Adatvédelmi szabályok adatfeldolgozói feladatok ellátásához
1. Általános rendelkezések
1.1 A Megrendelő a jelen adatvédelmi rendelkezések tekintetében Adatfeldolgozó, míg a Szolgáltató az Adtafeldolgozó Közreműködője. A jelen mellékletben használt fogalmak ugyanazt jelentik, mint a Szerződésben, kivéve, ha a jelen melléklet 2. pontjában kifejezetten másként vannak meghatározva. Ha ütközés vagy következetlenség tapasztalható a jelen melléklet és a Szerződés között, a jelen melléklet értelmezése szempontjából a melléklet rendelkezései az irányadók.
2. Definíciók
„Adatkezelő” az Alfa Vienna Insurance Group Biztosító Zrt. amely egyedül, vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módjait;
„Adatfeldolgozó” a Help24 Assistance Kft., amely az Adatkezelő érdekében személyes adatokat dolgoz fel.
„Adattulajdonos” egy azonosított vagy azonosítható természetes személy; azonosítható természetes személy az, akit közvetlenül, vagy közvetetten azonosítani lehet, konkrétan olyan azonosítók alapján, mint név, azonosító szám, helyadat, online azonosító, vagy a természetes személy egy vagy több – fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy közösségi személyiségére vonatkozó – jellemzője alapján.
„EGT” Európai Gazdasági Térség; az Európai Közösség valamennyi tagállama, Norvégia, Izland, Liechtenstein és a melléklet céljaira Svájc.
„Alkalmazott” a következő személyeket jelenti:
(a) az Adatfeldolgozó és a Közreműködő alkalmazottja, nála munkára jelentkező személy, vagy korábbi alkalmazottja, beleértve azokat is, akik az Adatfeldolgozó közvetlen felügyelete alatt dolgoznak (pl. független vállalkozók és gyakornokok). Ez a fogalom nem fedi azokat az embereket, akik az Adatfeldolgozó tanácsadóiként dolgoznak, vagy harmadik felek olyan alkalmazottai, akik szolgáltatásokat nyújtanak az Adatfeldolgozónak;
(b) az Adatfeldolgozó vagy a Közreműködő egy (korábbi) ügyvezetője vagy igazgatója, vagy az Adatfeldolgozó felügyelő bizottságának vagy hasonló testületének egy (korábbi) tagja.
„Általános adatvédelmi rendelet (GDPR)” az EK természetes személyek személyes adatok feldolgozása alatti védelméről, és az ilyen adatok szabad áramlásáról szóló 2016/679 számú rendelete.
„Magas kockázat” különösen az új technológiák alkalmazásával történő feldolgozás a feldolgozás természetét, hatókörét, összefüggéseit és céljait hajlamos magas kockázatot eredményezni természetes személyek jogaira és szabadságára.
„Nem megfelelő ország” egy olyan országot jelent, amelyről úgy ítélik meg, hogy a GDPR értelmében nem kielégítő szintű személyes adatvédelmet biztosít.
„Harmadik ország” az Európai Unió tagállamai közé nem tartozó ország.
„Személyes adat” a jelen melléklet tekintetében az az információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik („adattulajdonos”); azonosítható természetes személy az, akit közvetlenül, vagy közvetetten azonosítani lehet, konkrétan olyan azonosítók alapján, mint név, azonosító szám, helyadat, online azonosító, vagy a természetes személy egy vagy több – fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy közösségi személyiségére vonatkozó – jellemzője alapján.
A „személyes adatok megsértése” a biztonság olyan megsértését jelenti, amely véletlenszerűen vagy törvénytelenül vezet a továbbított, tárolt vagy más módon feldolgozott személyes adatok megsemmisüléséhez, elveszítéséhez, megváltozásához, jogosulatlan nyilvánosságra hozatalához, vagy hozzáféréséhez.
