TEHÁT, és hogy lehetővé tegyék a Felek számára, hogy jogszerűen folytassák kapcsolatukat, a Felek ezt a Mellékletet az alábbiak szerint kötötték meg:

1. Rész: A dokumentum felépítése és fogalmak

1.1. Felépítés

Ez a Melléklet különböző részekből áll a következők szerint:

1.2. Fogalmak és definíciók

A jelen Melléklet céljából a GDPR által használt fogalmak és definíciók alkalmazandók (A Szabványos Szerződési Feltételek dokumentumának törzsében a 2. részben, ahol a meghatározott fogalmak nem nagybetűsek). 

2. Az Adat Exportáló kötelezettségei

2.1 Az Adat Exportáló köteles biztosítani, hogy megfeleljen minden alkalmazandó GDPR és egyéb adatvédelmi jogszabályi kötelezettségnek, és azokat igazolja az GDPR 5. cikkének (2) bekezdése szerint. Az Adat Exportáló szavatolja, hogy az Adat Importáló megszerezte az érintettek előzetes hozzájárulását az GDPR 6. (a) cikkének megfelelően, és eleget tett kötelezettségének az érintettek tájékoztatására az GDPR 13. és 14. cikke szerint.

2.2 Az Adat Exportáló köteles az Adat Importáló rendelkezésére bocsátani a feldolgozási tevékenységek megfelelő fájljait az GDPR 30. (1) bekezdése szerint, a jelen Melléklet szerinti Szolgáltatásokhoz kapcsolódóan, annyiban, amennyiben ez szükséges az Adat Importáló számára az GDPR 30. (2) bekezdése szerinti kötelezettség teljesítéséhez.

2.3 Az Adat Exportáló köteles adatvédelmi tisztviselőt vagy képviselőt kijelölni az alkalmazandó adatvédelmi jogszabályok szerint. Az Adat Exportáló köteles megadni az adatvédelmi képviselő vagy tisztviselő elérhetőségeit az Adat Importálónak.

2.4 Az Adat Exportáló megerősíti, hogy az Adat Importáló technikai és szervezeti biztonsági intézkedései, amint az a 2. rész 2. sz. mellékletében szerepel, megfelelőek és elegendőek az érintett jogainak védelméhez, és megerősíti, hogy az Adat Importáló megfelelő védelmet nyújt ezen a téren.

3. Helyi jogszabályoknak való megfelelés

A GDPR 28. cikk szerinti feldolgozó ügynökök végrehajtásának érdekében az alábbi módosítások alkalmazandók:

3.1. Utasítások

1. (i) Az Adat Exportáló utasítja az Adat Importálót, hogy személyes adatokat kizárólag az Adat Exportáló nevében dolgozzon fel. Az Adat Exportáló utasításai ebben a Mellékletben és a Szerződésben találhatók. Az Adat Exportáló köteles biztosítani, hogy minden utasítás megfeleljen az alkalmazandó adatvédelmi jogszabályoknak. Az Adat Importáló csak az Adat Exportáló által adott utasítások szerint dolgozhat fel személyes adatokat, kivéve, ha az Európai Unió vagy a tagállam jogszabályai másként írják elő (ebben az esetben az 1. rész 3.2. pont (iv) alpontja alkalmazandó).
2. (ii) Minden más, a jelen Mellékletben vagy a Szerződésben nem szereplő utasítás, amely meghaladja ezeket, a Melléklet és a Szerződés tárgyát képezi. Ha ennek végrehajtása költségekkel jár az Adat Importáló számára, az Adat Importáló köteles erről tájékoztatni az Adat Exportálót, és magyarázatot adni, mielőtt végrehajtaná az utasítást. Csak azután hajthatja végre az Adat Importáló az utasítást, miután az Adat Exportáló elfogadta ezeket a költségeket. Az Adat Exportáló írásban adhat további utasításokat, kivéve, ha sürgősség vagy más különleges körülmény ezt másként írja elő (pl. szóbeli vagy elektronikus formában). Az írásbeli utasításokat az Adat Exportáló haladéktalanul megerősíti írásban.
3. 1. Amennyiben az Adat Exportáló nem tudja saját maga elvégezni a személyes adatok helyesbítését, törlését vagy korlátozását, az utasítások vonatkozhatnak a személyes adatok helyesbítésére, törlésére és/vagy korlátozására is, ahogy az az 1. rész 3.3. pontjában szerepel.
4. 2. Az Adat Importáló haladéktalanul tájékoztatja az Adat Exportálót, ha véleménye szerint egy utasítás sérti a GDPR-t vagy más alkalmazandó adatvédelmi rendelkezést az Európai Unióban vagy egy tagállamban ("Vitás utasítás"). Ha az Adat Importáló úgy véli, hogy egy utasítás sérti a GDPR-t vagy más adatvédelmi rendelkezést, nem köteles követni a Vitás utasítást. Ha az Adat Exportáló megerősíti a Vitás utasítást az Adat Importálótól kapott információk alapján, és elismeri felelősségét az utasításért, az Adat Importáló végrehajtja az utasítást, kivéve, ha az (i) technikai és szervezeti intézkedések végrehajtására, (ii) az érintettek jogaira vagy (iii) adatfeldolgozók igénybevételére vonatkozik. Ilyen esetekben az Adat Importáló kapcsolatba léphet az illetékes felügyeleti hatósággal, hogy jogilag értékeltesse az utasítást. Ha a felügyeleti hatóság jogszerűnek nyilvánítja az utasítást, az Adat Importáló végrehajtja azt. Az 1. rész 3.1. pont (ii) továbbra is alkalmazandó.

