DATA PROCESSING ADDENDUM

BAS-IP / ADATKEZELÉSI KIEGÉSZÍTÉS

Utolsó frissítés: [2025.12.10]

Ez az Adatfeldolgozási Kiegészítés (a továbbiakban ‘DPA’) Ön (ezután ‘Ügyfél‘, ‘Ön‘, ‘Ön‘) és A BAS-IP DISTRIBUTION LTD (ezutáni ‘Vállalat‘, ‘BAS-IP‘, ‘mi‘, ‘mi‘ vagy ‘miénk‘) között kötött létre, ezután egyénileg ‘Félként‘ vagy együtt a ‘Bulik. Ez a DPA kiegészíti a felek között kötött feltételeket (ezutáni „Megállapodás„).

Ez a DPA szabályozza a Ügyfél által a BAS-IP-nek történő személyes adatok feldolgozását a BAS-IP termékeinek és szolgáltatásainak (együttesen a „Szolgáltatások„) használatával kapcsolatban, valamint azokat az adatokat is, amelyeket a BAS-IP a Szolgáltatások teljesítése során szerez meg.

Hacsak nem más módon nem határozzák meg a DPA, minden nagysőkével írt kifejezés a megállapodásban meghatározott jelentéssel bőven. Ez a DPA érvényben marad a Szolgáltatások használatát szabályozó megállapodás megszűnéséig. Ha bármilyen ellentétben jelen DPA és a megállapodás között jelen lenne, a DPA rendelkezései érvényesek a személyes adatok feldolgozása tekintetében.

1. Definíciók

A DPA céljai érdekében a következő meghatározások alkalmazandók:

„Ügyféladatok” minden olyan személyes adatot jelentenek, amelyeket az Ügyfél feltölt, továbbít vagy más módon szolgált a BAS-IP-nek a Szolgáltatásokkal kapcsolatban, valamint azokat a személyes adatokat, amelyeket a BAS-IP a Szolgáltatások teljesítése során feldolgoz.

„Adatvédelmi törvények” minden vonatkozó jogszabályt és rendeletet jelent, amelyek az ügyféladatok feldolgozására vonatkoznak, beleértve az Európai Unió, az Európai Gazdasági Övezet és tagállamai, az Egyesült Királyság jogszabályait, például:

az EU általános adatvédelmi rendelete (EU GDPR);
az Egyesült Királyság Általános Adatvédelmi Rendelete (UK GDPR);
az Adatvédelmi Törvény 2018;
a 2025-ös Adat (Használat és Hozzáférés) Törvény (DUAA);
bármilyen egyéb alkalmazandó adatvédelmi törvény és szabályozás, amennyiben az érintett felek és az ezen DP szerinti feldolgozási tevékenységek vonatkoznak.

Az „Adatátviteli Mechanizmus” bármely jogilag elismert mechanizmust, eszközt vagy keretrendszert jelent, amely lehetővé teszi az ügyféladatok átszállítását egyik joghatóságból a másikba az alkalmazandó adatvédelmi törvények szerint, beleértve az EU szabványszerződéses záradékait és az Egyesült Királyság kiegészítését is.

“EU SCC-k„az EU szabványszerződéses záradékait jelenti az ügyféladatok harmadik országoknak történő továbbítására vonatkozóan az Európai Parlament és a Tanács 2016/679-es (EU) rendelete alapján, amelyet az Európai Bizottság 2021/914. június 4-i végrehajtási határozata (EU) jóváhagyott, jelenleg a következő helyen https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Az „Általános adatvédelmi rendelet (GDPR)” az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679-es rendeletét jelenti a természetes személyek védelméről a személyes adatok feldolgozásával kapcsolatban és az ilyen adatok szabad mozgásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.

„Nemzetközi adatátvitel” azt jelenti, hogy az ügyféladatok bármely átadása egy olyan országból, ahol az adatokat gyűjtik az adott joghatóságon kívülre, ahol az alkalmazandó adatvédelmi törvények megfelelő védelmet követelnek az ilyen átvitelre.

„Közjogi hatóság” egy kormányzati szervet vagy rendvédelmi szervet, beleértve az igazságszolgáltatási hatóságokat is.