„Feldolgozás” bármilyen, a személyes adatokon, vagy személyes adat készleteken végrehajtott műveletet vagy műveletsort jelent, akár automatizált eszközzel vagy anélkül, például adatok gyűjtése, rögzítése, szervezése, strukturálása, tárolása, adaptálása vagy megváltoztatása, előhívása, konzultációja, felhasználása, felfedése továbbítással, terjesztése vagy más módon való elérhetővé tétele, összerendezése vagy kombinálása, korlátozása, törlése vagy megsemmisítése.
„Közreműködő” bármely olyan harmadik fél, amely az Adatfeldolgozó utasításai szerint és ellenőrzése alatt dolgoz fel személyes adatokat.
„Harmadik fél” bármely, a Szerződésben vagy a mellékletben említett Felektől eltérő fél.
3. Utasítások
3.1 A Közreműködő a Szerződés teljesítése érdekében, illetve az Adatkezelő ügyfeleinek nyújtott szolgáltatás során, a személyes adatokon technikai műveletek végzésére nem jogosult, a személyes adatokról döntést nem hozhat, az adatokat kizárólag a szerződésben vállalt szakszolgáltatások nyújtásával összefüggésben használhatja.
3.2 Az adatfeldolgozás során a Közreműködő csak az Adatfeldolgozótól kapott utasításoknak megfelelően járhat el, és olyan adatkezelési cél érdekében, amelyekre az Adatfeldolgozó megbízta a Szerződéssel és a jelen melléklettel összhangban.
4. Alkalmazandó jog
4.1 A személyes adatok feldolgozása során az Adatfeldolgozónak és a Közreműködőnek be kell tartania az Európai Unió Általános Adatvédelmi rendeletét (GDPR), az Információs Önrendelkezési Jogról és az Információ Szabadságról szóló törvényt, a biztosítási tevékenységről szóló törvényt, és valamennyi olyan hatályos uniós és magyar jogszabályt, amely adatkezeléssel/adatfeldolgozással összefüggő szabályokat állapít meg.
5. Titoktartási szabályok
5.1 A Közreműködő a személyes adatokat bizalmasan köteles kezelni. Az Adatfeldolgozó által átadott személyes adatokat csak a Szerződés felhatalmazó rendelkezése, vagy az Adatfeldolgozó vagy az Adatkezelő megelőző írásos engedélye alapján lehet más részére hozzáférhetővé tenni kivéve, (i) ha az ilyen adatfeldolgozást a jelen melléklet megengedi, (ii) a feldolgozás a Szerződésben és a mellékletben lefektetett adatfeldolgozási tevékenységek teljesítésének feltétele, vagy
(iii) ha a személyes adatokat egy illetékes nyilvános hatóság vagy bíróság számára, vagy jogszabály kötelező rendelkezésének teljesítése érdekében, illetve auditálási célokra szükséges feldolgozni.
5.2 A Közreműködő az alkalmazottainak csak olyan mértékű hozzáférést biztosíthat a személyes adatokhoz, amely a feldolgozás elvégzéséhez szükséges. Erre az esetre a Közreműködő biztosítja azt, hogy mindegyik meghatalmazott alkalmazottja tisztában legyen a személyes adatok Szerződésben és a jelen mellékletben lefektetett bizalmas kezelési és biztonsági követelményeivel.
6. Közreműködők
6.1 A Közreműködőknek meg kell felelniük azoknak az adatbiztonsági követelményeknek, amiket az Adatkezelő az Adatfeldolgozóval szemben támaszt.
6.2 Az Adatfeldolgozó csak olyan Közreműködőt vehet igénybe, aki megfelel az Adatkezelő általa elvárt szabályoknak.
6.3 Az Adatkezelő bármikor visszavonhatja a Közreműködő igénybevételére szóló hozzájárulását, ha olyan információ birtokába kerül, amely kétségessé teszi a Közreműködő alkalmasságát.