3.2. Az Adat Importáló kötelezettségei

1. (i) Az Adat Importáló biztosítja, hogy azok a személyek, akik az Adat Exportáló nevében személyes adatokat dolgoznak fel, különösen az alkalmazottak és az alvállalkozók munkatársai, vállalják az adatvédelmi titoktartási kötelezettséget vagy megfelelő jogszabályi titoktartási kötelezettségük van, és hogy az ilyen személyek az adatokhoz való hozzáférésük során azokat az Adat Exportáló utasításai szerint kezelik.
2. (ii) Az Adat Importáló végrehajtja a 2. rész 2. sz. mellékletében meghatározott technikai és szervezeti biztonsági intézkedéseket, mielőtt személyes adatokat dolgozna fel az Adat Exportáló nevében. Az Adat Importáló időről időre módosíthatja ezeket az intézkedéseket, amennyiben azok nem nyújtanak kevesebb védelmet, mint a 2. rész 2. sz. mellékletében szereplő intézkedések.
3. (iii) Az Adat Importáló az Adat Exportáló kérésére rendelkezésre bocsátja az igazolásokat azzal kapcsolatban, hogy megfelel-e az ezen Melléklet szerinti kötelezettségeinek. Ez az információs kötelezettség teljesül azzal, hogy az Adat Exportelőnek audit jelentést nyújt (a biztonság, rendszer rendelkezésre állása és bizalmasság szempontjából). Ha jogilag további auditokra van szükség, az Adat Exportáló kérheti, hogy azokat az ő vagy egy általa kijelölt auditor végezze, aki köteles titoktartási nyilatkozatot aláírni az Adat Importálóval ("Audit"). Az Audit feltételei: (i) az Adat Importáló előzetes írásbeli elfogadása; (ii) az Adat Exportáló viseli az audit helyszíni költségeit. Az Adat Exportáló készít összefoglaló jelentést az audit eredményeiről ("Helyszíni Audit Jelentés"). Az audit és a jelentések bizalmas információk, nem hozhatók nyilvánosságra harmadik fél számára, kivéve, ha jogszabály másként írja elő vagy az Adat Exportáló hozzájárul.
4. (iv) Az Adat Importáló köteles haladéktalanul értesíteni az Adat Exportálót:
1. a. minden jogilag kötelező adatközlési kérésről hatóság részéről, kivéve, ha jogszabály másként rendelkezik, például a nyomozási titoktartás érdekében;
2. b. minden közvetlenül érintett személytől kapott panaszról vagy kérésről (pl. hozzáférés, helyesbítés, törlés, feldolgozás korlátozása, adatátvitel, tiltakozás, automatikus döntéshozatal) anélkül, hogy azokra válaszolna, kivéve, ha erre felhatalmazást kapott;
3. c. ha az Adat Importáló vagy adatfeldolgozó jogszabály szerint köteles személyes adatokat az utasításokon túl feldolgozni, mielőtt ezt megtenné, kivéve, ha a jogszabályok közvetlenül tiltják, és a jogszabályi kötelezettség szerint az adatközlés szükséges, ebben az esetben az érintett jogszabályi kötelezettség szerinti jogi követelményt kell megjelölni;
4. d. ha az Adat Importáló vagy adatfeldolgozó személyes adat megsértését észleli, kizárólag saját vagy alvállalkozója által, amely az Adat Exportáló személyes adatait érinti, köteles segíteni az Adat Exportálónak az érintettek tájékoztatásában és a felügyeleti hatóságok értesítésében az GDPR 33. (3) cikkének megfelelően.
5. (v) Az Adat Exportáló kérésére az Adat Importáló köteles segíteni az adatvédelmi hatásvizsgálat elvégzésében (GDPR 35. cikk) és az előzetes konzultációban (GDPR 36. cikk), azzal a céllal, hogy az Adat Importáló által nyújtott szolgáltatások megfeleljenek a GDPR követelményeinek, és az ehhez szükséges információkat biztosítja az Adat Exportálónak. Az Adat Importáló csak akkor köteles ilyen segítséget nyújtani, ha az Adat Exportáló más módon nem tudja teljesíteni kötelezettségét. Az Adat Importáló tájékoztatja az Adat Exportálót a költségekről, és csak akkor nyújtja a segítséget, miután az Adat Exportáló megerősíti, hogy vállalja ezeket a költségeket.
6. (vi) A szolgáltatások nyújtásának végén az Adat Exportáló kérheti, hogy az Adat Importáló adja vissza a jelen Melléklet szerint feldolgozott személyes adatokat egy hónapon belül. Amennyiben a tagállam vagy az EU jogszabályai nem írják elő az adatok tárolását, az Adat Importáló törli az összes személyes vagy nem személyes adatot a határidő lejárta után, akár visszaküldte azokat az Adat Exportálónak, akár nem.

