Utolsó frissítés: 28 January 2025
Adatkezelési Megállapodás
A jelen Adatkezelési Megállapodás (Data Processing Agreement, a „DPA”) azon – https://servicechannel.com/terms-and-conditions címen elérhető – Szerződési Feltételek („Megállapodás”) részét képezi és hatálya alá tartozik, amely a ServiceChannel.com, Inc. (a továbbiakban: „ServiceChannel”) és (a Megállapodásban meghatározottak szerinti) Vállalkozó között jött létre. Az Ügyfélre és a ServiceChannelre külön-külön „fél”, együttesen pedig „felek” néven hivatkozunk.
TEKINTETTEL ARRA, HOGY
(i) A Vállalkozó és a ServiceChannel megkötötte a Szolgáltatási Keretmegállapodást, amelynek alapján a ServiceChannel a Szolgáltatásokat a Vállalkozó számára nyújtja.
(ii) A ServiceChannel a Szolgáltatások nyújtása során Vállalkozói Tartalmat fog kezelni (amelyek Személyes Adatokat is tartalmazhatnak).
(iii) A felek ezennel meg kívánják kötni a jelen DPA-t, amely a Vállalkozói Tartalomban szereplő Személyes Adatok ServiceChannel által történő kezelését szabályozza.
EZÉRT a felek a következőkben állapodnak meg:
1. Meghatározások:
A Megállapodásban meghatározott kifejezések ugyanazon jelentéssel bírnak, amikor azokat a jelen Adatkezelési Megállapodásban használjuk. Ezenkívül a következő kifejezések a következő jelentéssel bírnak:
(a) „Adminisztrációs Adatok”: (i) a Vállalkozó fő fióktulajdonosával vagy adminisztrátorával folytatott levelezéshez kapcsolódó elérhetőségi adatok és a levelezés tartalma; (ii) a Vállalkozó felhatalmazott felhasználói által a Szolgáltatással kapcsolatban benyújtott támogatási kérdések;
(b) „Társvállalatok”: bármely olyan szervezet, amely a ServiceChannel irányítása alatt áll, azt irányítja vagy azzal közös irányítás alatt áll;
(c) „Anonimizált Adatok”: a Vállalkozói Személyes Adatok felhasználásával létrehozott olyan adatok, amelyek: (i) nem használhatók fel valamely magánszemélyre vonatkozó információk kikövetkeztetésére vagy más módon történő összekapcsolására; (ii) más módon nem kapcsolódnak azonosított vagy azonosítható természetes személyhez;
(d) „CCPA”: a 2018. évi kaliforniai fogyasztói adatvédelmi törvény, a Kaliforniai Polgári Törvénykönyv § 1798.100 és azt követő szakaszai, beleértve annak végrehajtási rendelkezéseit és az adatvédelmi jogokról szóló 2020. évi kaliforniai törvényt;
(e) „Adatkezelői Célok”: belső kutatás és fejlesztés végzése a ServiceChannel termékeinek és szolgáltatásainak fejlesztése, tesztelése, javítása és működésének módosítása érdekében; (b) Anonimizált Adatok létrehozása a ServiceChannel termékeinek és szolgáltatásainak betanítása vagy értékelése céljából; (c) a ServiceChannelnek a Megállapodás alapján a Vállalkozóval fennálló kapcsolatának adminisztrációja;
(f) „Vállalkozó”: az a Vállalkozó, aki aláírta a Szolgáltatási Keretmegállapodást;
(g) „Vállalkozói Személyes Adatok”: a Vállalkozói Tartalomban található Személyes Adatok, a jelen DPA I. mellékletében részletesen leírtak szerint;
(h) „Adatvédelmi Jogszabályok”: a Személyes Adatok védelmére, titkosságára vagy biztonságára vonatkozó összes alkalmazandó jogszabály, szabály, előírás és kormányzati előírás (annak mindenkori módosított vagy egyébként frissített állapotában), beleértve (korlátozás nélkül) a GDPR-t, az UK GDPR-t és az Egyesült Államok Adatvédelmi Jogszabályait;
(i) „Érintett”: (i) az a természetes személy, akire a Személyes Adatok vonatkoznak; és (ii) az a személy, aki az Adatvédelmi Jogszabályok értelmében „adatvédelmi érintett”, „fogyasztó”, vagy bármely ezzel egyenértékű kifejezéssel leírható;
(j) „GDPR”: a 2016/679 (EU) rendelet (az „EU GDPR”) vagy adott esetben a „UK GDPR”, az Egyesült Királyság 2018. évi adatvédelmi törvényének 3(10) szakaszában meghatározottak szerint;
(k) „Személyes Adat”: minden olyan információ, amely: (i) azonosított vagy azonosítható természetes személyre vonatkozik, ahhoz kapcsolódik vagy észszerűen hozzákapcsolható; vagy (ii) egyéb módon „személyes adat”, „személyes információ”, „személyazonosításra alkalmas információ” vagy hasonló módon meghatározott adat vagy információ az Adatvédelmi Jogszabályok alapján;
(l) „Adatkezelés”: a Személyes Adatokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, mint például gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, zárolás, törlés vagy megsemmisítés (a „Kezelés”, „Kezel” és „Kezelt” kifejezések azonos jelentéssel bírnak);
(m) „Értékesítés” vagy „Értékesít”: jelentésük megegyezik a CCPA-ban meghatározott jelentéssel;
(n) „Megosztás”: a CCPA-ban meghatározott jelentéssel bír;
(o) „Biztonsági Incidens”: a biztonság olyan sérülése, amely a Vállalkozói Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