„Érzékeny ügyféladatok” olyan ügyféladatok, amelyek faji vagy etnikai eredetet, politikai nézeteket, vallási vagy filozófiai meggyőződést, szakszervezeti tagságot, genetikai adatokat vagy biometrikus adatokat tárnak fel természetes személy egyedi azonosítása céljából, egészségi adatok, szexuális élet vagy szexuális orientáció adatai, illetve büntető elítélésekkel és bűncselekményekkel kapcsolatos adatokat.

„Szolgáltatások” a Vállalat által az Ügyfélnek nyújtott szolgáltatásokat jelentik.

„Felügyeleti hatóság” egy független közjogi hatóságot jelent, amely az adatvédelmi jogszabályok alkalmazásának ellenőrzéséért felelős.

A „technikai és szervezeti biztonsági intézkedések” olyan intézkedéseket jelentenek, amelyek a személyes adatok védelmét célozzák a véletlen megsemmisítés vagy véletlen elvesztés, módosítás, engedély nélküli közzététel vagy hozzáférés ellen, különösen akkor, ha a feldolgozás hálózaton keresztül történő adatátvitelről van szó, valamint minden más jogellenes feldolgozási forma ellen.

„Az Egyesült Királyság GDPR” az EU Általános Adatvédelmi Rendeletének megtartott változatát jelenti, amennyiben az az Egyesült Királyság jogának része, valamint a 2018-as Adatvédelmi Törvény és a személyes adatok feldolgozását szabályozó egyéb brit jogszabályok által hozott módosításokkal.

Az „Egyesült Királyság Kiegészítése” az EU Szabványszerződéses Záradékaihoz tartozó Nemzetközi Adatátviteli Kiegészítést jelenti, amelyet az Információs Biztos adott ki az Egyesült Királyság Adatvédelmi Törvényei értelmében korlátozott átadásokat végrehajtó felek számára, ahogyan azt jelenleg https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf-ben meghatározták.

„irányító„, „feldolgozó„, „alfeldolgozó„, „adatalant„, „személyes adatok” és „feldolgozás” jelentéseket kapnak az Adatvédelmi Törvényekben megtalálhatók.

2. Szerepek és felelősségek

Ha a BAS-IP az Ön nevében dolgozza fel az ügyféladatokat a Szolgáltatások kapcsán, elismeri és elfogadja, hogy az ügyféladatok feldolgozásával kapcsolatban Ön egy kezelő vagy feldolgozó vagy, mi pedig feldolgozó vagy alfeldolgozó (ahogy az Adatvédelmi Törvények meghatározott) vagyunk, akik az Ön nevében cselekszik. Az ilyen feldolgozás leírása a DPA 1. mellékletében található. Ez a DPA megfelelően alkalmazandó a meglévő szerepkörekre, és nem vonatkozik olyan helyzetekre, amikor a BAS-IP adatvédelmi szabályzatának megfelelően felelősként járunk el.

Ha az ügyfél feldolgozó, az ügyfél garanciát ad a BAS-IP-nek, hogy az ügyfél utasításai és intézkedései a személyes adatokra vonatkozóan, beleértve a BAS-IP alfeldolgozóként való kinevezését, és ha alkalmazható, az EU SCC-k vagy bármely más kiegészítés megállapítását a DPA 9. szakasza alapján (beleértve azokat a 9. szakaszban módosíthatóan is), megtörténtek (és lesznek, a DPA időtartama alatt továbbra is) a vonatkozó harmadik fél irányítója által engedélyezett.

3. Utasítások

A felek egyetértenek abban, hogy ez a DPA és az alkalmazandó megállapodás az ügyfél teljes és végleges dokumentált utasításait jelenti az ügyféladatok feldolgozására (ezelőtti „Utasítások„), ahol az ügyfél kezelőként vagy feldolgozóként működik, míg a BAS-IP feldolgozóként vagy alfeldolgozóként működik az adatvédelmi törvények szerint.

Minden további vagy alternatív utasítást írásban meg kell egyeztetniük a felek részéről, és összhangban kell lenniük ezzel a DPA-val és a Megállapodással.

