónak az (EU) 2016/679 rendelet szerinti felelősségét.

c)

Amennyiben egynél több Fél felelős az érintettnek az e feltételek megsértéséből eredően okozott károkért, valamennyi felelős Fél egyetemlegesen felelős, és az érintett jogosult bíróságon keresetet indítani e Felek bármelyikével szemben.

d)

A Felek megállapodnak abban, hogy amennyiben az egyik Felet a c) bekezdés alapján felelősségre vonják, jogosult a másik Féltől/Felektől visszaigényelni a kártérítésnek azt a részét, amely megfelel a kárért való felelősségének.

e)

Az adatátvevő nem hivatkozhat az adatfeldolgozó vagy további adatfeldolgozó magatartására a saját felelősségének elkerülése érdekében.

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

a)

Mindegyik Fél felelősséggel tartozik a másik Féllel/Felekkel szemben minden olyan kárért, amelyet e feltételek megsértésével a másik Fél/Felek okoz(nak).

b)

Az adatátvevő felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adatátvevő vagy a további feldolgozója okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait.

c)

A b) bekezdésben foglaltak sérelme nélkül az adatátadó felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adatátadó vagy az adatátvevő (vagy a további feldolgozója) okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. Ez nem érinti az adatátadó felelősségét és – amennyiben az adatátadó az adatkezelő nevében eljáró adatfeldolgozó – az adatkezelőnek az (EU) 2016/679 rendelet vagy adott esetben az (EU) 2018/1725 rendelet szerinti felelősségét.

d)

A Felek megállapodnak abban, hogy amennyiben az adatátadót a c) bekezdés alapján felelősségre vonják az adatátvevő (vagy annak további feldolgozója) által okozott károkért, jogában áll visszaigényelni az adatátvevőtől a kártérítésnek azt a részét, amely megfelel az adatátvevő károkozásért viselt felelősségének.

e)

Amennyiben egynél több Fél felelős az érintettnek az e feltételek megsértéséből eredően okozott károkért, valamennyi felelős Fél egyetemlegesen felelős, és az érintett jogosult bíróságon keresetet indítani e Felek bármelyikével szemben.

f)

A Felek megállapodnak abban, hogy amennyiben az egyik Felet az e) bekezdés alapján felelősségre vonják, jogosult a másik Féltől/Felektől visszaigényelni a kártérítésnek azt a részét, amely megfelel a kárért való felelősségének.

g)

Az adatátvevő nem hivatkozhat a további feldolgozó magatartására saját felelősségének elkerülése érdekében.

13. feltétel

Felügyelet

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

a)

[Ha az adatátadó az Európai Unió tagállamában rendelkezik székhellyel:] Az adatátadó (EU) 2016/679 rendeletnek való, adattovábbítással kapcsolatos megfelelésének biztosításáért felelős, az I. melléklet C. részében említett felügyeleti hatóság jár el illetékes felügyeleti hatóságként.

[Ha az adatátadó nem rendelkezik székhellyel uniós tagállamban, azonban az (EU) 2016/679 rendelet 3. cikkének (2) bekezdése szerint a rendelet területi hatálya alá tartozik, és az (EU) 2016/679 rendelet 27. cikkének (1) bekezdése szerint képviselőt nevezett ki:] Azon tagállam felügyeleti hatósága jár el illetékes felügyeleti hatóságként, amelyben az (EU) 2016/679 rendelet 27. cikkének (1) bekezdése értelmében vett képviselő székhellyel rendelkezik az I. melléklet C. részében foglaltak szerint.