3.3. Az érintettek jogai

1.  
   1. (i) Az Adat Exportáló kezeli és válaszol az érintettek kérésére. Az Adat Importáló nem köteles közvetlenül az érintettekhez fordulni.
   2. (ii) Ha az Adat Exportáló az Adat Importáló segítségét kéri az érintettek kérésének feldolgozásában és kezelésében, akkor az Adat Exportáló további utasítást ad a 3.1. pont (ii) szerint. Az Adat Importáló segíti az Adat Exportálót az alábbiak szerint:
   3. a. Információkérés esetén az Adat Importáló csak azokat az adatokat adja át, amelyeket az GDPR 13. és 14. cikke szerint kell, hogy rendelkezésre álljanak, és amelyeket az Adat Exportáló nem talál meg saját maga.
   4. b. Hozzáférési kérelmek (GDPR 15. cikk) esetén az Adat Importáló csak azokat az adatokat adja át, amelyeket a kérés szerint az érintettnek meg kell kapnia, és amelyek az ő rendelkezésére állnak, ha azokat saját maga nem találja meg.
   5. c. Helyesbítési (GDPR 16. cikk), törlési (GDPR 17. cikk), korlátozási (GDPR 18. cikk) vagy adatátviteli (GDPR 20. cikk) kérelmek esetén, és csak akkor, ha az Adat Exportáló saját maga nem tudja helyesbíteni, törölni, korlátozni vagy továbbítani az adatokat, az Adat Importáló lehetőséget biztosít az Adat Exportálónak az adatok helyesbítésére, törlésére, korlátozására vagy továbbítására, vagy ha ez nem lehetséges, segít ebben.
   6. d. A helyesbítés, törlés vagy korlátozás érdekében az Adat Importáló segíti az Adat Exportálót az érintett személyeknek történő értesítésben, ha az Adat Exportáló kéri, és ha saját maga nem tudja ezt megtenni.
   7. e. Az értesítési kötelezettség az Adat Importáló részéről az összes érintett személy adatainak értesítésére, ha az Adat Exportáló kéri, és ha saját maga nem tudja ezt megtenni.
   8. f. Az ellenkezési jog gyakorlásával kapcsolatos értesítéseket az Adat Importáló továbbítja az érintetteknek, ha az Adat Exportáló kéri, és ha saját maga nem tudja ezt megtenni.

