Adatfeldolgozási megállapodás

Hatálybalépés dátuma: 2025. január 1.

Bevezetés

Ez az Adatfeldolgozási Megállapodás ("DPA") kiegészíti a RemoteOps ("Adatfeldolgozó") és az előfizető szervezet ("Adatkezelő") közötti Szolgáltatási Feltételeket. Ez a DPA szabályozza az Adatfeldolgozó által az Adatkezelő nevében végzett személyesadat-feldolgozást a RemoteOps platformmal kapcsolatban, az Általános Adatvédelmi Rendelet (GDPR) 28. cikkével összhangban.

Fogalommeghatározások

"Adatkezelő" az a szervezet, amely meghatározza a személyes adatok feldolgozásának céljait és eszközeit a RemoteOps platformon keresztül. "Adatfeldolgozó" a RemoteOps, amely az Adatkezelő nevében dolgoz fel személyes adatokat. "Érintett" az azonosított vagy azonosítható természetes személy, akinek személyes adatait feldolgozzák. "Személyes adat" az Érintettre vonatkozó bármely információ. "Feldolgozás" a személyes adatokon végzett bármely művelet, beleértve a gyűjtést, tárolást, lekérést, felhasználást, közlést és törlést.

Feldolgozás hatóköre és célja

Az Adatfeldolgozó kizárólag a RemoteOps helyszíni szervizkezelő platform Adatkezelő részére történő biztosítása céljából dolgoz fel személyes adatokat. Az érintettek kategóriái közé tartoznak az Adatkezelő alkalmazottai, technikusai, diszpécserei és végfelhasználói. A személyes adatok kategóriái közé tartoznak a nevek, e-mail címek, telefonszámok, helyadatok (navigációs funkciók aktív használatakor), munkalap-előzmények és hívás metaadatok.

Az Adatfeldolgozó kötelezettségei

Az Adatfeldolgozó köteles: (a) személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján feldolgozni; (b) biztosítani, hogy a személyes adatok feldolgozására jogosult személyeket titoktartási kötelezettség kösse; (c) megfelelő technikai és szervezési biztonsági intézkedéseket végrehajtani; (d) további feldolgozót csak az Adatkezelő előzetes írásbeli engedélyével bevonni; (e) segíteni az Adatkezelőt az érintetti kérések megválaszolásában; (f) segíteni az Adatkezelőt a biztonságra, adatvédelmi incidensek bejelentésére és hatásvizsgálatokra vonatkozó GDPR-kötelezettségek teljesítésében; (g) a megállapodás megszűnésekor minden személyes adatot törölni vagy visszaadni; (h) a DPA-nak való megfelelés igazolásához szükséges minden információt rendelkezésre bocsátani.

Alfeldolgozók

Az Adatfeldolgozó listát vezet a jóváhagyott alfeldolgozókról. Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak alfeldolgozók bevonására a következő feltételek mellett: (a) az Adatfeldolgozó legalább 30 nappal előre értesíti az Adatkezelőt alfeldolgozó hozzáadásáról vagy cseréjéről; (b) az Adatkezelő az értesítéstől számított 14 napon belül kifogást emelhet új alfeldolgozó ellen; (c) minden alfeldolgozót e DPA-val azonos szintű adatvédelmi kötelezettségek kötik.

Érintetti jogok

Az Adatfeldolgozó segíti az Adatkezelőt a GDPR 15-22. cikkei szerinti érintetti kérések (hozzáférés, helyesbítés, törlés, hordozhatóság, korlátozás és tiltakozás) megválaszolására vonatkozó kötelezettségei teljesítésében. Az Adatfeldolgozó a közvetlenül kapott érintetti kéréseket haladéktalanul továbbítja az Adatkezelőnek.

Biztonsági intézkedések

Az Adatfeldolgozó a kockázatnak megfelelő technikai és szervezési intézkedéseket hajt végre, beleértve: (a) személyes adatok titkosítását átvitel közben (TLS 1.3) és nyugalmi állapotban (AES-256); (b) többbérlős adatelkülönítés, amely biztosítja, hogy nincs bérlők közötti adathozzáférés; (c) szerepkör-alapú hozzáférés-vezérlés a legkisebb jogosultság elvével; (d) rendszeres biztonsági értékelések és sebezhetőségi vizsgálatok; (e) munkavállalói biztonsági tudatossági képzés; (f) hozzáférési naplózás és auditnyomvonalak.

Adatvédelmi incidens bejelentése

Az Adatfeldolgozó indokolatlan késedelem nélkül, de minden esetben 72 órán belül értesíti az Adatkezelőt a személyes adatvédelmi incidensről való tudomásszerzést követően. Az értesítés tartalmazza: (a) az incidens jellegének leírását; (b) az érintett érintettek kategóriáit és hozzávetőleges számát; (c) az incidens valószínű következményeit; (d) az incidens kezelésére tett vagy javasolt intézkedéseket.

Adattovábbítás

A személyes adatok elsődlegesen az Európai Unión belül kerülnek tárolásra és feldolgozásra. Amennyiben EU-n kívüli továbbítás szükséges (pl. egyes alfeldolgozók esetében), az Adatfeldolgozó az Európai Bizottság által jóváhagyott Általános Szerződési Feltételekre (SCCs) vagy a GDPR V. fejezete szerinti más jogilag elismert továbbítási mechanizmusokra támaszkodik.

Auditjogok

Az Adatkezelőnek joga van auditot végezni vagy független könyvvizsgálót kijelölni az Adatfeldolgozó DPA-nak való megfelelésének ellenőrzésére. Az audithoz 30 napos előzetes értesítés szükséges, és munkaidőben kell lefolytatni a működés minimális zavarásával. Az Adatfeldolgozó teljes mértékben együttműködik, és hozzáférést biztosít a vonatkozó dokumentációhoz, rendszerekhez és létesítményekhez.

Adattörlés és visszaadás

A szolgáltatási megállapodás megszűnésekor az Adatfeldolgozó az Adatkezelő választása szerint 30 napon belül törli vagy visszaadja az összes személyes adatot. A tanúsítható törlés a megszűnéstől számított 90 napon belül teljesül. Az Adatfeldolgozó csak EU vagy tagállami jogszabály által előírt esetben tarthat meg adatokat, és erről tájékoztatja az Adatkezelőt.

Időtartam és megszüntetés

Ez a DPA akkor lép hatályba, amikor az Adatkezelő megkezdi a RemoteOps platform használatát, és mindaddig hatályban marad, amíg az Adatfeldolgozó az Adatkezelő nevében személyes adatokat dolgoz fel. Az Adatfeldolgozó adatvédelmi kötelezettségei e DPA megszűnését követően is fennmaradnak.