[Ha az adatátadó nem rendelkezik székhellyel uniós tagállamban, azonban az (EU) 2016/679 rendelet 3. cikkének (2) bekezdése szerint a rendelet területi hatálya alá tartozik, azonban az (EU) 2016/679 rendelet 27. cikkének (2) bekezdése szerint nem kell képviselőt kineveznie:] Azon tagállam felügyeleti hatósága jár el illetékes felügyeleti hatóságként az I. melléklet C. részében foglaltak szerint, ahol azok az érintettek tartózkodnak, akik személyes adatait a jelen feltételek szerint továbbítják a számukra kínált árukkal vagy szolgáltatásokkal összefüggésben, vagy akik viselkedését nyomon követik.

b)

Az adatátvevő elfogadja az illetékes felügyeleti hatóság illetékességét, és együttműködik vele minden olyan eljárásban, amelynek célja az e feltételeknek való megfelelés biztosítása. Az adatátvevő vállalja, hogy válaszol a megkeresésekre, aláveti magát az ellenőrzéseknek, és betartja a felügyeleti hatóság által elfogadott intézkedéseket, beleértve a korrekciós és kompenzációs intézkedéseket is. Írásbeli megerősítést kell adnia a felügyeleti hatóságnak arról, hogy megtette a szükséges intézkedéseket.

III. SZAKASZ – HELYI JOGSZABÁLYOK ÉS KÖTELEZETTSÉGEK HATÓSÁGI HOZZÁFÉRÉS ESETÉN

14. feltétel

A feltételek betartását érintő helyi jogszabályok és gyakorlatok

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére (csak abban az esetben, ha az uniós adatfeldolgozó a harmadik országbeli adatkezelőtől kapott személyes adatokat összevonja az adatfeldolgozó által az EU-ban gyűjtött személyes adatokkal)

a)

A Felek biztosítják, hogy nincs okuk azt feltételezni, hogy a rendeltetési hely szerinti harmadik országban az adatátvevő által végzett személyesadat-kezelésre alkalmazandó jogszabályok és gyakorlatok – beleértve a személyes adatok közlésére vonatkozó követelményeket vagy a hatóságok általi hozzáférést engedélyező intézkedéseket – megakadályozzák az adatátvevőt abban, hogy teljesítse az e feltételek szerinti kötelezettségeit. Ez azon a felfogáson alapul, hogy azok a törvények és gyakorlatok, amelyek tiszteletben tartják az alapvető jogok és szabadságok lényegét, és nem haladják meg azt a mértéket, amely egy demokratikus társadalomban az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célkitűzések egyikének biztosításához szükséges és arányos, nem ellentétesek ezekkel a feltételekkel.

b)

A Felek kijelentik, hogy az a) bekezdésben említett garancia nyújtásakor különösen a következő elemeket vették kellően figyelembe:

i.

a továbbítás sajátos körülményei, beleértve az adatkezelési lánc hosszát, az érintett szereplők számát és az alkalmazott átviteli csatornákat; tervezett további adattovábbítások; a címzett típusa; az adatkezelés célja; a továbbított személyes adatok kategóriái és formátuma; az a gazdasági ágazat, amelyben a továbbítás történik; a továbbított adatok tárolási helye;

ii.

a rendeltetési hely szerinti harmadik ország jogszabályai és gyakorlata – ideértve az adatok hatóságok számára történő közlését vagy az ilyen hatóságok általi hozzáférés engedélyezését előíró jogszabályokat és gyakorlatokat is –, amelyek az adattovábbítás sajátos körülményeire tekintettel relevánsak, valamint az alkalmazandó korlátozások és garanciák (12);

iii.

az e feltételek szerinti garanciákat kiegészítő szerződéses, technikai vagy szervezési garanciák, beleértve a személyes adatoknak a célországban történő továbbítása és kezelése során alkalmazott intézkedéseket.

c)

Az adatátvevő garantálja, hogy a b) bekezdés szerinti értékelés elvégzése során minden tőle telhetőt megtett annak érdekében, hogy az adatátadó számára releváns információkat szolgáltasson, és beleegyezik abba, hogy továbbra is együttműködik az adatátadóval az e feltételeknek való megfelelés biztosítása érdekében.

d)

A Felek megállapodnak abban, hogy dokumentálják a b) bekezdés szerinti értékelést, és azt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják.

e)