(p) „Általános Szerződési Feltételek”: A Bizottság (EU) 2021/914 végrehajtási határozata (2021. június 4.) az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről, az időről időre frissített vagy helyettesített változatokban;
(q) „Másodlagos Adatfeldolgozó”: bármely olyan külső szervezet, amelyet a ServiceChannel azzal bízott meg, hogy a Vállalkozó nevében vagy a Megállapodásban meghatározott szolgáltatások nyújtása érdekében Személyes Adatokat kezeljen;
(r) „UK Kiegészítés”: az Egyesült Királyság Információs Biztosa által a 2018. évi UK Adatvédelmi Törvény 119A(1) szakasza alapján kiadott és 2022. február 2-án az Egyesült Királyság Parlamentje elé terjesztett minta kiegészítés B.1.0. verziója, annak az UK Kiegészítés 18. pontja szerinti mindenkori átdolgozott állapotában;
(s) „USA Adatvédelmi Jogszabályok”: az Egyesült Államokban időről időre hatályban lévő minden alkalmazandó szövetségi és állami jogszabály, szabályozás, és kormányzati követelmény, amely az adatvédelemmel, a Személyes Adatok kezelésével, a magánszférával és/vagy az adatbiztonsággal kapcsolatos, beleértve (korlátozás nélkül) a következőket: a CCPA, a Virginiai Fogyasztói Adatvédelmi Törvény, Virginiai Törvénykönyv 59.1 címe 52. fejezetének § 59.1-571 és azt követő szakaszai, a Coloradói Adatvédelmi Törvény, a Coloradói Felülvizsgált Törvény 6. cím 1. cikk 13. részének 6-1-1301 és azt követő szakaszai, a Utahi Fogyasztói Adatvédelmi Törvény, a Utahi Törvénykönyv 13-6-101 és azt követő szakaszai, a Connecticuti 6. Szenátusi Törvényjavaslat A személyes adatok védelméről és az online nyomon követésről szóló törvényről (az ilyen jogszabályok fejezet szerinti tagolása és bevonása szerint);
(t) „Használati Adatok”: a ServiceChannel által a Szolgáltatások Vállalkozó általi és annak felhatalmazott felhasználói általi használatával kapcsolatban gyűjtött diagnosztikai, használati és teljesítményadatok; és
(u) Az „Adatkezelő”, „Adatfeldolgozó”, „Üzlet” és „Szolgáltató” kifejezések jelentése megegyezik az Adatvédelmi Jogszabályokban meghatározott jelentésükkel.
2. A felek kapcsolata; a jogszabályoknak való megfelelés
2.1 A Vállalkozó:
(a) megbízza a ServiceChannelt a Vállalkozói Személyes Adatok Adatfeldolgozóként vagy Szolgáltatóként történő kezelésével;
(b) tudomásul veszi és elfogadja, hogy a ServiceChannel:
(i) az Adminisztrációs Adatokat és a Használati Adatokat Adatkezelői Célokra felhasználhatja, és hogy a GDPR szerint ezt Adatkezelőként teszi;
(ii) a Vállalkozói Személyes Adatokat Anonimizált Adatok létrehozásához használja fel, és ezt a GDPR alkalmazásában Adatkezelőként teszi.
2.2 Mindegyik fél köteles betartani az Adatvédelmi Jogszabályok alapján rá vonatkozó kötelezettségeket, és ugyanolyan szintű adatvédelmet biztosítani, mint amelyet az Adatvédelmi Jogszabályok előírnak.
2.3 A Vállalkozó köteles biztosítani, hogy a Vállalkozói Személyes Adatok kezelésére vonatkozó utasításai megfeleljenek az Adatvédelmi Jogszabályoknak. A Vállalkozó kizárólagos felelősséggel tartozik a Vállalkozói Személyes Adatok pontosságáért, minőségéért és jogszerűségéért, valamint azon eszközökért, amelyekkel a Vállalkozó a Vállalkozói Személyes Adatokat megszerezte.
2.4 A ServiceChannel haladéktalanul értesíti a Vállalkozót, ha a ServiceChannel úgy ítéli meg, hogy a továbbiakban nem tudja teljesíteni az Adatvédelmi Jogszabályok szerinti kötelezettségeit.
2.5 A Vállalkozó észszerű és megfelelő lépéseket tehet a következők érdekében:
(a) annak biztosítása, hogy a ServiceChannel a Vállalkozói Személyes Adatokat a Vállalkozó Adatvédelmi Jogszabályok szerinti kötelezettségeivel összhangban használja fel; és
(b) a Vállalkozói Személyes Adatok jogosulatlan felhasználásának megfelelő előzetes értesítést követően történő leállítása és orvoslása.
3. Vállalkozói Személyes Adatok kezelése
3.1 A ServiceChannel a Vállalkozói Személyes Adatokat kizárólag a Megállapodás, a jelen DPA és (az Adatkezelői Célok érdekében történő adatkezelés kivételével) a Vállalkozó dokumentált utasításai szerint és azokkal összhangban kezelheti. A Vállalkozó utasítja a ServiceChannelt, hogy a Vállalkozói Személyes Adatokat a következő célokból Kezelje: (i) a Megállapodásnak és az alkalmazandó rendelkezéseknek megfelelően végzett Adatkezelés; és (ii) a Vállalkozó által adott egyéb észszerű utasításoknak való megfelelés érdekében végzett Adatkezelés, amennyiben az ilyen utasítások összhangban állnak a Megállapodás feltételeivel. A ServiceChannel haladéktalanul tájékoztatja a Vállalkozót, ha nem tudja követni ezeket az utasításokat, vagy ha véleménye szerint a Vállalkozó valamely utasítása sérti az Adatvédelmi Jogszabályokat.