4. A feldolgozás leírása

Az ügyféladatok feldolgozását az ügyfél nevében a Szolgáltatásokkal kapcsolatban a DPA 1. melléklete írja le. Fenntartjuk a jogot, hogy időről időre frissítsük a feldolgozás leírását, hogy tükrözze a Szolgáltatások része az új funkciókat.

5. Az ügyfél kötelezettségei

5.1. Az irányító kötelezettségei

A DPA keretein belül, amikor az ügyfél irányítóként működik, az ügyfél felelős az Adatvédelmi törvények értelmében ellenőrként alkalmazandó összes követelmény teljesítéséért.

Kontrollerként a következőket kell tenned:

(a) fenntartja az ügyféladatok pontosságát, minőségét, bizalmasságát és biztonságát;

(b) teljesíteni és teljesíteni kötelezettségeit az adatvédelmi törvények szerint, beleértve az alkodikhoz kapcsolódó jogokat, adatvédelemet és titoktartást, valamint biztosítani, hogy megfelelő jogi alapot biztosítson a személyes adatok feldolgozásához;

(c) csak olyan ügyféladatokat biztosítson a BAS-IP-nek, amelyeket jogszerűen megszereztek, és biztosítsák, hogy ezek az adatok megfelelőek, relevánsak és arányosak legyenek a tervezett célokhoz;

(d) biztosítja, hogy a BAS-IP-nek adott utasításai az ügyféladatok feldolgozásával kapcsolatban megfeleljenek az adatvédelmi törvényeknek, beleértve az adatminimalizálás, célkorlátozás és tárolási korlátozás elveit.

5.2. Feldolgozó kötelezettségei

A DPA keretein belül, amikor az ügyfél feldolgozóként működik, az ügyfél felelős az Adatvédelmi törvények értelmében az ügyfélre vonatkozó összes feldolgozó követelmény teljesítéséért.

Processzorként működve, aki:

(a) csak olyan feldolgozási utasításokat biztosítson a BAS-IP-nek, amelyek pontosan tükrözik az adott vezérlő dokumentált utasításait;

(b) csak olyan ügyféladatokat biztosítson, amelyeket jogszerűen szereztek be az illetékes kezelőtől, és amelyek megfelelőek, relevánsak, és korlátozottak az engedélyezett célokhoz szükséges adatokkal;

(d) teljesíteni az érintett adatvédelmi törvények minden kötelezettségét feldolgozói minőségében;

(e) biztosítsák, hogy személyzete vagy bármely harmadik fél, aki hozzáfér az ügyféladatokhoz, megfeleljen ennek a DPA-nak és a megállapodásnak.

6. BAS-IP kötelezettségek

6.1. Általános kötelezettségek

Amikor a BAS-IP processzorként/alprocesszorként működik, akkor a következőket kell tennünk:

(a) az Ön utasításai szerint és kizárólag meghatározott célokra dolgozza fel az ügyféladatokat;

(b) tájékoztatni Önt, ha a BAS-IP ésszerű véleménye szerint:

(i) az utasításai sértik vagy sérthetik az alkalmazandó adatvédelmi törvényeket; vagy

(ii) A BAS-IP nem tudja megfelelni az utasításaidnak;

(c) megfelelő műszaki és szervezeti intézkedések bevezetése és fenntartása az ügyféladatok bizalmasságának biztosítása érdekében;

(d) minden vonatkozó adatvédelmi törvénynek megfelel, beleértve az érintettek jogaival, adatvédelemmel és titoktartással kapcsolatos kötelezettségeket;

(e) írásbeli szerződések vagy más jogilag kötelező érvényű eszközökkel biztosítani, hogy bármely alfeldolgozó, amely a BAS-IP nevében az ügyféladatokat feldolgozza, egyenértékű adatvédelmi kötelezettségeknek van alávetve az ebben az DPA-ban és a Megállapodásban előírt előírásokat;

(f) pontos nyilvántartást vezet minden feldolgozási tevékenységről, amelyet az Ön nevében az adott DPA keretében végeznek, és kérésére továbbítani ezeket a dokumentumokat;

(g) késlekedés nélkül értesíteni Önt, ha a BAS-IP észreveszi, hogy bármely általad adott ügyféladatok pontatlanok, hiányosak vagy elavultak;

(g) megfelelő és szükséges védelmi intézkedéseket vagy korlátozásokat alkalmaznak az érzékeny ügyféladatok feldolgozása során, ahogy azt az Adatvédelmi törvények vagy az Utasítások előírják;

(h) minden ésszerű információt megadni Önnek ahhoz, hogy igazolja a BAS-IP megfelelőségét az alkalmazandó adatvédelmi törvények szerinti kötelezettségeivel.