Az adatátvevő vállalja, hogy haladéktalanul értesíti az adatátadót, ha e feltételek elfogadását követően és a szerződés időtartama alatt okkal feltételezi, hogy az a) bekezdésben foglalt követelményekkel ellentétes törvények vagy gyakorlatok hatálya alá tartozik vagy tartozott, ideértve azt is, hogy megváltoztak a harmadik ország jogszabályai, vagy olyan intézkedés (például közzétételi kérelem) történt, amely az ilyen jogszabályok gyakorlati alkalmazását jelzi, és amely nem felel meg az a) bekezdésben foglalt követelményeknek. [A harmadik modul esetében: Az adatátadó továbbítja az értesítést az adatkezelőnek.]

f)

Az e) bekezdés szerinti értesítést követően, vagy ha az adatátadó más okból feltételezi, hogy az adatátvevő már nem tudja teljesíteni az e feltételek szerinti kötelezettségeit, az adatátadó haladéktalanul meghatározza az adatátadó és/vagy adatátvevő által a helyzet kezelése érdekében elfogadandó megfelelő intézkedéseket (például a biztonság és a titoktartás biztosítása érdekében hozott technikai vagy szervezési intézkedéseket), [a harmadik modul esetében: adott esetben az adatkezelővel egyeztetve]. Az adatátadó felfüggeszti az adattovábbítást, ha úgy ítéli meg, hogy az adattovábbításhoz nem biztosítható megfelelő garancia, vagy ha [a harmadik modul esetében: az adatkezelő vagy] az illetékes felügyeleti hatóság erre utasítja. Ebben az esetben az adatátadó jogosult arra, hogy felmondja a szerződést, amennyiben az a személyes adatok jelen feltételek szerinti kezelésére vonatkozik. Ha a szerződés kettőnél több felet érint, az adatátadó ezt a felmondási jogot csak az érintett Fél tekintetében gyakorolhatja, kivéve, ha a Felek ettől eltérően állapodtak meg. Ha a szerződés e feltétel alapján megszűnik, a 16. feltétel d) és e) bekezdését kell alkalmazni.

15. feltétel

Az adatátvevő kötelezettségei a nemzeti hatóságok általi hozzáférés esetén

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére (csak abban az esetben, ha az uniós adatfeldolgozó a harmadik országbeli adatkezelőtől kapott személyes adatokat összevonja az adatfeldolgozó által az EU-ban gyűjtött személyes adatokkal)

15.1.   Értesítés

a)

Az adatátvevő vállalja, hogy haladéktalanul értesíti az adatátadót és – amennyiben lehetséges – az érintettet (szükség esetén az adatátadó segítségével), ha:

i.

a rendeltetési ország jogszabályai szerint valamely nemzeti (többek közt igazságügyi) hatóságtól jogilag kötelező érvényű kérelmet kap az e feltételek alapján továbbított személyes adatok nyilvánosságra hozatalára vonatkozóan; az értesítésnek tartalmaznia kell a kért személyes adatokra, a megkereső hatóságra, a megkeresés jogalapjára és a megadott válaszra vonatkozó információkat; vagy

ii.

tudomást szerez arról, hogy a hatóságok közvetlenül hozzáférnek az e feltételek alapján továbbított személyes adatokhoz a rendeltetési ország jogszabályaival összhangban; az ilyen értesítésnek tartalmaznia kell az adatátvevő rendelkezésére álló valamennyi információt.

[A harmadik modul esetében: Az adatátadó továbbítja az értesítést az adatkezelőnek.]

b)

Ha az adatátvevő a rendeltetési ország jogszabályai szerint nem értesíti az adatátadót és/vagy az érintettet, az adatátvevő vállalja, hogy minden tőle telhetőt megtesz annak érdekében, hogy mentességet kapjon a tilalom alól, hogy a lehető legtöbb információt a lehető leghamarabb közölni tudja. Az adatátvevő vállalja, hogy minden tőle telhetőt dokumentál annak érdekében, hogy az adatátadó kérésére igazolni tudja azokat.

c)