3.2 A ServiceChannel nem teheti meg a következőket:
(a) Vállalkozói Személyes Adatok Értékesítése vagy Megosztása;
(b) a Vállalkozói Személyes Adatoknak a Megállapodásban meghatározott Szolgáltatások nyújtásának konkrét üzleti céljától eltérő bármely célra, illetve az Adatvédelmi Jogszabályok által egyébként megengedett céloktól eltérő bármely célra való megőrzése, felhasználása vagy közlése;
(c) a Vállalkozói Személyes Adatoknak a felek közötti közvetlen üzleti kapcsolaton kívül történő megőrzése, felhasználása vagy közlése; és
(d) a Vállalkozói Személyes Adatoknak olyan Személyes Adatokkal való kombinálása, amelyeket más személytől vagy személyektől kap, vagy azok nevében kap, vagy amelyeket az Érintettel való saját interakciójából gyűjt, kivéve, ha azt az Adatvédelmi Jogszabályok kifejezetten megengedik és a tevékenységet ezen jogszabályoknak megfelelően végzik.
3.3 A Vállalkozó szavatolja és vállalja, hogy a Vállalkozói Személyes Adatok nem tartalmazzák a következők egyikét sem:
(a) faji vagy etnikai származást, politikai véleményt, vallási vagy világnézeti meggyőződést, szakszervezeti tagságot, büntetőjogi elítéléseket felfedő Személyes Adatok és a GDPR 9. vagy 10. cikkében meghatározott bármely más különleges kategóriájú Személyes Adatok, illetve az Alkalmazandó Adatvédelmi Jogszabályok alapján egyébként érzékeny Személyes Adatoknak minősülő Személyes Adatok;
(b) biometrikus azonosítók vagy sablonok;
(c) pénzügyi adatok (beleértve többek között a számlázási adatokat és a kártyabirtokosi vagy érzékeny hitelesítési adatokat, ezen kifejezéseknek a Fizetési kártya ágazati adatbiztonsági szabványában szereplő meghatározása szerint);
(d) személyazonosításra alkalmas pénzügyi adatok, az 1999. évi Gramm-Leach-Bliley Pénzügyi Modernizációs Törvényben meghatározottak szerint és annak megfelelően;
(e) nemzeti azonosítószámok (korlátozás nélkül beleértve a társadalombiztosítási számokat, vezetői engedélyek számát vagy útlevélszámokat, illetve kormányzat által kibocsátott más azonosítószámokat);
(f) 13 évnél fiatalabb személyekre vonatkozó információk;
(g) oktatási nyilvántartások, az 1974. évi Családi oktatási jogokról és adatvédelemről szóló törvényben meghatározottak szerint;
(h) az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényben meghatározott és annak hatálya alá tartozó védett egészségügyi adatok.
4. Az adatkezelés bizalmassága/ServiceChannel személyzet
4.1 A ServiceChannel gondoskodik arról, hogy a Vállalkozói Személyes Adatoknak kezelésére általa felhatalmazott bármely személy („Felhatalmazott Személy”) a Vállalkozói Személyes Adatokat a ServiceChannel jelen Megállapodás szerinti titoktartási kötelezettségeivel összhangban védje.
4.2 A ServiceChannel gondoskodik arról, hogy a Vállalkozói Személyes Adatok Kezelésében részt vevő munkatársait tájékoztassák a Vállalkozói Személyes Adatok bizalmas jellegéről, és titoktartási kötelezettség terhelje őket.
4.3 A ServiceChannel köteles biztosítani, hogy a Vállalkozói Személyes Adatokhoz csak azon munkatársai férjenek hozzá, akiknek a Szolgáltatások teljesítéséhez feltétlenül szükségük van ilyen hozzáférésre.
5. Biztonság/Incidenskezelés és értesítés
5.1 A ServiceChannelnek megfelelő technikai és szervezési intézkedéseket kell bevezetnie a Vállalkozói Személyes Adatok biztonságának, titkosságának és sértetlenségének védelme érdekében, a II. mellékletben meghatározottak szerint.
5.2 Ha a ServiceChannel bármilyen Biztonsági Incidensről szerez tudomást, a ServiceChannel haladéktalanul: (i) értesíti a Vállalkozót a Biztonsági Incidensről az Alkalmazandó Adatvédelmi Jogszabályok által előírt határidőkkel összhangban; (ii) kivizsgálja a Biztonsági Incidenst, és tájékoztatást nyújt a Vállalkozónak a Biztonsági Incidensről; és (iii) észszerű lépéseket tesz a hatások enyhítése és a Biztonsági Incidensből eredő károk minimalizálása érdekében.
5.3 A ServiceChannel a Vállalkozó kérésére köteles észszerű segítséget nyújtani a Vállalkozónak a ServiceChannel által a Vállalkozó részére kiértesített Biztonsági Incidenssel kapcsolatban az Adatvédelmi Jogszabályok szerint a Vállalkozót terhelő kötelezettségek teljesítésében.
5.4 A ServiceChannel nem köteles értesíteni a Vállalkozót a Vállalkozói Személyes Adatokhoz vagy a ServiceChannelnek a Vállalkozói Személyes Adatokat tároló bármely berendezéséhez vagy létesítményéhez való jogosulatlan hozzáférésre tett sikertelen kísérletekről, korlátozás nélkül beleértve a tűzfalak vagy peremszerverek pingelését és egyéb broadcast jellegű támadásait, a portszkennelést, a sikertelen bejelentkezési kísérleteket, a szolgáltatásmegtagadási támadásokat vagy hasonló incidenseket.
5.5 A Biztonsági Incidensekről szóló értesítés(eke)t, ha vannak ilyenek, a Vállalkozó egy vagy több üzleti, műszaki vagy adminisztratív kapcsolattartójához kell eljuttatni a ServiceChannel választása szerinti bármely módon, beleértve az e-mailt is. A Vállalkozó kizárólagosan felelős annak biztosításáért, hogy a ServiceChannel támogatási rendszereiben mindig pontos elérhetőségi adatokat vezessen.
5.6 A ServiceChannel által a jelen 5. szakasz alapján a Biztonsági Incidensről küldött értesítés vagy arra adott válasz nem értelmezhető a ServiceChannel részéről a Biztonsági Incidenssel kapcsolatos bármely hiba vagy felelősség elismeréseként.