3.4. Alfeldolgozás

1.  
   1. (i) Az Adat Exportáló engedélyezi az Adat Importáló alvállalkozóinak, hogy a jelen Melléklet szerinti szolgáltatásokat nyújtsák. Az Adat Importáló gondosan választja ki az ilyen adatfeldolgozókat. Az Adat Exportáló jóváhagyja az 1.1. mellékletben felsorolt adatfeldolgozókat a 2. rész végén.
   2. (ii) Az Adat Importáló átruházza kötelezettségeit az alvállalkozókra, amennyiben azok az alvállalkozói szolgáltatásokra vonatkoznak.
   3. (iii) Az Adat Importáló szabadon felmondhat, helyettesíthet vagy más megbízható adatfeldolgozót választhat. Ha az Adat Exportáló írásban kéri, az Adat Importáló köteles az alábbi eljárást követni:
2.  
   1. a. Az Adat Importáló haladéktalanul értesíti az Adat Exportálót, mielőtt változtatásokat hajt végre az 1.1. pont szerinti adatfeldolgozók listájában. Ha az Adat Exportáló nem tiltakozik 30 nap alatt, a változtatás elfogadottnak tekinthető.
   2. b. Ha az Adat Exportálónak jogos okból kifogása van egy további adatfeldolgozóval szemben, akkor írásban értesíti az Adat Importálót 30 napon belül a változásról, és az előtt, hogy az új szolgáltatás működésbe lépne. Ha tiltakozik, az Adat Importáló megpróbálhatja elhárítani a kifogást az alábbi lehetőségek szerint: (A) az Adat Importáló törli az új feldolgozót az Adat Exportáló személyes adataira vonatkozóan; (B) az Adat Importáló végrehajtja az Adat Exportáló által kért korrekciókat, és az új feldolgozót az Adat Exportáló személyes adataira vonatkozóan; (C) az Adat Importáló megszünteti a szolgáltatást vagy az Adat Exportáló beleegyezik, hogy nem használja (ideiglenesen vagy véglegesen) az adott szolgáltatás egyes részeit, amelyek az Adat Exportáló további feldolgozóját igénylik.
3.  
   1. (iv) Ha a feldolgozó olyan országban található, amely nem az EU/EEA, és nem rendelkezik megfelelő adatvédelmi szinttel az Európai Bizottság döntése szerint, az Adat Importáló megteszi a szükséges lépéseket az EU GDPR szerint az adatvédelmi szint biztosítására (ide tartozhat többek között az EU Modell szerinti adatfeldolgozási szerződések alkalmazása, az EU-US Protection Shield keretében önkéntesen tanúsított adatfeldolgozókhoz való átadás vagy hasonló program).

3.5 Lejárat

Ez a Melléklet lejárata megegyezik a hozzá tartozó Szerződés lejáratával. Kivéve, ha másképp rendelkezik, a felmondással kapcsolatos jogok és kötelezettségek megegyeznek a Szerződésben foglaltakkal.

4. Kártérítési korlátozás

4.1 Minden fél saját maga felelős a jelen Melléklet szerinti kötelezettségeiért és az alkalmazandó adatvédelmi jogszabályok betartásáért.

4.2 A jelen Melléklet szerinti kötelezettségek megszegéséből eredő felelősség a Szerződésben vagy arra vonatkozó jogszabályokban meghatározott felelősségkizárási és felelősségkorlátozó rendelkezések szerint alakul, kivéve, ha a Melléklet másként rendelkezik. Ha a felelősség a Szerződés szerint kerül meghatározásra, akkor a jelen Melléklet szerinti felelősség is a Szerződés szerint értelmezendő, különösen a felelősség korlátainak számításában vagy más felelősségkorlátozások alkalmazásában.

5. Általános rendelkezések

5.1 Ha ellentmondás vagy eltérés van a 1. és 2. rész között, akkor a 2. rész az irányadó. Különösen, még ilyen esetben is, az 1. rész, amely csak a 2. részt meghaladó (azaz a Szabványos klauzulák feltételeit tartalmazza) anélkül, hogy ellentmondana, érvényben marad.

5.2 Ha ellentmondás van más szerződések és a jelen Melléklet között, akkor a jelen Melléklet az irányadó az adatvédelmi kötelezettségek tekintetében. Kétség esetén a jelen Melléklet az irányadó.

5.3 Ha valamely rendelkezés érvénytelen vagy nem kikényszeríthető, a többi rész továbbra is hatályban marad. Az érvénytelen vagy nem kikényszeríthető rendelkezést úgy kell módosítani, hogy az érvényes és kikényszeríthető legyen, lehetőség szerint a felek szándékát megőrizve, vagy ha ez nem lehetséges, úgy értelmezni, mintha az érvénytelen vagy nem kikényszeríthető rész soha nem lett volna a szerződés része. Ez a szabály akkor is alkalmazandó, ha hiányosság van a Mellékletben.

5.5 A szükséges mértékben a Fél kérheti a 1. rész 3. pont (Helyi jogszabályoknak való megfelelés) vagy más részek módosítását, hogy megfeleljen az uniós vagy tagállami hatóságok által kiadott értelmezéseknek, irányelveknek, vagy parancsoknak, a nemzeti végrehajtási rendelkezéseknek, vagy más jogi fejleményeknek a GDPR vagy más delegálási feltételek tekintetében, különösen a Szabványos Szerződési Feltételek alkalmazására vonatkozóan. A Szabványos klauzulák módosítása vagy helyettesítése csak az Európai Bizottság kifejezett jóváhagyásával történhet (pl. új megfelelő klauzulák és adatvédelmi szabványok által).

5.6 Bármilyen hivatkozás a jelen Mellékletben a "Klauzulákra" az összes rendelkezésre vonatkozik, kivéve, ha másként rendelkezik.

5.7 A jogválasztás a 2. rész 9. pontjára vonatkozik az egész Szerződésre.

6. Személyes adatok, amelyeket a felek személyes célokra továbbítanak és dolgoznak fel (az adatkezelőtől az adatkezelőig történő átadás)

6.1 A Fél teljes mértékben tudatában van annak, hogy bizonyos személyes adatokat át fognak adni az Adat Exportálótól az Adat Importálóhoz és fordítva, és hogy ezeket az adatokat mindkét Fél saját céljaira dolgozza fel. Ez az adatátadás nem befolyásolja a jelen Melléklet többi rendelkezését (kivéve a 6. pontot).

6.2 Az Adat Exportáló átadhat személyes adatokat az Adat Importáló személyzetéről, beleértve a biztonsági eseményekre vonatkozó információkat vagy más, az Adat Exportáló által készített vagy létrehozott dokumentumokat vagy fájlokat a nyújtott Szolgáltatások kapcsán. Az Adat Importáló saját céljaira feldolgozhatja ezeket az adatokat, különösen szakmai kapcsolataiban az Adat Importáló személyzetével, minőségellenőrzés vagy képzés céljából, vagy üzleti célokra.

6.3 Az Adat Importáló átadhat személyes adatokat az Adat Exportálónak, beleértve az Adat Importáló személyzetének nevét és elérhetőségeit. Az Adat Exportáló saját céljaira feldolgozhatja ezeket az adatokat.

6.4 Mindkét Fél köteles betartani az alkalmazandó adatvédelmi jogszabályokat, beleértve a GDPR-t, az ilyen személyes adatok gyűjtése, feldolgozása és felhasználása során, amelyeket a másik Fél adott át a 1. pont szerint. Különösen, mindkét Fél megfelelő biztonsági intézkedéseket tesz, hasonló szintű védelmet nyújtva, mint a 2. rész 2. sz. mellékletében szereplő intézkedések. Az ilyen személyes adatokhoz való hozzáférés csak az arra jogosultak számára engedélyezett.

6.5 Mindkét Fél köteles az ilyen személyes adatokat a célok elérését követően a lehető leghamarabb törölni.

2. Rész

A BIZOTTSÁG DÖNTÉSE

2010. február 5.

szabványos szerződési feltételekről a személyes adatok harmadik országokban működő adatfeldolgozóknak történő átadására a 95/46/EK irányelv szerint

1. Klauzula

Fogalmak

A klauzulák értelmében:

a) 'személyes adatok', 'különleges kategóriák', 'feldolgozás', 'adatkezelő', 'feldolgozó', 'érintett' és 'felügyeleti hatóság' ugyanazokat a jelentéseket hordozzák, mint az 95/46/EK irányelvben, amely az egyének védelméről szól a személyes adatok kezelése során és azok szabad mozgásáról (1);

b) az 'Adat Exportáló' az adatkezelő, aki a személyes adatokat átadja;

c) az 'Adat Importáló' az adatfeldolgozó, aki elfogadja, hogy az Adat Exportálótól személyes adatokat kap, amelyeket az Adat Exportáló nevében, az utasításai szerint és ezen klauzulák, valamint a szerződés szerint dolgoz fel, és nem tartozik harmadik ország mechanizmus alá, amely megfelelő védelmet biztosít az 95/46/EK irányelv 25. cikkének értelmében; (d) 'adatfeldolgozó' az a feldolgozó, akit az Adat Importáló vagy az Adat Importáló más feldolgozója megbíz, és aki elfogadja, hogy személyes adatokat kap, kizárólag azzal a céllal, hogy azokat az Adat Exportáló utasításai szerint, az irányelvek és a szerződés szerint dolgozza fel, és nem tartozik harmadik ország mechanizmus alá, amely megfelelő védelmet biztosít az 95/46/EK irányelv 25. cikkének értelmében.