Ha a rendeltetési ország jogszabályai lehetővé teszik, az adatátvevő vállalja, hogy a szerződés időtartama alatt rendszeres időközönként az adatátadó rendelkezésére bocsátja a beérkezett kérelmekkel kapcsolatos lehető legnagyobb mennyiségű releváns információt (különösen a kérelmek száma, a kért adatok típusa, a megkereső hatóság vagy hatóságok, a kérelmek megtámadása és a megtámadások kimenetele stb.). [A harmadik modul esetében: Az adatátadó továbbítja az információt az adatkezelőnek.]

d)

Az adatátvevő vállalja, hogy az a)–c) bekezdés szerinti információkat a szerződés időtartama alatt megőrzi, és kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja.

e)

Az a)–c) bekezdés nem érinti az adatátvevőnek a 14. feltétel e) bekezdése és a 16. feltétel szerinti azon kötelezettségét, hogy haladéktalanul tájékoztassa az adatátadót, ha az nem képes megfelelni ezeknek a feltételeknek.

15.2.   A jogszerűség felülvizsgálata és az adattakarékosság

a)

Az adatátvevő vállalja, hogy felülvizsgálja az adatközlés iránti kérelem jogszerűségét, nevezetesen azt, hogy az továbbra is a megkereső hatóság hatáskörében marad-e, és megtámadja a kérelmet, amennyiben alapos vizsgálatot követően arra a következtetésre jut, hogy megalapozottan feltételezhető, hogy a kérelem a rendeltetési ország jogszabályai szerint jogellenes, beleértve a nemzetközi jog és a nemzetközi udvariasság elve alapján alkalmazandó kötelezettségeket is. Az adatátvevő azonos feltételek mellett jogorvoslattal élhet. A kérelem megtámadásakor az adatátvevő ideiglenes intézkedéseket kér annak érdekében, hogy az illetékes igazságügyi hatóság érdemi döntéséig felfüggessze a kérelem joghatását. A megkeresett hatóság a kért személyes adatokat mindaddig nem teszi közzé, amíg az alkalmazandó eljárási szabályok erre nem kötelezik. Ezek a követelmények nem érintik az adatátvevőnek a 14. feltétel e) bekezdése szerinti kötelezettségeit.

b)

Az adatátvevő vállalja, hogy dokumentálja jogi értékelését, valamint az adatközlési kérelemmel kapcsolatos kifogásokat, és – a rendeltetési ország jogszabályai által megengedett mértékben – a dokumentációt az adatátadó rendelkezésére bocsátja. Ezt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja. [A harmadik modul esetében: Az adatátadó az értékelést az adatkezelő rendelkezésére bocsátja.]

c)

Az adatátvevő vállalja, hogy a tájékoztatás iránti kérelemre való válaszadáskor a kérelem észszerű értelmezése alapján megadja a minimálisan megengedhető információmennyiséget.

IV. SZAKASZ – ZÁRÓ RENDELKEZÉSEK

16. feltétel

A feltételeknek való meg nem felelés és a szerződés felmondása

a)

Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha bármilyen okból nem tud megfelelni ezeknek a feltételeknek.

b)

Abban az esetben, ha az adatátvevő megsérti az ezen feltételek szerinti kötelezettségeit, akkor az adatátadó ideiglenesen felfüggesztheti a személyes adatoknak az adatátvevő felé történő továbbítását, mindaddig, amíg a megfelelés nincs újból biztosítva, vagy a szerződés meg nem szűnik. Ez nem érinti a 14. feltétel f) pontját.

c)

Az adatátadó jogosult a szerződés felmondására, amennyiben az személyes adatok e feltételek szerinti kezelésére vonatkozik, ha:

i.

az adatátadó a b) bekezdésnek megfelelően felfüggesztette a személyes adatoknak az adatátvevő részére történő továbbítását, és észszerű időn belül, de legkésőbb a felfüggesztést követő egy hónapon belül nem áll helyre az e feltételeknek való megfelelés;

ii.

az adatátvevő súlyosan vagy tartósan megsérti ezeket a feltételeket; vagy

iii.

az adatátvevő nem tesz eleget az illetékes bíróság vagy felügyeleti hatóság kötelező erejű határozatának az e feltételek szerinti kötelezettségei tekintetében.