6. Másodlagos adatfeldolgozás
6.1 A Vállalkozó tudomásul veszi és elfogadja, hogy (i) a ServiceChannel Társvállalatokat nevezhet ki Másodlagos Adatfeldolgozóinak; és (ii) a ServiceChannel harmadik fél Másodlagos Adatfeldolgozókat vehet igénybe a Szolgáltatások nyújtásával kapcsolatban. Bármely ilyen Másodlagos Adatfeldolgozó csak a ServiceChannel által tőle megrendelt szolgáltatások nyújtása céljából szerezheti meg a Vállalkozói Személyes Adatokat, és a Vállalkozói Személyes Adatokat tilos bármilyen más célra felhasználnia. A ServiceChannel olyan írásos megállapodást fog kötni, amely a Másodlagos Adatfeldolgozóra vonatkozóan olyan adatvédelmi kötelezettségeket ír elő, amelyek lényegében hasonlóak a jelen Megállapodás által a ServiceChannelre rótt kötelezettségekhez. A ServiceChannel fog teljes felelősséggel tartozni a Vállalkozó felé a Másodlagos Adatfeldolgozónak a ServiceChannellel kötött szerződése szerinti kötelezettségeinek teljesítéséért.
6.2 A ServiceChannel továbbra is igénybe veheti azokat a Másodlagos Adatfeldolgozókat, amelyeket a ServiceChannel már igénybe vesz, vagy bármely ServiceChannel Társvállalatot is a jelen Megállapodás időpontja szerint a https://bit.ly/SC_Subprocessors oldalon felsoroltak szerint.
6.3 A ServiceChannel köteles a Vállalkozót előzetesen írásban értesíteni bármely új Másodlagos Adatfeldolgozó kinevezéséről, beleértve a Másodlagos Adatfeldolgozó által elvégzendő Adatkezelés teljes részleteit is. Ha a Vállalkozó az értesítés kézhezvételétől számított 10 napon belül írásban értesíti a ServiceChannelt a javasolt megbízással szembeni (észszerű indokon alapuló) bármely kifogásról, a ServiceChannel mindaddig nem nevezheti ki a javasolt Másodlagos Adatfeldolgozót, amíg észszerű lépéseket nem tett a Vállalkozó által felvetett kifogások kezelésére, és a Vállalkozót észszerű írásos magyarázattal nem látta el a megtett lépésekről. Az Ügyfél tudomásul veszi, hogy bizonyos esetekben előfordulhat, hogy az új Másodlagos adatfeldolgozó igénybevétele nélkül nem tudja biztosítani az összes Szolgáltatást.
7. Korlátozott adattovábbítások
7.1 A felek megállapodnak, hogy amennyiben az Ügyfél személyes adatainak az Ügyféltől a ServiceChannel részére történő továbbítása Korlátozott adattovábbítás, akkor az az a megfelelő Általános Szerződési Feltételek hatálya alá esik:
(a) az EU GDPR által védett Ügyfél Személyes Adatokkal kapcsolatban az EU ÁSZF-ek az alábbiak szerint kerülnek alkalmazásra:
(i) A második modul alkalmazandó;
(ii) a 7. feltételben az opcionális dokkolási feltétel alkalmazandó;
(iii) a 9. feltételben a 2. lehetőség alkalmazandó, és a másodlagos adatfeldolgozók változásairól szóló előzetes értesítés időtartama a jelen Megállapodás 6.3 feltételében rögzítettek szerint alakul;
(iv) a 11. feltételben az opcionális lehetőséget tartalmazó szövegrész nem alkalmazandó;
(v) a 17. feltételben az 1. lehetőség alkalmazandó, és az EU ÁSZF-ekre az ír jog lesz az irányadó;
(vi) a 18(b) feltételben a vitákat Írország bíróságai előtt kell rendezni;
(vii) Az EU ÁSZF-ek I. melléklete kitöltöttnek tekintendő a jelen Megállapodás I. mellékletében meghatározott információkkal;
(viii) Az EU ÁSZF-ek II. melléklete kitöltöttnek tekintendő a jelen Megállapodás II. mellékletében meghatározott információkkal; és
(b) az UK GDPR által védett Ügyfél Személyes Adatokkal kapcsolatban az UK Kiegészítés az alábbiak szerint kerül alkalmazásra:
(i) A jelen Megállapodás 7.1(a) pontjában foglaltak szerint kitöltött EU ÁSZF-ek az ilyen Ügyfél Személyes Adatok továbbítására is vonatkoznak, az alábbi
(ii) alfeltételtől függően;
(ii) Az UK Kiegészítés 1-3. táblázatai az EU ÁSZF-ek vonatkozó információival kiegészítettnek tekintendők, és a 4. táblázatban az „egyik fél sem” lehetőséget kell bejelöltnek tekinteni. Az UK Kiegészítés kezdő dátuma (az 1. táblázatban meghatározottak szerint) a jelen Megállapodás dátuma lesz; és
(c) amennyiben a jelen Megállapodás bármely rendelkezése közvetlenül vagy közvetve ellentétes az Általános Szerződési Feltételekkel, az Általános Szerződési Feltételek lesznek az irányadók.
7.2 Abban az esetben, ha a jelenlegi UK Kiegészítést vagy EU ÁSZF-eket új általános szerződési feltételek váltják fel vagy helyettesítik, a felek megállapodnak abban, hogy az ilyen új általános szerződési feltételek automatikusan alkalmazandók az Ügyfél Személyes Adatoknak az Ügyféltől a ServiceChannelhez történő továbbítására, és azokat értelemszerűen teljesítettnek kell tekinteni a fenti 7.1. feltételben leírtak szerint.