e) 'alkalmazandó adatvédelmi jogszabály' az az jogszabály, amely megvédi az egyének alapvető jogait és szabadságait, beleértve a személyes adatok kezelésével kapcsolatos magánélethez való jogot, és amely az adatkezelőre vonatkozik a tagállamban, ahol az Adat Exportáló működik;

f) 'technikai és szervezeti intézkedések a biztonságról' olyan intézkedéseket jelentenek, amelyek célja a személyes adatok védelme a véletlen vagy jogellenes megsemmisítés, véletlen elvesztés, módosítás, jogosulatlan nyilvánosságra hozatal vagy hozzáférés ellen, különösen akkor, ha a feldolgozás hálózatokon keresztül történik, valamint minden egyéb jogellenes feldolgozási formával szemben.

2. Klauzula

Átadás részletei

A transfer részleteit, ideértve, ahol szükséges, a személyes adatok különleges kategóriáit, az 1. melléklet tartalmazza, amely a jelen klauzulák szerves része.

3. Klauzula

Harmadik fél által jogosult személyek jogai

1. Az érintett személy jogosult érvényesíteni a jelen Klauzulát az Adat Exportálónak, valamint a 4(b) és (i), 5(a)-(e), (g)-(j), 6. (1) és (2), 7., 8. (2), valamint 9-12. klauzulákat harmadik félként.

2. Az érintett személy jogosult érvényesíteni ezt a Klauzulát, a 5(a)-(e) és (g), 6., 7., 8. (2), valamint 9-12. klauzulákat az Adat Importálónak, ha az Adat Exportáló fizikai megszűnt vagy jogilag megszűnt, kivéve, ha minden jogi kötelezettségét szerződés vagy jogi művelet útján az utód szervezet átvette, amelyre a jogok és kötelezettségek visszakerülnek, és az érintett személy ezeket az utóbbi szervezetet érvényesítheti.

Az érintett személy jogosult érvényesíteni ezt a Klauzulát, a 5(a)-(e) és (g), 6., 7., 8. (2), valamint 9-12. klauzulákat a feldolgozóval szemben, ha az Adat Exportáló és az Adat Importáló fizikai megszűnt vagy jogilag megszűnt vagy fizetésképtelenné vált, kivéve, ha minden jogi kötelezettséget szerződés vagy jogi művelet útján az utód szervezet átvett, és az érintett személy ezeket az utóbbit érvényesítheti. A feldolgozó felelőssége korlátozódik saját feldolgozási tevékenységeire ezen klauzulák szerint.

4. A felek nem ellenzik, hogy az érintett személyt egyesület vagy más szervezet képviselje, ha az illető így kívánja, és ha a nemzeti jog lehetővé teszi.

4. Klauzula

Az Adat Exportáló kötelezettségei

Az Adat Exportáló elfogadja és garantálja, hogy:

a) a személyes adatok feldolgozása, beleértve az adatok tényleges átadását, a vonatkozó adatvédelmi jogszabályoknak megfelel, és nem sérti az adott állam jogszabályait;

b) utasította, és a személyes adatok feldolgozási szolgáltatásai során utasítja az Adat Importálót, hogy az átadott személyes adatokat kizárólag az Adat Exportáló nevében, az alkalmazandó adatvédelmi jogszabályoknak és ezen klauzuláknak megfelelően kezelje;

c) az Adat Importáló megfelelő védelmet nyújt a 2. rész 2. sz. mellékletében meghatározott technikai és szervezeti biztonsági intézkedések tekintetében;

d) a vonatkozó adatvédelmi jogszabályok értékelése után a biztonsági intézkedések megfelelőek az adatok véletlen vagy jogellenes megsemmisítése, elvesztése, módosítása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése ellen, különösen akkor, ha a feldolgozás hálózatokon keresztül történik, és biztosítják a feldolgozás által jelentett kockázatoknak megfelelő védelmi szintet, figyelembe véve a technológia szintjét és a költségeket;

e) biztosítják a biztonsági intézkedések betartását;