Ezekben az esetekben tájékoztatja az illetékes felügyeleti hatóságot [a harmadik modul esetében: és az adatkezelőt] az ilyen meg nem felelésről. Amennyiben a szerződés kettőnél több felet érint, az adatátadó ezt a felmondási jogot csak az érintett Fél tekintetében gyakorolhatja, kivéve, ha a Felek ettől eltérően állapodtak meg.

d)

[Az első, második és harmadik modul esetében: Azokat a személyes adatokat, amelyeket a szerződés c) bekezdés szerinti megszűnése előtt továbbítottak, az adatátadó választása szerint haladéktalanul vissza kell juttatni az adatátadónak, vagy teljes egészében törölnie kell. Ugyanez alkalmazandó az adatok valamennyi másolatára.] [A negyedik modul esetében: Az adatátadó által az EU-ban gyűjtött személyes adatokat, amelyeket a szerződés c) bekezdés szerinti megszűnése előtt továbbítottak, haladéktalanul teljes egészében törölni kell, beleértve azok másolatait.] Az adatátvevő tanúsítja az adatok törlését az adatátadó felé. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a továbbított személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli.

e)

Bármelyik fél visszavonhatja azon hozzájárulását, hogy e feltételek rá nézve kötelezőek legyenek, amennyiben i. az Európai Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján a személyes adatok e feltételek hatálya alá tartozó továbbítására kiterjedő határozatot fogad el; vagy ii. az (EU) 2016/679 rendelet azon ország jogi keretének részévé válik, ahová a személyes adatokat továbbítják. Ez nem érinti a szóban forgó adatkezelésre az (EU) 2016/679 rendelet alapján alkalmazandó egyéb kötelezettségeket.

17. feltétel

Irányadó jog

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

[1. LEHETŐSÉG: Ezekre a feltételekre az Európai Unió valamely tagállamának joga az irányadó, feltéve, hogy ez a jog engedélyezi a kedvezményezett harmadik felek jogait. A Felek megállapodnak abban, hogy ez ___ (adja meg a tagállamot) joga.]

[2. LEHETŐSÉG (a második és a harmadik modul esetében): Ezekre a feltételekre az adatátadó székhelye szerinti európai uniós tagállam joga az irányadó. Amennyiben ez a jog nem engedélyezi a kedvezményezett harmadik fél jogait, akkor azokra az Európai Unió egy másik tagállamának joga az irányadó, amely engedélyezi a kedvezményezett harmadik fél jogait. A Felek megállapodnak abban, hogy ez ___ (adja meg a tagállamot) joga.]

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

Ezekre a feltételekre egy olyan ország joga az irányadó, amely engedélyezi a kedvezményezett harmadik felek jogait. A Felek megállapodnak abban, hogy ez ___ (adja meg az országot) joga.

18. feltétel

Az eljáró bíróság és a joghatóság megválasztása

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

a)

Az e feltételekből eredő vitákat valamely uniós tagállam bíróságai rendezik.

b)

A Felek megállapodnak abban, hogy ezek ___ (adja meg a tagállamot) bíróságai lehetnek.

c)

Az érintett bírósági eljárást indíthat az adatátadóval és/vagy adatátvevővel szemben annak a tagállamnak a bíróságai előtt, ahol a szokásos tartózkodási helye található.

d)

A Felek megállapodnak abban, hogy e bíróságok joghatósága alá tartoznak.

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

 

Az e feltételekből eredő vitákat _____ (adja meg az országot) bíróságai rendezik.


(1)  Amennyiben az adatátadó az (EU) 2016/679 rendelet hatálya alá tartozó, valamely uniós intézmény vagy szerv mint adatkezelő nevében eljáró adatfeldolgozó, az (EU) 2016/679 rendelet hatálya alá nem tartozó más adatfeldolgozó (további adatkezelés) igénybevételekor az e feltételek alkalmazása biztosítja a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendelet (HL L 295., 2018.11.21., 39. o.) 29. cikke (4) bekezdésének való megfelelést, amennyiben ezek a feltételek és az adatkezelő és az adatfeldolgozó között az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdése szerinti szerződésben vagy egyéb jogi aktusban foglalt adatvédelmi kötelezettségek összhangban vannak. Ez különösen abban az esetben áll fenn, ha az adatkezelő és az adatfeldolgozó az 2021/915 határozatban foglalt általános szerződési feltételeket alkalmazza.