6.2. Értesítések az ügyfélnek

Amikor tudomást vessünk, értesítjük Önt bármilyen jogilag kötelező érvényű igényről az ügyféladatok nyilvánosságra hozatalára egy közintézményi hatóság részéről, kivéve, ha a törvény más módon tiltja meg nekünk az ügyfél tájékoztatását, például a közszolgálati hatóság vizsgálatának bizalmának megőrzése érdekében. Értesítjük, ha a BAS-IP bármilyen értesítésről, vizsgálatról vagy vizsgálatról értesül egy felügyelői hatóság részéről az ügyféladatok feldolgozásával kapcsolatban ezen DPA keretében, amelyet közted és köztünk végeznek.

6.3. Titoktartás

Nem férünk hozzá, nem használunk vagy árulunk fel harmadik félnek semmilyen ügyfél adatot, kivéve minden esetben, ha szükséges a szolgáltatások fenntartásához vagy nyújtásához, vagy szerződéses és jogi kötelezettségek, illetve egy nyilvános testület kötelező érvényű határozatának (például idézés vagy bírósági végzés) teljesítéséhez.

Biztosítjuk, hogy bármely alkalmazott/vállalkozó, akit megengedünk az ügyféladatokhoz való hozzáférésre nevünkben, megfelelő titoktartás, szerződéses vagy törvényi kötelezettségvállalás alá tartozzon az ügyféladatokkal kapcsolatban.

6.4. Biztonsági intézkedések

Megfelelő műszaki és szervezeti intézkedéseket vezetünk be és tartjuk fenn, hogy megvédjük az ügyféladatokat bármilyen adatvédelmi incidensektől, például tényleges vagy feltételezett véletlen vagy jogellenes megsemmisítéstől, elvesztéstől, módosítástól, jogátlanul feltárásról vagy hozzáférésről, amelyeket továbbított, tároltak vagy más módon feldolgoznak (ezelőtti „Biztonsági incidensek„), a DPA 2. mellékletében meghatározott biztonsági szabványaink szerint.

Elismeri, hogy a biztonsági intézkedések technikai fejlődéstől függenek, így a DPA 2-es mellékletét saját belátásunk szerint módosíthatjuk vagy frissíthetjük, feltéve, hogy ez a módosítás vagy frissítés nem okoz jelentős romlást a DPA 2. melléklete által biztosított biztonsági intézkedésekben.

6.5. Biztonsági incidens

Amikor tudomást szerezünk egy biztonsági incidensről, a következőket tesszük:

késlekedés nélkül értesíteni önt, miután tudomást szerezünk a biztonsági incidensről;
időben szolgáltatni a biztonsági incidenssel kapcsolatos információkat (a személyes adatok típusát, az érintett személyek vagy nyilvántartások kategóriáit és potenciális számát), amint azok ismertté válnak vagy ha ésszerűen kérik; és
Gyorsan tegyen ésszerű lépéseket a biztonsági incidens ellenőrzésére és kivizsgálására, hogy értesíthesse az illetékes hatóságokat és/vagy az érintett Adatvédelmi Alanyokat a biztonsági incidensről.

Biztonsági incidensről szóló értesítésünk vagy válaszunk nem értelmezhető úgy, hogy bármilyen hibát vagy felelősséget elismerünk a biztonsági incidenssel kapcsolatban.

6.6. Kliensadatok visszaküldése vagy törlése

A közted és köztünk kötött megállapodás megszűnése vagy lejárása után törlünk vagy visszaküldjük az összes Ügyfél Adatot, amely a birtokunkban vagy az irányításunkban van. Ez a követelmény nem vonatkozik arra a mértékre, amennyiben az alkalmazandó jogszabályok vagy a vonatkozó szerződéses kötelezettségek előírják, hogy megőrizzük az ügyféladatok egy részét vagy egészét.