7. Együttműködés a hatósági ellenőrzések végrehajtásában, támogatásában
7.1 Közreműködő köteles együttműködni az Adatkezelőt és/vagy az Adatfeldolgozót érintő hatósági ellenőrzések során. A felek megállapodnak, ha a hatósági ellenőrzés eredményeként az adatfeldolgozás bármely elemét korrigálni kell, abban együttműködnek és támogatják egymást a hatósági elvárások teljesítése érdekében.
8. Adatvédelmi incidenskezelés
8.1 A Közreműködő haladéktalanul maximum a felfedéstől számított huszonnégy órán belül tájékoztatja az Adatfeldolgozót, ha:
(a) ellenőrzésre vagy auditálásra vonatkozó érdeklődést, idézést vagy igényt kap egy hatóságtól a feldolgozással kapcsolatban, kivéve azt az esetet, ha a Közreműködő számára törvényileg tiltott, hogy ezt felfedje;
(b) ha arra készül, hogy személyes adatokat fedjen fel bármely illetékes hatóság számára; vagy
(c) ha olyan eseményt észlel, amely az általa feldolgozott személyes adatok érintettjei tekintetében a biztonság olyan sérülését jelenti, amely a feldolgozott adatok jogellenes megsemmisítésével, elvesztésével, módosításával, jogosulatlan nyilvánosságra hozatalával, vagy jogosulatlan hozzáféréssel fenyeget.
8.2 Adatvédelmi incidens észlelése esetén Közreműködő az alábbiakról köteles az Adatfeldolgozót értesíteni:
(a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
(b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
(c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
(d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
8.3 Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az incidensről az Adatkezelő tájékoztatja az érintetteket és bejelenti az adatvédelmi hatóságnak. Az érintett tájékoztatásának, illetve a hatósági bejelentés kötelezettsége az Adatkezelőt terheli.
8.4 Az incidenstájékoztatást a Közreműködő az alábbi eljárás betartásával köteles teljesíteni:
A Közreműködő az incidens felismerésekor haladéktalanul köteles az Adatfeldolgozó kapcsolattartóját titkosított elektronikus levélben értesíteni, megadva a fenti információkat és csatolva a szükséges bizonyítékokat.
9. Reklamációk, igények, érdeklődések és az Adattulajdonosok jogai
9.1 Az Adatfeldolgozó és a Közreműködő is köteles együttműködni az Adatkezelővel a Szerződés szerinti feldolgozással kapcsolatos kérdésekben.
9.2 Ebben a körben haladéktalanul tájékoztatják az Adatkezelőt, ha bármilyen tájékoztatás iránti igényt, reklamációt, kapnak az adattulajdonosoktól, így különösen a személyes adatok helyesbítésére, törlésére vagy zárolására vonatkozó igényeket, illetve a GDPR harmadik fejezete alapján gyakorolt érintetti jogról.
10. A feldolgozásra átadott adatok visszaküldése és megsemmisítése
10.1 Az Adatfeldolgozó és a Közreműködő az Adatkezelő kérésére bármikor köteles beszüntetni az adatfeldolgozást és az adatokat az adatkezelői döntéstől függően kötelesek az Adatkezelőnek visszaküldeni, vagy az adatokat kötelesek megsemmisíteni. A Közreműködő a személyes adatokat csak a Szerződésből eredő kötelezettségeinek teljesítéséhez szükséges ideig tarthatja meg.
10.2 A Szerződés megszűnésekor a Közreműködő köteles az adatfeldolgozást beszüntetni és – ha jogszabály, hatóság, bíróság vagy a felek másként nem rendelkeznek – az Adatfeldolgozó utasítása szerint az adatok visszaküldése, vagy megsemmisítése iránt intézkedni.
11. Személyes adatok felhasználása az Adatfeldolgozó részéről
A Közreműködő saját céljaira nem használhatja fel a részére átadott személyes adatokat. Jelen szabály megsértése a szerződés súlyos megszegésének minősül.