(2)  Ehhez – az (EU) 2016/679 rendelet (26) preambulumbekezdésével összhangban – az adatokat olyan módon kell anonimizálni, hogy az egyén már ne legyen azonosítható, és hogy ez az eljárás visszafordíthatatlan legyen.

(3)  Az Európai Gazdasági Térségről szóló megállapodás (EGT-megállapodás) kiterjeszti az Európai Unió belső piacát a három EGT-államra: Izlandra, Liechtensteinre és Norvégiára. Az uniós adatvédelmi jogszabályok, így az (EU) 2016/679 rendelet, az EGT-megállapodás hatálya alá tartoznak, és az említett jogszabályokat beépítették annak XI. mellékletébe. Ezért e feltételek alkalmazásában az adatátvevő által az EGT-ben található harmadik fél felé történő adatközlés nem minősül további adattovábbításnak.

(4)  Az Európai Gazdasági Térségről szóló megállapodás (EGT-megállapodás) kiterjeszti az Európai Unió belső piacát a három EGT-államra: Izlandra, Liechtensteinre és Norvégiára. Az uniós adatvédelmi jogszabályok, így az (EU) 2016/679 rendelet, az EGT-megállapodás hatálya alá tartoznak, és az említett jogszabályokat beépítették annak XI. mellékletébe. Ezért e feltételek alkalmazásában az adatátvevő által az EGT-ben található harmadik fél felé történő adatközlés nem minősül további adattovábbításnak.

(5)  Lásd az (EU) 2016/679 rendelet 28. cikkének (4) bekezdését, valamint – amennyiben az adatkezelő uniós intézmény vagy szerv – az (EU) 2018/1725 rendelet 29. cikkének (4) bekezdését.

(6)  Az Európai Gazdasági Térségről szóló megállapodás (EGT-megállapodás) kiterjeszti az Európai Unió belső piacát a három EGT-államra: Izlandra, Liechtensteinre és Norvégiára. Az uniós adatvédelmi jogszabályok, így az (EU) 2016/679 rendelet, az EGT-megállapodás hatálya alá tartoznak, és az említett jogszabályokat beépítették annak XI. mellékletébe. Ezért e feltételek alkalmazásában az adatátvevő által az EGT-ben található harmadik fél felé történő adatközlés nem minősül további adattovábbításnak.

(7)  Ez magában foglalja, hogy a továbbítás és a további adatkezelés kiterjed-e a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatokra, a természetes személyek egyedi azonosítását célzó genetikai adatokra vagy biometrikus adatokra, az egészségi állapotra, az adott személy szexuális életére vagy szexuális irányultságára vonatkozó adatokra, vagy a büntetőjogi felelősséget megállapító ítéletekre vagy bűncselekményekre vonatkozó adatokra.

(8)  Ezt a követelményt a további adatfeldolgozó is teljesítheti, ha a 7. feltételnek megfelelően csatlakozik ezekhez a feltételekhez a megfelelő modul alapján.

(9)  Ezt a követelményt a további adatfeldolgozó is teljesítheti, ha a 7. feltételnek megfelelően csatlakozik ezekhez a feltételekhez a megfelelő modul alapján.

(10)  Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. Az adatátvevő a meghosszabbításról megfelelően és haladéktalanul tájékoztatja az érintettet.

(11)  Az adatátvevő csak akkor kínálhat független vitarendezést választott bírósági testületen keresztül, ha olyan országban telepedett le, amely megerősítette a választott bírósági határozatok végrehajtásáról szóló New York-i Egyezményt.