6.7. Ésszerű segítségnyújtás

Elfogadjuk, hogy ésszerű segítséget nyújtunk az ügyfélnek a következő ügyekben:

(a) bármilyen adatalanytól történő kérés, amely az ügyféladatok elérésére vagy javítására, törlésére, korlátozására, hordozhatóságára, blokkolására vagy törlésére vonatkozik, amelyet az ügyfél nevében feldolgozunk. Ha az adott személy közvetlenül nekünk küld ilyen kérelmet, a DPA 7. szakasza alkalmazandó;

(b) a biztonsági incidens vizsgálata és a szükséges értesítések továbbítása az ilyen biztonsági incidensekkel kapcsolatban, a DPA 6.5. szakasza szerint;

(c) adatvédelmi hatásértékelések (DPIA-k) előkészítése, és szükség esetén az ügyfél konzultációja a felügyelő hatósággal a GDPR 35. és 36. cikke alapján.

6.8 Audit és tanúsítás

6.8.1 Felügyeleti hatóság audit

Ha egy felügyelő hatóság igényli az adatfeldolgozó létesítményeink auditát, amelyet az ügyféladatok feldolgozásához használunk, hogy megállapítsuk vagy ellenőrizzük az ügyfél megfelelőségét az adatvédelmi törvényekkel, együttműködünk az audittal. Az Ügyfél felelős minden ilyen audit költségéért és díjáért, beleértve minden ésszerű költséget és díjat az általunk végzett szolgáltatások díjain is.

6.8.2 Auditok

Az Ügyfél a feldolgozás megkezdése előtt és rendszeres időközönként, majd utána auditálhatja az általunk megtett műszaki és szervezeti intézkedéseket. Ha az Ügyfél az ő nevében feldolgozott személyes adatok ellenőre, ésszerű és időben előreegyezéssel, a rendszeres munkaidőben, üzleti tevékenységünk megszakítása nélkül, minden szükséges információt megadhatunk az Ügyfélnek a GDPR 28. cikkében meghatározott kötelezettségeinek teljesítésének bizonyításához, valamint lehetővé tehetjük és hozzájárulhatunk az auditokhoz, beleértve az Ügyfél vagy az Ügyfél által megbízott más ellenőr által végzett ellenőrzéseket is.

Az Ügyfél írásos kérésére és ésszerű időn belül minden szükséges információt megadunk az Ügyfélnek az ilyen ellenőrzéshez, amennyiben az információ az általunk elérhető, és nem zárjuk ki minket a vonatkozó jogszabályok, titoktartási kötelezettség vagy bármely más harmadik fél kötelezettsége miatt.

7. Az adatalani kérések

Ha egy érintett kapcsolatba lép velünk az Adatvédelmi Törvények szerinti jogai gyakorlásával kapcsolatban (különösen az ügyféladatok hozzáférésére, javítására vagy törlésére vonatkozó kérelmekről), minden ésszerű erőfeszítést megteszünk, hogy továbbítsuk ezeket a kéréseket önhöz. Ha jogilag kötelező válaszolni egy ilyen kérésre, azonnal értesítjük, és másolatot adunk a kérésről, hacsak jogilag nem tiltjuk meg nekünk.

8. Alprocesszorok

A BAS-IP általános írásos felhatalmazást kap az ügyféltől az alfeldolgozók megegyeztetett listától való bevonására. A BAS-IP vállalja, hogy legalább 10 nappal az adott alfeldolgozó belépése előtt értesíti az Ügyfelet a listán történt esetleges módosításokról, amelyek az alfeldolgozók hozzáadásával vagy cseréjével kapcsolatban állnak, így lehetőséget ad az ügyfélnek az ilyen változtatások ellen való kifogásra. A BAS-IP-nek megadja az Ügyfélnek azokat az információkat, amelyek lehetővé teszik az Ügyfél számára, hogy érvényesítse a tiltakozási jogát.

Ha a DPA 9. szakasza alkalmazandó, az alfeldolgozók bevonásának eljárását a DPA 9. szakaszának vonatkozó rendelkezései szabályozzák. Ilyen esetben a 9. szakasz rendelkezései érvényesek.

Az alfeldolgozók megállapodott listáját a DPA 3. melléklete tartalmazza.

9. Ügyféladatok átvitele

9.1. Általános

Elismeri és elfogadja azon, hogy a BAS-IP szolgáltatások használata magában foglalhatja az ügyféladatok átvitelét más joghatóságokba, az alkalmazandó adatvédelmi törvényeknek megfelelően.

Ha az ilyen átadásokhoz megfelelő védelmi intézkedéseket kell tenni, a vonatkozó adatátviteli mechanizmusokat kell alkalmazni, mint például az EU SCC-ket és az Egyesült Királyság kiegészítését. Ezek az adatátviteli mechanizmusok beépülnek ebbe a DPA-ba, és szerves részét képezik, ahogy azt a 9.2. szakasz részletesen leírja. és 9,3.

Ha bármilyen ellentmondás adódik a DPA rendelkezései és az alkalmazandó Adatátviteli Mechanizmusok között, a vonatkozó Adatátviteli Mechanizmus rendelkezései kizárólag az ellentmondás mértékében érvényesek.

9.2. Átruházások a GDPR alapján

Ha az Ön nevében a Szolgáltatásokkal kapcsolatos ügyféladatok feldolgozása a GDPR szerint „átadásnak” minősül, akkor a Standard Contract Clause-ek alkalmazandók.

Ha Ön irányító, mi pedig feldolgozó, az EU SCC-k második modulja alkalmazandó, és ha Ön feldolgozó, mi pedig alfeldolgozó, akkor az EU SCC-k harmadik modulja érvényesül.

Az EU SCC-k számára a BAS-IP „Adatimportőr”, Ön pedig „Adatexporter”.

Az EU SCC-kben található releváns rendelkezéseit hivatkozással integrálják, és szerves részét képezik ennek a DPA-nak. Az EU SCC-k záradékai és mellékletei az alábbiak szerint teljesültek:

(i) a 7. pontban az opcionális dokkolási záradék nem alkalmazható;

(ii) a 9. pont 2. opcióját (általános írásbeli felhatalmazás) alkalmazzák. A 9(a) pont értelmében az Adatvédelmi Exportőr tájékoztatásának ideje 10 nap;

(iii) a 11. pontban az opcionális szabály nem alkalmazható;

(iv) a 13. pontban egy adott opció alkalmazandó az adott esettől függően;

(v) a 17. pontban az 1. opció alkalmazandó. Az EU SCC-ket a Német Szövetségi Köztársaság törvényei szabályozzák;

(vi) a 18(b) pont szerinti vitákat a Német Szövetségi Köztársaság bíróságai rendezik meg;

(vii) Az EU SCC-k I. melléklete teljesnek minősül a DPA 1. mellékletében meghatározott információkkal;

(viii) Az EU SCC-k II. melléklete teljesnek tekinthető a DPA 2. mellékletében meghatározott információkkal.

9.3. Átadások az Egyesült Királyság Adatvédelmi Keretrendszere keretében

Ha az Ön nevében a Szolgáltatásokkal kapcsolatos ügyféladatok feldolgozása „korlátozott átvitelnek” minősül az Egyesült Királyság Adatvédelmi Törvényei szerint, akkor az Egyesült Királyság Kiegészítője alkalmazandó.

Ha Ön irányító és a BAS-IP processzor, akkor az EU SCC-k második modulja alkalmazandó, és ha Ön feldolgozó vagy, és mi alfeldolgozó vagyunk, akkor az EU SCC-k harmadik modulja alkalmazandó, ahogy azt a 9.2. alszakasz teljesítette. ennek a DPA-nak.

Az Egyesült Királyság kiegészítése szempontjából a BAS-IP „importőr”, te pedig „exportőr”.