8. Együttműködés és az Érintettek jogai
8.1 A ServiceChannel köteles a jogszabályok által megengedett mértékig azonnal értesíteni a Vállalkozót, ha egy Érintettől az Adatvédelmi Jogszabályok szerinti jogai gyakorlására vonatkozó kérelmet kap. A ServiceChannel a Vállalkozó előzetes írásos hozzájárulása nélkül nem válaszolhat az Érintettektől érkezett ilyen kérelmekre, kivéve annak megerősítését, hogy a kérelem a Vállalkozóra vonatkozik.
8.2 Amennyiben a Vállalkozónak a Szolgáltatások általa történő használata vagy igénybe vétele során nem áll módjában kijavítani, módosítani, korlátozni, blokkolni vagy törölni a Vállalkozói Személyes Adatokat, az Adatvédelmi Jogszabályokban előírtak szerint, a ServiceChannel kereskedelmileg észszerű erőfeszítéseket tesz annak érdekében, hogy teljesítse a Vállalkozó ilyen intézkedések elősegítésére vonatkozó észszerű kéréseit, amennyiben a ServiceChannel számára a jogszabályok ezt megengedik.
8.3 A ServiceChannel köteles észszerű együttműködést biztosítani a Vállalkozó számára (a Vállalkozó költségén) az Adatvédelmi Jogszabályok által esetlegesen előírt adatvédelmi hatásvizsgálatokkal kapcsolatban.
9. Azonosítók Nélküli Adatok
9.1 A ServiceChannel által létrehozott Anonimizált Adatok tekintetében a ServiceChannel köteles:
(a) észszerű intézkedéseket tenni annak biztosítása érdekében, hogy az információk ne legyenek összekapcsolhatók az Érintettekkel;
(b) nyilvánosan kötelezettséget vállalni az ilyen Azonosítók Nélküli Adatok kezelésére, kizárólag személyazonosításra alkalmatlan formában, és nem kísérelni meg az adatok újbóli azonosítását; és
(c) szerződés alapján kötelezni az Anonimizált Adatok bármely címzettjét az Adatvédelmi Jogszabályok fenti követelményeinek betartására.
10. Megszűnés; az adatok törlése vagy visszajuttatása
10.1 A jelen Megállapodás automatikusan megszűnik, ha a ServiceChannel törli vagy anonimizálja az összes Vállalkozói Személyes Adatot.
10.2 A Megállapodás megszűnésekor vagy lejártakor a ServiceChannel köteles a következőkre:
(a) ha a Vállalkozó ezt kéri a Megállapodás lejártát követő harminc (30) napon belül (a „Megőrzési Időszak”) a Vállalkozó által kért általánosan használt formátumban másolatot ad a Vállalkozói Személyes Adatokról, vagy önkiszolgáló funkciót biztosít, amely lehetővé teszi a Vállalkozó számára, hogy letöltse az ilyen Vállalkozói Személyes Adatokat;
(b) a Megőrzési Időszak lejártakor a ServiceChannel vagy annak bármely Másodlagos Adatfeldolgozója által kezelt Vállalkozói Személyes Adatok minden másolatát törli, kivéve a következőket:
(i) bármely olyan Adminisztrációs Adat vagy Használati Adat, amelyeket Adatkezelői Célokból kezelnek, illetve bármely olyan Vállalkozói Személyes Adat, amelyet a Szolgáltatónak az alkalmazandó jogszabályok alapján meg kell őriznie; vagy
(ii) azok a Vállalkozói Személyes Adatok, amelyek biztonsági mentési rendszerekben vannak archiválva, és amelyeket a ServiceChannel köteles biztonságosan elkülöníteni és védeni minden további Adatkezeléstől, kivéve, ha az ilyen jogszabályok ezt előírják, amíg a törlés lehetségessé nem válik.
11. Audit
11.1 A Vállalkozó auditálhatja, hogy a ServiceChannel betartja-e a jelen DPA-t. A felek megállapodnak, hogy minden ilyen audit elvégzése:
(a) legfeljebb évente történhet, kivéve, ha ennél gyakoribb auditok szükségesek az Adatvédelmi Jogszabályok betartásához, vagy ha a Vállalkozói Személyes Adatok kezelése tekintetében joghatósággal rendelkező felügyeleti hatóság ennél gyakoribb auditokat ír elő;
(b) a ServiceChannel észszerű értesítése mellett történhet;
(c) csak a ServiceChannel rendes munkaidejében; és
(d) oly módon, amely nem zavarja lényegesen a ServiceChannel üzletmenetét vagy működését.
11.2 A 10.1. szakasz alapján végzett bármely audit tekintetében:
(a) A Vállalkozó megbízhat egy harmadik fél auditort az auditnak az ő nevében történő lefolytatásával, azzal, hogy a ServiceChannel észszerűen tiltakozhat a harmadik fél auditor alkalmazása ellen, ha az ilyen harmadik fél auditor a ServiceChannel versenytársa;
(b) A ServiceChannel nem köteles elősegíteni vagy segíteni az auditokat, kivéve és mindaddig, amíg a felek írásban meg nem állapodtak az audit terjedelmében és időzítésében, valamint a 10.3. szakasz szerinti megtérítési díjakban.
11.3 A Vállalkozó köteles megtéríteni a ServiceChannelnek az ilyen auditokra fordított időt a felek által megállapított díjszabás szerint. Bármely ilyen audit megkezdése előtt a Vállalkozónak és a Szolgáltatónak kölcsönösen meg kell állapodniuk az audit terjedelméről, időzítéséről és időtartamáról a megtérítési díjon felül, amiért a Vállalkozó lesz felelős. Minden megtérítési díjnak észszerűnek kell lennie, figyelembe véve a ServiceChannel által felhasznált erőforrásokat. A Vállalkozó köteles haladéktalanul értesíteni a ServiceChannelt az audit során felfedezett bármely nem-megfelelőségről.