f) ha a transfer különleges kategóriájú adatokra vonatkozik, az érintettet tájékoztatták vagy tájékoztatják a transfer előtt vagy a lehető legrövidebb időn belül, hogy adatai harmadik országba kerülhetnek, ahol nem biztosított megfelelő védelmi szint a 95/46/EK irányelv értelmében;

g) továbbítják az összes, a 5. (b) és 8. (3) pont szerinti értesítést az adatvédelmi felügyeleti hatóságnak, ha úgy dönt, folytatja az adatátvitelt vagy feloldja a szünetet;

h) az érintettek számára, ha kérik, elérhetővé teszik ezeket a Klauzulákat, kivéve a 2. mellékletet, valamint összefoglaló leírást a biztonsági intézkedésekről, és bármilyen további alvállalkozói szerződést, kivéve, ha azok üzleti információkat tartalmaznak, ebben az esetben azokat visszavonhatják;

i) alvállalkozói adatfeldolgozás esetén biztosítják, hogy a feldolgozási tevékenység megfeleljen a 11. pontnak, és legalább ugyanolyan védelmet nyújtson, mint az Adat Importáló ezen klauzulák szerint; és

j) biztosítják a 4. pont (a)-(i) bekezdés szerinti megfelelést.

5. Klauzula

Az Adat Importáló kötelezettségei

Az Adat Importáló elfogadja és garantálja, hogy:

a) kizárólag az Adat Exportáló nevében és az utasításai szerint dolgozza fel a személyes adatokat, és ha nem tud megfelelni, azonnal tájékoztatja az Adat Exportálót, aki a feldolgozást felfüggesztheti vagy a szerződést megszüntetheti;

b) nincs oka azt hinni, hogy az alkalmazandó jogszabályok akadályozzák a feladatai ellátását, és ha a jogszabály változik, amely jelentős hatással lehet a garanciákra vagy kötelezettségekre, azonnal értesíti az Adat Exportálót;

c) végrehajtja a 2. mellékletben meghatározott technikai és szervezeti biztonsági intézkedéseket a személyes adatok feldolgozása előtt;

d) haladéktalanul értesíti az Adat Exportálót:

• a. jogi kötelező személyes adatközlési kérésről a hatóságtól, kivéve, ha jogszabály másként rendelkezik, például a nyomozási titoktartás érdekében;
• b. minden véletlen vagy jogosulatlan hozzáférésről;
• c. közvetlenül érintett személyektől kapott kérésről, és nem válaszol rá, kivéve, ha erre felhatalmazást kapott;

e) gyorsan és megfelelően kezeli az összes kérdést az Adat Exportálótól, és az adatkezelésre vonatkozó felügyeleti hatóság véleménye szerint jár el;

f) kérésre az Adat Exportálót auditálja az adatfeldolgozási tevékenységek tekintetében, amelyeket az ő vagy egy független felügyelő szervezet végez, titoktartási kötelezettség mellett, az Adat Exportáló jóváhagyásával;

g) a kérésre az érintett személynek másolatot ad a jelen Klauzulákból vagy az adatfeldolgozási szerződésből, kivéve, ha azok üzleti információkat tartalmaznak, akkor azokat eltávolítja, kivéve a 2. mellékletet, amely összefoglaló leírással helyettesíti a biztonsági intézkedéseket, és az érintett nem tud másolatot kérni az Adat Exportálótól;

h) bizalmas adatfeldolgozás esetén előzetesen tájékoztatja az Adat Exportálót, és írásban jóváhagyást kér;

i) a feldolgozási szolgáltatások megfelelnek a 11. pontnak;

j) haladéktalanul küldi el a szerződés aláírását vagy módosítását az Adat Exportálónak.

6. Klauzula

Felelősség

1. A felek megállapodnak, hogy aki kárt szenvedett a jelen Klauzulák vagy a 11. pont szerinti kötelezettségek megszegése miatt, az kártérítést kérhet az Adat Exportálótól.

2. Ha egy érintett személy nem tud jogi lépéseket tenni az Adat Exportáló ellen a 1. pont szerint, mert az Adat Importáló vagy feldolgozója megszűnt vagy jogilag megszűnt, akkor az Adat Importáló elfogadja, hogy az érintett személy a jogait az utód szervezet ellen érvényesítheti, kivéve, ha az összes jogi kötelezettséget szerződés vagy jogi művelet útján az utód szervezet átvette. Az Adat Importáló nem hivatkozhat arra, hogy a feldolgozó megszegte a kötelezettségeit, hogy elkerülje saját felelősségét.