Az Egyesült Királyság Mellékletében foglalt releváns rendelkezéseit hivatkozással integrálják, és szerves részét képezik ennek a DPA-nak. Az Egyesült Királyság Mellékletében a táblázatok az alábbiak szerint kiteljesültek:

(i) Az 1. rész 1. táblázata kiteljesültnek tekinthető a DPA 1. mellékletében megadott információkkal, az importőr hivatalos regisztrációs száma 328138502, és az exportőr hivatalos regisztrációs száma az ügyfél számláján található, ha van;

(ii) Az 1. rész 2. táblázata a 9.2. alszakaszban meghatározott információkkal megfelelően teljesnek minősül. ennek a DPA-nak;

(iii) Az 1. rész 3. táblázata kiteljesültnek tekinthető a DPA 1., 2. és 3. mellékletében meghatározott információkkal;

(iv) az 1. rész 4. táblázatában egyik fél sem zárhatja le ezt a Kiegészítést, ahogyan azt az Egyesült Királyság Kiegészítése 19. szakasza tartalmazza.

1. MELLÉKLET – A FELDOLGOZÁS LEÍRÁSA

PÁRTOK LISTÁJA

Kliens (Adatexportáló)

Név: Te, ‘Ügyfél’

Cím: a releváns információk az ügyfél fiókjában találhatók.

A kapcsolattartó személy neve, pozíciója és elérhetőségei: a releváns információk az ügyfél fiókjában találhatók.

Az ezen záradék alapján továbbított adatokra vonatkozó tevékenységek: a szolgáltatások nyújtása.

Aláírás és dátum: a felek egyetértenek abban, hogy a megállapodás végrehajtása az adatexportőr részéről a DPA végrehajtásának minősül mind az adatimportőr, mind az Adatexportőr részéről. A számla bejegyzésének dátuma a Platformon a DPA végrehajtásának időpontjának számít.

Szerep: vezérlő vagy feldolgozó

BAS-IP DISTRIBUTION LTD (Adatimportáló)

Név: BAS-IP DISTRIBUTION LTD

Cím: Crown House, 27 Old Gloucester Street, London, Anglia

A kapcsolattartó személy neve, pozíciója és elérhetősége: [kérjük, adja meg a nevet, pozíciót és elérhetőségeket, pl. e-mail címet]

Az ezen záradék alapján továbbított adatokra vonatkozó tevékenységek: a szolgáltatások nyújtása.

Szerep: processzor vagy alprocesszor

AZ ÁTHELYEZÉS LEÍRÁSA

Az adatalanyok kategóriái, akiknek személyes adatai átadódnak:

Ügyfél ügyfelei;
más adatalanyok, akiknek személyes adatai a Vállalat által az Ügyfélnek nyújtott szolgáltatások során kerülnek át.
Átadott személyes adatok kategóriái:

az ügyfelek ügyfeleihez kapcsolódó személyes adatok;
egyéb személyes adatok, amelyeket a Vállalat által nyújtott szolgáltatások során továbbíthatnak az Ügyfélnek.
Érzékeny adatok átadottak (ha alkalmazható) és olyan korlátozások vagy védelmi intézkedések alkalmazása, amelyek teljes mértékben figyelembe veszik az adatok természetét és a kockázatokat:

Az Adatimportőr csak akkor férhet hozzá érzékeny adatokhoz, ha az ilyen érzékeny adatokat az ügyfél biztosítja, és kizárólag a szolgáltatások teljesítéséhez szükséges mértékben. Ilyen esetekben az Adatimportőr a 2. mellékletben meghatározott műszaki és szervezeti intézkedéseket, valamint minden egyéb megfelelő és szükséges védelmi intézkedést vagy korlátozást alkalmaz, figyelembe véve az érzékeny adatok jellegét és a feldolgozással járó kockázatokat, az alkalmazandó jogszabályoknak és szabályozásoknak megfelelően.

Az átvitel gyakorisága:

A személyes adatokat folyamatosan továbbítják.

A feldolgozás jellege:

A személyes adatfeldolgozás a következőkből áll: gyűjtés, rögzítés, szervezés, strukturálás, tárolás, adaptáció vagy módosítás, visszakeresés, konzultáció, igazítás vagy kombináció, korlátozás, törlés vagy megsemmisítés.

Az adatátvitel és további feldolgozás célja(i):

Az ezen záradékok szerinti adatfeldolgozás célja az adatexportőr számára nyújtott szolgáltatások teljesítése az adatimportőr és az adatexportőr között kötött megállapodás alapján.