11.4 A Vállalkozó tudomásul veszi, hogy a ServiceChannelt független harmadik fél auditorok rendszeresen auditálják az SSAE 18 SOC 1 szabvány szerint. A ServiceChannel kérésre a Vállalkozónak átadja, vagy bármely auditkérésre válaszul a Vállalkozónak átadhatja az auditjelentése(i) összefoglaló példányát, amelyre a Megállapodás titoktartási rendelkezései vonatkoznak. Ha a Vállalkozó által kért auditot a ServiceChannel által biztosított auditjelentés tárgyalja, a Vállalkozó hozzájárul, hogy az ilyen jelentést az adott jelentésben tárgyalt ellenőrzési eszközök fizikai auditja helyett elfogadja.
12. Felelősség korlátozása
A jelen DPA-ra a Megállapodásban foglalt felelősségkorlátozások és felelősségkizárások vonatkoznak.
13. A jelen Megállapodásban részes felek
Az Általános Szerződési Feltételekben meghatározottak kivételével a jelen DPA egyetlen rendelkezése sem biztosít semmiféle előnyt vagy jogot a jelen DPA-ban részt vevő feleken kívül más természetes személy vagy szervezet számára.
14. Jogi hatás
A jelen DPA a Megállapodást kiegészíti, és annak részét képezi.
15. Általános rendelkezések
15.1 A jelen DPA-ra és annak értelmezésére minden tekintetben a Megállapodásnak az irányadó jogra és a joghatóságra vonatkozó rendelkezései az irányadók, azzal, hogy ha a Megállapodás és a jelen DPA között a Személyes Adatok kezelésével kapcsolatban ellentmondás merülne fel, akkor a jelen DPA lesz az irányadó.
15.2 A jelen Megállapodás tetszőleges számú példányban aláírható, amelyek mindegyike eredeti példánynak minősül, és amelyek mindegyike a felek között létrejött ugyanazt a megállapodást tanúsítja.
15.3 A jelen DPA-ban meghatározottakon kívül a Megállapodás teljes mértékben érvényben és hatályban marad.
I. MELLÉKLET
A. FELEK LISTÁJA
|
Név |
Cím |
Kapcsolattartó neve, beosztása és elérhetősége |
A továbbított adatokra vonatkozó tevékenységek |
Szerepkör |
|
|
Adatátadó |
Vállalkozó (a Szolgáltatásokra való regisztráció során megadottak szerint) |
A Szolgáltatásokra való regisztráció során megadottak szerint |
A Szolgáltatásokra való regisztráció során megadottak szerint |
A Szolgáltatások igénybe vétele |
Adatkezelő |
|
Adatátvevő |
ServiceChannel.com, Inc. |
30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 |
Brian Chase, vezető jogtanácsos, [email protected] |
A Szolgáltatások nyújtása |
Adatfeldolgozó |
B. ADATTOVÁBBÍTÁS LEÍRÁSA
|
Érintettek |
Személyes adat kategóriák |
Érzékeny személyes adatok |
Adattovábbítás gyakorisága |
Adatkezelés jellege és célja |
Megőrzési időszak |
|
Vállalkozó Végfelhasználói |
Név, e-mailcím, a Vállalkozónál betöltött munkakör, hitelesítő adatok. |
Nincs |
Folyamatos |
Hozzáférés biztosítása a Végfelhasználók számára a Szolgáltatásokhoz. |
Mindaddig, amíg a Vállalkozó felhatalmazza a Végfelhasználót a Szolgáltatások elérésére. |
|
Vállalkozó Végfelhasználói |
Név, telefonszám, nyújtandó létesítménykezelési szolgáltatások. |
Nincs |
Folyamatos |
A Végfelhasználók és az Ügyfelek közötti kapcsolattartás elősegítése a Beszerzési Szerződések teljesítése érdekében. |
Mindaddig, amíg a Vállalkozó felhatalmazza a Végfelhasználót a Szolgáltatások elérésére. |
|
Vállalkozó Végfelhasználói |
Név, pontos földrajzi helymeghatározási adatok, bejelentkezés időpontja, kijelentkezés időpontja. |
Nincs |
Folyamatos |
Információk biztosítása az Ügyfélnek a Beszerzési Szerződés keretében nyújtott létesítménykezelési szolgáltatásokról. |
A Megállapodás időtartamára. |
|
Vállalkozó Végfelhasználói |
Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye. |
Nincs |
Folyamatos |
A Beszerzési Szerződés alapján esedékes összegek kiszámításának elősegítése. |
A Megállapodás időtartamára. |
|
Vállalkozó Végfelhasználói Az Ügyfelek létesítménykezelési szolgáltatásokat kérő jogosult felhasználói |
Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye. |
Nincs |
Folyamatos |
A Beszerzési Szerződések keretében kiállított számlák benyújtása az Ügyfélnek. |
A Megállapodás időtartamára. |
|
Vállalkozó Végfelhasználói Az Ügyfelek létesítménykezelési szolgáltatásokat kérő jogosult felhasználói |
Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye. |
Nincs |
Folyamatos |
Tranzakciós nyilvántartás vezetése a Vállalkozó által Beszerzési Szerződések keretében nyújtott szolgáltatásokról. |
A Megállapodás időtartamára. |
|
Vállalkozó Végfelhasználói |
Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye, pontos földrajzi helymeghatározási adatok. |
Nincs |
Folyamatos |
A Vállalkozó Végfelhasználói kezelésének elősegítése, beleértve az ütemezést és a személyzeti ügyeket. |
A Megállapodás időtartamára. |
|
Főbb kapcsolattartók a Vállalkozónál |
Név, e-mailcím, telefonszám. |
Nincs |
Folyamatos |
Vállalkozó szolgáltatásainak népszerűsítése a Katalóguson keresztül. |
Mindaddig, amíg az egyén fő kapcsolattartó marad, és semmiképpen nem hosszabb ideig a Megállapodás időtartamánál. |
|
Vállalkozó Végfelhasználói |