(12)  Az ilyen jogszabályok és gyakorlatok e feltételeknek való megfelelésre gyakorolt hatását illetően az átfogó értékelés részeként különböző elemeket lehet figyelembe venni. Ezek az elemek magukban foglalhatják a hatóságoktól érkező előzetes adatközlési kérelmekkel vagy az ilyen kérelmek hiányával kapcsolatos releváns és dokumentált gyakorlati tapasztalatokat, amelyek kellően reprezentatív időkeretet ölelnek fel. Ez különösen a belső nyilvántartásokra vagy más dokumentumokra vonatkozik, amelyeket folyamatosan, a kellő gondosság elvének megfelelően állítanak össze, és felső vezetői szinten tanúsítottak, feltéve, hogy ezeket az információkat harmadik felekkel jogszerűen meg lehet osztani. Amennyiben erre a gyakorlati tapasztalatra támaszkodnak annak megállapításához, hogy az adatátvevőt nem akadályozzák meg abban, hogy megfeleljen ezeknek a feltételeknek, azt egyéb releváns, objektív tényezőkkel kell alátámasztani, és a Felek feladata annak gondos mérlegelése, hogy ezek az elemek – megbízhatóságuk és reprezentativitásuk tekintetében – kellő súlyt képviselnek-e ahhoz, hogy alátámasszák ezt a következtetést. A Feleknek különösen azt kell figyelembe venniük, hogy gyakorlati tapasztalataikat alátámasztják-e vagy nem cáfolják-e nyilvánosan elérhető vagy más módon hozzáférhető, megbízható információk az ugyanazon ágazaton belüli kérelmek meglétéről vagy hiányáról, és/vagy a jog gyakorlati alkalmazásáról, mint például az ítélkezési gyakorlat és a független felügyeleti szervek jelentései.


FÜGGELÉK

MAGYARÁZÓ FELJEGYZÉS:

Lehetővé kell tenni az egyes adattovábbításokra vagy adattovábbítási kategóriákra vonatkozó információk egyértelmű megkülönböztetését, és e tekintetben a Felek mint adatátadó(k) és/vagy adatátvevő(k) szerepének meghatározását. Ehhez nem feltétlenül szükséges külön függelékek kitöltése és aláírása minden egyes adattovábbítási kategóriára és/vagy szerződéses jogviszonyra vonatkozóan, amennyiben ez az átláthatóság egy függelék révén elérhető. Amennyiben azonban a megfelelő egyértelműség érdekében szükséges, külön függelékeket kell alkalmazni.


I. MELLÉKLET

A.   A FELEK LISTÁJA

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

Adatátadó(k): [Az adatátadó(k) és adott esetben az adatvédelmi tisztviselőjének és/vagy európai uniós képviselőjének azonosító adatai és elérhetőségei]

1.

Név: …

Cím: …

A kapcsolattartó személy neve, beosztása és elérhetősége: …

Az e feltételek alapján továbbított adatokra vonatkozó tevékenységek: …

Aláírás és dátum: …

Szerepkör (adatkezelő/adatfeldolgozó): …

2.

Adatátvevő(k): [Az adatátvevő(k) azonosító adatai és elérhetőségei, beleértve az adatvédelemért felelős kapcsolattartó személyeket is]

1.

Név: …

Cím: …

A kapcsolattartó személy neve, beosztása és elérhetősége: …

Az e feltételek alapján továbbított adatokra vonatkozó tevékenységek: …

Aláírás és dátum: …

Szerepkör (adatkezelő/adatfeldolgozó): …

2.

B.   A TOVÁBBÍTÁS LEÍRÁSA

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére

Az érintettek azon kategóriái, akiknek a személyes adatait továbbítják

A továbbított személyes adatok kategóriái

A továbbított érzékeny adatok (adott esetben) és azon korlátozások vagy garanciák alkalmazása, amelyek teljes mértékben figyelembe veszik az adatok jellegét és a kapcsolódó kockázatokat, például szigorú célhoz kötöttség, hozzáférési korlátozások (ideértve a kizárólag a speciális képzésben részt vevő személyzet hozzáférését), az adatokhoz való hozzáférés nyilvántartása, az adattovábbításra vonatkozó korlátozások vagy további biztonsági intézkedések.

Az adattovábbítás gyakorisága (például az, hogy az adattovábbítás egyszeri vagy folyamatos).

Az adatkezelés jellege

Az adattovábbítás és a további adatkezelés célja(i)

A személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai

A (további) feldolgozóknak történő továbbítások esetében meg kell adni az adatkezelés tárgyát, jellegét és időtartamát is

C.   ILLETÉKES FELÜGYELETI HATÓSÁG

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

Adja meg a 13. feltétellel összhangban illetékes felügyeleti hatóság adatait


II. MELLÉKLET

TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSEK, BELEÉRTVE AZ ADATOK BIZTONSÁGÁT BIZTOSÍTÓ TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSEKET

ELSŐ MODUL: Adatkezelők közötti adattovábbítás

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

MAGYARÁZÓ FELJEGYZÉS:

A technikai és szervezési intézkedéseket konkrét (és nem általános) kifejezésekkel kell leírni. Lásd még a függelék első oldalához fűzött általános megjegyzést, különösen annak szükségességével kapcsolatban, hogy egyértelműen meg kell jelölni, mely intézkedések alkalmazandók az egyes továbbításokra/több továbbításra.

Az adatátvevő(k) által a biztonság megfelelő szintjének biztosítása érdekében végrehajtott technikai és szervezési intézkedések leírása (beleértve a vonatkozó tanúsítványokat), figyelembe véve az adatkezelés jellegét, hatókörét, kontextusát és célját, valamint a természetes személyek jogait és szabadságait érintő kockázatokat.

[Példák a lehetséges intézkedésekre:

A személyes adatok álnevesítésére és titkosítására irányuló intézkedések

A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítására, integritására, rendelkezésre állására és ellenálló képességére irányuló intézkedések

Fizikai vagy technikai incidens esetén a személyes adatok időben történő rendelkezésre állásának és az azokhoz való hozzáférés helyreállításának képességét biztosító intézkedések

Az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások

A felhasználók azonosítására és hitelesítésére vonatkozó intézkedések

Az átvitel során az adatok védelmét szolgáló intézkedések

A tárolás során az adatok védelmét szolgáló intézkedések

A személyes adatok kezelése helyszíneinek fizikai biztonságát biztosító intézkedések

Az események naplózásának biztosítására irányuló intézkedések

A rendszer konfigurációjának biztosítására irányuló intézkedések, beleértve az alapértelmezett konfigurációt is

A belső informatikai és informatikai biztonsági irányításra és kezelésre vonatkozó intézkedések

Az eljárások és termékek tanúsítására/biztosítására vonatkozó intézkedések

Az adattakarékosságot biztosító intézkedések

Az adatminőséget biztosító intézkedések

A korlátozott adatmegőrzést biztosító intézkedések

Az elszámoltathatóság biztosítására irányuló intézkedések

Az adathordozhatóságot lehetővé tevő és a törlést biztosító intézkedések]

A (további) adatfeldolgozók részére történő adattovábbítás esetében ismertesse azokat a konkrét technikai és szervezési intézkedéseket is, amelyeket a (további) adatfeldolgozónak be kell vezetnie annak érdekében, hogy segítséget tudjon nyújtani az adatkezelőnek, adatfeldolgozótól további feldolgozó részére történő továbbítás esetén pedig az adatátadónak.


III. MELLÉKLET

TOVÁBBI ADATFELDOLGOZÓK LISTÁJA

MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére

HARMADIK MODUL: Adattovábbítás adatfeldolgozók között

MAGYARÁZÓ FELJEGYZÉS:

Ezt a mellékletet a második és a harmadik modul esetében kell kitölteni a további adatfeldolgozók egyedi engedélyezése esetén (9. feltétel a) bekezdés, 1. lehetőség).

Az adatkezelő a következő további adatfeldolgozók alkalmazását engedélyezte:

1.

Név: …

Cím: …

A kapcsolattartó személy neve, beosztása és elérhetősége: …

Az adatkezelés leírása (ideértve a felelősségi körök egyértelmű elhatárolását több további adatfeldolgozó engedélyezése esetén): …

2.