Az időtartam, amelyre a személyes adatokat megőrzik, vagy ha ez nem lehetséges, akkor az adott időszak meghatározásához használt kritériumok:

A személyes adatokat a DPA időtartama alatt tárolják, amelyet az Adatimportőr és az Adatexportőr kötött meg, kivéve, ha írásban másképp állapodnak meg, vagy ha az alkalmazandó jog szerint az Adat Beszállító kötelezi megtartani az átvitt személyes adatok egy részét vagy egészét.

Az (al-) processzorokra történő átvitelek esetén határozzuk meg a feldolgozás tárgyát, természetét és időtartamát is:

Téma: Szolgáltatások teljesítése

Természet: gyűjtés, rögzítés, szervezés, strukturálás, tárolás, adaptáció vagy módosítás, visszakeresés, konzultáció, igazítás vagy kombináció, korlátozás, törlés vagy megsemmisítés.

időtartam: a (al-) feldolgozó által a szolgáltatási megállapodás alapján teljesített szolgáltatás az adatimportőr és az al-feldolgozó által végzett szolgáltatási megállapodás alapján.

ILLETÉKES FELÜGYELETI HATÓSÁG

A 13. pont értelmében az illetékes felügyeleti hatóságot az Adatexportőrre vonatkozóan határozza meg, hogy a 13(a) pont melyik változata alkalmazandó.

2. MELLÉKLET – MŰSZAKI ÉS SZERVEZETI INTÉZKEDÉSEK

MŰSZAKI ÉS SZERVEZETI INTÉZKEDÉSEK, BELEÉRTVE A TECHNIKAI ÉS SZERVEZETI INTÉZKEDÉSEKET AZ ADATOK BIZTONSÁGÁNAK BIZTOSÍTÁSÁRA

Az adatimportőr(ök) által alkalmazott technikai és szervezeti intézkedések leírása a megfelelő biztonsági szint biztosítása érdekében, figyelembe véve a feldolgozás természetét, terjedelmét, kontextusát és célját, valamint a természetes személyek jogait és szabadságait érintő kockázatokat:

Az Adatimporter elkötelezett amellett, hogy megőrzi minden érintett személyes adat titoktartását, integritását, elérhetőségét és ellenálló képességét feldolgozási tevékenységei során, valamint biztosítsa, hogy a személyes adatok védelmet kapjanak a veszteség és megsemmisülés ellen megfelelő belső információbiztonsági szabályzatok, eljárások és egyéb megfelelő intézkedések bevezetésével.
Az Adatimporter szigorúan a szükséges információk alapján biztosít hozzáférést a személyes adatokhoz, és ezek az adatok csak jogosultak számára elérhetők.
Az Data Importer szerepalapú hozzáférés-vezérlési és hozzáférés-ellenőrzési listákat vezetett be, hogy szigorú elkülönítést biztosítson a felhasználói hozzáférési jogok elkülönítésére.
Az Adatimporter információbiztonsági eljárásai rendszeresen felülvizsgálatnak vannak alátéve.
Az Data Importer megbízható szolgáltatókat használ, és figyeli, milyen technikai és szervezeti intézkedéseket alkalmaznak annak érdekében, hogy a személyes adatok mindig védve legyenek.
Az Adatimporter olyan intézkedéseket vezetett be, amelyek a személyes adatok titoktartásának és integritásának védelmét szolgálják az adatátvitel során.
Az Data Importer technikai és szervezeti intézkedéseket vezetett be, amelyek a biztonsági incidensek megfékezésére és további adatvesztés és károk megelőzésére szolgálnak.

3. ÜTEMTERV – ALFELDOLGOZÓK

Az irányító engedélyezte az alábbi alprocesszorok használatát:

1. alprocesszor

Név: Hetzner Online GmbH / Hetzner Finland Oy

Cím: Industriestr. 25, 91710 Gunzenhausen, Németország / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finnország

Kapcsolattartó személy neve, pozíciója és elérhetőségei: [email protected]

Feldolgozás leírása: az adatok tárolása a Hetzner Online GmbH / Hetzner Finland Oy szerverein

2-es alprocesszor

Név: DigitalOcean, LLC

Cím: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, Egyesült Államok

Kapcsolattartó személy neve, pozícióját és elérhetőségeit: [email protected]

Feldolgozás leírása: az adatok tárolása a DigitalOcean, LLC szerverein