Végfelhasználó által benyújtott támogatási kérdések. |
Nincs |
Folyamatos |
Technikai támogatás nyújtása. |
A Megállapodás időtartamára. |
|
Vállalkozó Végfelhasználói |
A Szolgáltatások Végfelhasználó általi használatával kapcsolatos naplóadatok. |
Nincs |
Folyamatos |
A Szolgáltatásokhoz való hozzáférés biztosítása. |
A Végfelhasználó böngészési munkamenetének időtartamára. |
Másodlagos Adatfeldolgozók
A https://bit.ly/SC_Subprocessors oldalon leírtak szerint
C. ILLETÉKES FELÜGYELETI HATÓSÁG
Ír Adatvédelmi BiztosII. MELLÉKLET
Biztonsági intézkedések
Mindenkor a ServiceChannel marad felelős a következő kereskedelmileg észszerű adattovábbítási biztonsági intézkedésekért:
|
ADATTOVÁBBÍTÁSI BIZTONSÁGI INTÉZKEDÉSEK |
BEVEZETETT INTÉZKEDÉSEK |
|
A személyes adatok álnevesítésére és titkosítására irányuló intézkedések |
Álnevesítés • karaktermaszkolás • felcserélés • k-névtelenség Titkosítás • A továbbítás alatt álló adatok esetében HTTPS-titkosítás (a TLS 1.2-es vagy újabb verziójának használatával) minden bejelentkezési felületen, iparági szabvány algoritmusok és tanúsítványok használatával. • A nyugalomban lévő adatok esetében titkosítás az iparági szabvány szerinti AES-256 algoritmus használatával |
|
Az adatkezelési rendszerek és szolgáltatások folyamatos bizalmas jellegének, sértetlenségének, rendelkezésre állásának és ellenálló képességének biztosítására irányuló intézkedések |
Titoktartás • Virtuális magánhálózat (VPN) • Többtényezős hitelesítés (MFA) • Differenciált jogokat biztosító rendszer biztonsági csoportok és hozzáférés-ellenőrzési listák alapján. • Hitelesítő adatok biztonságos átvitele TLS 1.2 (vagy újabb) használatával • A jelszavakra meghatározott minimális bonyolultság van előírva. A kezdeti jelszavakat az első bejelentkezés után meg kell változtatni. • Automatikus fiókzárolás • Útmutató a jelszavak kezeléséhez • Hozzáférés-vezérlés a felhőszolgáltató által üzemeltetett infrastruktúrához • Hozzáférési jogok kezelése, beleértve az engedélyezési koncepciót, a hozzáférési korlátozások bevezetését, a „feltétlenül szüksége van annak ismeretére” elv megvalósítását, az egyéni hozzáférési jogok kezelését. • Képzési és titoktartási megállapodások a belső és külső személyzet számára • Hálózat szétválasztása • Felelősségek és feladatok elkülönítése • A személyes adatokhoz való hozzáférésnek az adatkezelésben részt vevő felekre való korlátozása a „feltétlenül szüksége van annak ismeretére” elv szerint és a differenciált hozzáférési profilok létrehozása mögötti funkciónak megfelelően. Sértetlenség • Biztonságos hálózati csatlakozások tűzfalakkal stb. biztosítva • A személyes adatokat tároló vagy feldolgozó informatikai rendszerből történő adattovábbítások naplózása • Hitelesítés naplózása és monitorozott logikai rendszerhozzáférés • Az adatokhoz való hozzáférés naplózása, beleértve többek között az adatokhoz való hozzáférést, azok módosítását, bevitelét és törlését • Adatbeviteli jogok dokumentálása és a biztonsággal kapcsolatos bejegyzések naplózása • Webalkalmazás tűzfal (WAF) Elérhetőség és rugalmas ellenállóképesség • A Vállalkozók adatairól több tartós adattárolóra is biztonsági másolat készül, és azok több rendelkezésre állási zónában is replikálva vannak. • A tárolt biztonsági mentési adathordozók védelme |
|
A személyes adatok rendelkezésre állásának és elérésének megfelelő időben történő helyreállítását biztosító intézkedések fizikai vagy technikai incidens esetére |
• Folyamatos tervezés és katasztrófa utáni helyreállítási terv• Katasztrófa utáni helyreállítási folyamatok az adatok és folyamatok visszaállításához
• Célul kitűzött helyreállítási idő (RTO) • Célul kitűzött helyreállítási pont (RPO) • Maximális eltűrhető állásidő (MTD) • Kapacitáskezelési intézkedések a rendszerek erőforrás-felhasználásának figyelemmel kísérésére, valamint a jövőbeni erőforrás-követelmények tervezésére. • Az incidensek kezelésére és jelentésére vonatkozó eljárások (incidenskezelés), beleértve a lehetséges biztonsági incidensek észlelését és az azokra adott reakciót. • A produktív adatokról óránként növekményes formájú biztonsági másolat, naponta pedig teljes biztonsági másolat készül. Minden biztonsági mentés redundáns és titkosított formában (AES-256) kerül tárolásra. |
|
A technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló folyamatok az adatkezelés biztonságának biztosítása érdekében |
• Vészhelyzeti berendezések tesztelése• Interfészek és személyes adatmezők dokumentálása
• Belső és külső auditok • Külső felek által végzett biztonsági ellenőrzések (pl. penetrációs tesztek) • SOC 1 és 2 auditok • Rendszeres benchmarking és tesztelés az iparági szabványokkal, mint pl. a SANS Top 20 internetbiztonsági ellenőrzési eszközök, NIST irányelvek stb. |
|
A felhasználó azonosítására és engedélyezésére vonatkozó intézkedések |
• Biztonságos hálózati csatlakozások VPN, MFA, tűzfalak stb. használatával• A személyes adatokat tároló vagy feldolgozó informatikai rendszerből történő adattovábbítások naplózása