3. Ha az érintett személy nem tud jogi lépéseket tenni az 1. és 2. pont szerint az Adat Exportáló vagy az Adat Importáló ellen, mert azok megszűntek vagy jogilag megszűntek vagy fizetésképtelenné váltak, akkor az érintett személy a saját feldolgozási tevékenységeire vonatkozóan tehet panaszt, mintha az adott fél lenne, kivéve, ha az összes jogi kötelezettséget szerződés vagy jogi művelet útján az utód szervezet átvette. A feldolgozó felelőssége korlátozódik saját feldolgozási tevékenységeire.

7. Klauzula

Egyeztetés és joghatóság

1. Az Adat Importáló elfogadja, hogy ha a jogszabályok szerint az érintett személy harmadik félként érvényesíti jogait vagy kártérítést kér, akkor elfogadja az érintett döntését:

a) a jogvita közvetítését egy független személy vagy, ahol szükséges, a felügyeleti hatóság által;

b) a jogvita bíróság elé terjesztését azon tagállam bíróságán, ahol az Adat Exportáló működik.

2. A felek megállapodnak, hogy az érintett személy választása nem befolyásolja az ő jogát jogorvoslat kérésére más nemzeti vagy nemzetközi jog szerint.

8. Klauzula

Az együttműködés a felügyeleti hatóságokkal

1. Az Adat Exportáló elfogadja, hogy a jelen szerződés másolatát benyújtja a felügyeleti hatóságnak, ha az kérné, vagy ha az alkalmazandó adatvédelmi jogszabály előírja;

2. A felek megállapodnak, hogy a felügyeleti hatóság ellenőrzéseket végezhet az Adat Importálónál és az összes feldolgozónál ugyanazon feltételek mellett, mint az Adat Exportálónál végzett ellenőrzéseknél;

3. Az Adat Importáló haladéktalanul értesíti az Adat Exportálót, ha olyan jogszabályokat talál, amelyek akadályozzák az ellenőrzést az Adat Importálónál vagy a feldolgozóknál, és ebben az esetben az Adat Exportáló intézkedéseket tehet a 5. pont (b) szerint.

9. Klauzula

Alkalmazandó jog

A klauzulák az Adat Exportáló székhely szerinti tagállam jogszabályai szerint értelmezendők és alkalmazandók.

10. Klauzula

Szerződés módosítása

A felek vállalják, hogy nem módosítják a jelen klauzulákat. Szabadon hozzáadhatnak más kereskedelmi feltételeket, amelyek nem ellentétesek a jelen klauzulákkal.

11. Klauzula

Alvállalkozói szerződések

1. Az Adat Importáló nem ruházhat át feldolgozási tevékenységet azokra az alvállalkozókra, akiket a jelen klauzulák szerint nem hagy jóvá írásban az Adat Exportáló. Az Adat Importáló csak azzal az alvállalkozóval köt szerződést, akit az Adat Exportáló jóváhagy, és a szerződésben ugyanazokat az kötelezettségeket írja elő, mint az Adat Importáló számára.

2. Az Adat Importáló köteles az Adat Exportálónak írásban előzetesen értesíteni minden változásról az 1. pont szerinti listában. Ha az Adat Exportáló nem tiltakozik 30 napon belül, a változtatás elfogadottnak tekinthető.

3. Az Adat Importáló felelőssége korlátozódik saját feldolgozási tevékenységeire, és a jogszabályok szerint kell eljárnia.

4. Az Adat Exportáló nyilvántartást vezet az alvállalkozói szerződésekről, és legalább évente frissíti azt, valamint átadja a felügyeleti hatóságnak.

12. Klauzula

Felelősség a személyes adatok feldolgozásának megszűnése után

1. A felek megállapodnak, hogy a feldolgozási szolgáltatások befejezése után az Adat Importáló és a feldolgozó visszaadja vagy megsemmisíti az összes személyes adatot, és bizonyítékot szolgáltat a megsemmisítésről, kivéve, ha jogszabály másként írja elő. Ebben az esetben az Adat Importáló biztosítja az adatok bizalmas kezelését, és nem folytatja az aktív feldolgozást.

2. Az Adat Importáló és a feldolgozó biztosítja, hogy kérésre ellenőrizhetők legyenek a feldolgozási intézkedések.