• Hitelesítés naplózása és monitorozott rendszerhozzáférés • Az adott feladat elvégzéséhez szükséges adatokhoz való hozzáférést a rendszereken és alkalmazásokon belül megfelelő szerepkör- és engedélyezési koncepció biztosítja a „feltétlenül szüksége van annak ismeretére” elvnek megfelelően. • Webalkalmazás tűzfal (WAF) |
|
Az adatok továbbítás közbeni védelmét szolgáló intézkedések |
• Távoli hozzáférés a hálózathoz VPN-alagúton és teljes körű titkosításon keresztül• HTTPS titkosítás a továbbítás alatt álló adatok esetében (TLS 1.2 vagy újabb verzió használatával) |
|
Az adatok tárolás közbeni védelmére vonatkozó intézkedések |
• Rendszerbemenetek rögzítése naplófájlok útján• Hozzáférés-ellenőrzési listák (ACL)
• Többtényezős hitelesítés (MFA) |
|
Személyes adatok kezelésével érintett helyek fizikai biztonságát biztosító intézkedések |
• A létesítmény egyedi zónákra való felosztása különböző hozzáférési engedélyekkel;• Fizikai hozzáférés elleni védelem (pl. acélajtók, ablak nélküli szobák vagy biztonságos ablakok);
• Elektronikus beléptető rendszer a biztonsági területek védelmére; • A létesítmény biztonsági szolgálatokkal történő felügyelete és a létesítménybe való belépés naplózása; • Az összes biztonság szempontjából lényeges biztonsági terület – mint például a bejáratok, vészkijáratok és szerverszobák – videófelügyelete; • A hozzáférési engedélyek központi hozzárendelése és visszavonása; • Az összes látogató azonosítása személyazonosító igazolványuk ellenőrzésével és regisztrációval (a látogatókról naplót vezetnek); • Kötelező azonosítás a biztonsági területeken belül minden alkalmazott és látogató számára; • A látogatókat mindig alkalmazottnak kell kísérnie. |
|
Események naplózását biztosító intézkedések |
• Távoli naplózás• Hash láncolás
• Replikáció • Központi biztonsági esemény és információ kezelési (SIEM) rendszer |
|
A rendszerkonfigurációt biztosító intézkedések, beleértve az alapértelmezett konfigurációt |
• Hozzáférés-ellenőrzési szabályzat és eljárások• Alapkonfiguráció azonosítása
• Konfigurációtervezés és -kezelés • Konfigurációmódosítás-kezelés • Konfigurációs állapot könyvelése • Konfiguráció ellenőrzése és auditok • Mobileszköz-kezelés |
|
Belső IT és IT-biztonsági irányításra és kezelésre vonatkozó intézkedések |
• Kijelölt és azonosított személy a vállalat információbiztonsági és megfelelőségi programjának felügyeletére• SOC 1 és 2 audit |
|
Folyamatok és termékek tanúsítására/bizonyosságszerzésre vonatkozó intézkedések |
• Információbiztonsági vagy minőségirányítási tanúsítványok, mint például SSAE 18 2. típusú SOC 1 és SSAE18 2. típusú SOC2 |
|
Adatmennyiség minimalizálását biztosító intézkedések |
• Technológiai akadályok a független adatforrások jogosulatlan összekapcsolásának megakadályozására.• A személyes adatok kezelése során használt részletességi szint korlátozása: például olyan technikákkal, mint a k-névtelenség és az elfedés.
• Bizonyos folyamatok során keletkezett olyan metaadatok törlése, amelyek nem szükségesek a kitűzött célhoz. |
|
Adatminőség biztosítására irányuló intézkedések |
• Adatvédelmi jogok gyakorlásának folyamata (az adatok módosítására és frissítésére vonatkozó jog)• Az összes adatfeltételre és forgatókönyvre vonatkozó követelmények egyértelmű dokumentálása
• A személyes adatokhoz való hozzáférésnek az adatkezelésben részt vevő felekre való korlátozása a „feltétlenül szüksége van annak ismeretére” elv szerint és a differenciált hozzáférési profilok létrehozása mögötti funkciónak megfelelően. Szigorú adatprofilozás és a beérkező adatok ellenőrzése • Adat feldolgozásisor-tervezés az adatduplikáció elkerülése érdekében • Minőségbiztosítási csapat • Az adatok sértetlenségének érvényesítése |
|
Az adatmegőrzés korlátozottságát biztosító intézkedések |
• Egyértelmű megőrzési ütemtervek és szabályzatok megléte• Hatékonyság tesztelése |
|
Elszámoltathatóságot biztosító intézkedések |
• Felelősséggel való felruházás a végfelhasználók adatainak védelme érdekében a termék teljes életciklusa alatt és az alkalmazandó üzleti folyamatokon keresztül.• Adatvédelmi hatásvizsgálatok minden új adatkezelési kezdeményezés szerves részeként.
• Minden olyan döntés dokumentálása, amelyet a szervezeten belül „adatvédelmi tervezési gondolkodásmód” szemszögből fogadnak el. |
|
Az adathordozhatóságot lehetővé tevő és a törlést biztosító intézkedések |
• Dokumentált folyamatok az adatvédelmi jogok felhasználók általi gyakorlásával kapcsolatban (pl. törléshez vagy adathordozhatósághoz való jog)• Nyitott formátumok, mint például CSV, XML vagy JSON használata. |
|
Érzékeny adatokra vonatkozó korlátozások vagy óvintézkedések (ha alkalmazandó) |
• A speciális kategóriájú adatok titkosításának vagy hasításának – bár nem kifejezett jogi követelmény – kell mérvadónak lennie |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar