a) a „személyes adatok”, „különleges adatkategóriák”, „adatfeldolgozás”, „adatkezelő”, „adatfeldolgozó”, „adatalany” és „felügyelő hatóság” kifejezések jelentése megegyezik a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvben ( 1 ) meghatározott jelentésekkel;

b) „adatátadó”: a személyes adatokat továbbító adatkezelő;

c) „adatátvevő”: olyan feldolgozó, aki vállalja, hogy az adatátadó utasításaival és ennek az általános szerződési feltételekkel összhangban történőt adattovábbítást követően átveszi az adatátadótól a személyes adatokat – annak nevében történő – adatfeldolgozás céljából, és aki nem tartozik egy harmadik ország megfelelő védelmet biztosító rendszerének hatálya alá a 95/46/EK irányelv 25. cikke (1) bekezdésének értelmében;

d) „további feldolgozó”: az adatátvevő vagy az adatátvevő által megbízott egyéb további feldolgozó által megbízott olyan feldolgozó, aki vállalja, hogy az adatátvevőtől vagy további megbízott feldolgozótól személyes adatokat kizárólag olyan célból vesz át, hogy az adatátadó nevében, az adatátadó utasításaival, a szerződési feltételekkel és az írásos alvállalkozói szerződés feltételeivel összhangban történt adattovábbítást követően feldogozza;

e) „alkalmazandó adatvédelmi jog”: az egyének alapvető jogaik és szabadságjogaik, különösen – a személyes adatok feldolgozásával kapcsolatban – a magánélet tiszteletben tartásához való jogaik védelméről szóló, az adatátadó letelepedési helye szerinti tagállamban tevékenykedő adatkezelőre vonatkozó jogszabály;

f) „technikai és szervezési biztonsági intézkedések”: a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, az adatok jogosulatlan nyilvánosságra hozatala vagy az azokhoz történő jogosulatlan hozzáférés elleni védelmet nyújtó intézkedések, különösen azokban az esetekben, ahol az adatfeldolgozásnak része az adatok hálózaton keresztül történő továbbítása, valamint az adatfeldolgozás valamennyi egyéb jogellenes formája ellen védelmet nyújtó intézkedések.

(1) Az érintett az adatátadóval szemben – kedvezményezett harmadik személyként – érvényesítheti ezt az általános szerződési feltételt, a 4. általános szerződési feltétel b)–i) pontját, az 5. általános szerződési feltétel a)–e), valamint g)–j) pontját, a 6. általános szerződési feltétel (1) és (2) bekezdését, a 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltételt.

(2) Az érintett az adatátvevővel szemben érvényesítheti ezt az általános szerződés feltételt, az 5. általános szerződési feltétel a)–e) és g) pontját, a 6. és 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltétel azokban az esetekben, amikor az adatátadó vállalkozása ténylegesen vagy jogilag megszűnik létezni, feltéve, hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, aminek eredményeként gyakorolja az adatátadó jogait és kötelezettségeit, amely esetben az érintett ezeket érvényesítheti e jogutóddal szemben.

(3) Az érintett a további adatfeldolgozóval szemben érvényesítheti ezt az általános szerződés feltételt, az 5. általános szerződési feltétel a)–e) és g) pontját, a 6. és 7. általános szerződési feltételt, a 8. általános szerződési feltétel (2) bekezdését, valamint a 9–12. általános szerződési feltételt, azon esetekben, amikor mind az adatátadó, mind az adatátvevő ténylegesen vagy jogilag megszűnik létezni, vagy fizetésképtelenné vált, feltéve, hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, és ennek eredményeként gyakorolja az adatátadó jogait és kötelezettségeit, amely esetben az érintett ezeket érvényesítheti e jogutóddal szemben. A további feldolgozó harmadik féllel szembeni polgári jogi felelőssége az általános szerződési feltételek alapján végzett saját feldolgozási tevékenységeire korlátozódik.

(4) A felek nem emelnek kifogást az ellen, hogy az érintett képviseletében egy egyesült vagy egyéb szerv járjon el, amennyiben az érintett ezzel élni kíván, és a nemzeti jog erre lehetőséget biztosít.

a) a személyes adatok feldolgozása, ideértve magát az adattovábbítást is, megfelelt és továbbra is megfelel az alkalmazandó adatvédelmi jog vonatkozó hatályos rendelkezéseinek (és adott esetben erről értesítették az adatátadó letelepedési helye szerinti tagállam hatóságait), valamint nem sérti az adott állam vonatkozó rendelkezéseit;

b) ellátta és a személyes adatok feldolgozása során folyamatosan ellátja az adatátvevőt arra vonatkozó utasításokkal, hogy a továbbított személyes adatokat csak az adatátadó megbízásából és az alkalmazandó adatvédelmi joggal, továbbá az általános szerződési feltételekkel összhangban lehet feldolgozni;

c) az adatátvevő elegendő garanciával szolgál majd e szerződéshez csatolt 2. függelékben meghatározott technikai és szervezési biztonsági intézkedések tekintetében;

d) az alkalmazandó adatvédelmi jog követelményeinek értékelését követően a biztonsági intézkedések alkalmasak a személyes adatok véletlen vagy jogellenes megsemmisülése, illetve a véletlen elvesztés, megváltozás, adatok jogosulatlan közlése vagy az azokhoz történő jogosulatlan hozzáférés elleni védelemre, különösen azokban az esetekben, ahol az adatfeldolgozás része az adatok hálózaton történő továbbítása, valamint az adatfeldolgozás egyéb jogellenes formái elleni védelemre; továbbá azt, hogy ezek az intézkedések olyan szintű biztonságot nyújtanak, amely arányos a megvédendő adatok jellegével és az adatfeldolgozás kockázataival, tekintettel a mindenkori aktuális körülményekre és a végrehajtás költségeire;

e) gondoskodik a biztonsági intézkedések tiszteletben tartásáról;

f) amennyiben az adattovábbítás különleges adatkategóriákat érint, az érintettet az adattovábbítást megelőzően vagy – a lehető legrövidebb időn belül – az adattovábbítást követően tájékoztatják arról, hogy az adatokat egy olyan harmadik országba továbbítják, amely nem biztosítja a 95/46/EK irányelv szerinti megfelelő mértékű védelmet;

g) továbbítja az adatvédelmi felügyeleti hatóság felé az adatátvevőtől és bármely további feldolgozótól az 5. általános szerződési feltétel b) pontja és a 8. általános szerződési feltétel (3) bekezdése értelmébe átvett értesítést, amennyiben az adatátadó úgy dönt, hogy folytatja az adattovábbítást vagy megszünteti a felfüggesztést;

h) az érintettek kérésére rendelkezésükre bocsátja az általános szerződési feltételek egy példányát, a 2. függelék kivételével, és a biztonsági intézkedések összefoglaló leírását, valamint a további feldolgozásra vonatkozó – általános szerződési feltételekkel összhangban megkötendő – szerződések egy példányát, feltéve, hogy az általános szerződési feltételek vagy a szerződés nem tartalmaznak üzleti információt, amely esetben eltávolíthatja ezen üzleti információkat;

i) további feldolgozás esetén a feldolgozási tevékenységet a további feldolgozó a 11. általános szerződési feltétellel összhangban végzi a személyes adatok és az érintett jogainak legalább olyan szintű biztosítása mellett, mint amilyet általános szerződési feltétel alapján az adatátvevő biztosítana; és

j) biztosítja a 4. általános szerződési feltétel a)–i) pontjának való megfelelést.

a) csak az átadó nevében, utasításaival és az általános szerződési feltételekkel összhangban dolgozza fel a személyes adatokat; amennyiben bármely oknál fogva nem képes megfelelni ezeknek a követelményeknek, haladéktalanul tájékoztatja erről az adatátadót, aki ez esetben jogosult felfüggeszteni az adattovábbítást és/vagy a szerződéstől elállni;

b) nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák az adatátadótól kapott utasítások és a szerződésben vállalt kötelezettségek teljesítését – abban az esetben, ha a jogszabályok módosítása előreláthatóan jelentősen hátrányos hatással lenne az általános szerződési feltételekben rá vonatkozóan megállapított garanciákra és kötelezettségekre, mihelyt azonban tudomást szerez erről, azonnal értesíti a módosításról az adatátadót –, ebben az esetben az adatátadó jogosult felfüggeszteni az adattovábbítást és/vagy a szerződéstől elállni;

c) a továbbított személyes adatok feldolgozása előtt végrehajtotta a 2. függelékben meghatározott technikai és szervezési biztonsági intézkedéseket;

d) azonnal értesíti majd az adatátadót a következőkről:

i. ellenkező értelmű tilalom – például egy bűnügyi nyomozás titkosságának megőrzése érdekében fennálló büntetőjogi tilalom – hiányában a bűnüldöző szervek jogilag kötelező erejű felhívása a személyes adatok közlésére;

ii. bármilyen véletlen vagy jogosulatlan hozzáférés; és

iii. közvetlen az érintettek részéről érkező kérelem, erre adott válasz nélkül, kivéve, ha erre felhatalmazást kapott.

e) azonnal és szakszerűen reagál az adatátadótól érkező, az adattovábbítás tárgyát képező személyes adatok feldolgozására vonatkozó valamennyi kérdésre, és követi a felügyeleti hatóság adatfeldolgozásra vonatkozó javaslatait;

f) az adatátadó kérésére rendelkezésre bocsátja az adatfeldolgozó berendezéseket az általános szerződési feltételek hatálya alá eső feldolgozói tevékenységek ellenőrzése céljából, amelyet az adatátadó vagy a megfelelő szakképzettséggel rendelkező, az adatok bizalmas kezelésére kötelezett, az adatátadó által – adott esetben a felügyeleti hatóság beleegyezésével – kiválasztott, független szakértőkből álló testület végez;

g) az érintett kérésére rendelkezésére bocsátja az általános szerződési feltételek vagy a további feldolgozás céljából kötött létező szerződések egy példányát – feltéve, hogy a szerződési feltételek vagy a szerződés nem tartalmaz üzleti vonatkozású információkat, amely esetben ezeket eltávolíthatja –, a 2. függelék kivételével, amely helyett a biztonsági intézkedések összefoglaló leírása szerepel abban az esetben, ha az érintett nem tudta beszerezni ezt a példányt az adatátadótól;

h) további feldolgozás esetén előzetesen tájékoztatta az adatátadót és megkapta írásos beleegyezését;

i) a további feldolgozó a 11. általános szerződési feltétellel összhangban végzi majd adatfeldolgozási szolgáltatásait;

j) azonnal megküldi az adatátadónak az általános szerződési feltételek alapján kötött, további feldolgozásra vonatkozó megállapodások egy példányát.

(1) A felek megállapodnak abban, hogy az érintett, aki a 3. vagy a 11. általános szerződési feltételben említett kötelezettségek egyik fél vagy a további felhasználó általi megsértésének következményeként kárt szenved, kártérítésre jogosult az adatátadótól.

(2) Amennyiben az érintett – az adatátvevőnek vagy az által megbízott további feldolgozónak a 3. vagy a 11. általános szerződési feltételben meghatározott kötelezettsége valamelyikének megszegéséből eredően – nem tudja érvényesíteni az (1) bekezdés szerinti kártérítési igényt az adatátadóval szemben azért, mert az adatátadó ténylegesen megszűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált, az adatátvevő hozzájárul ahhoz, hogy az érintett vele szemben érvényesíthesse az adatátadóval szembeni kártérítési igényét, feltéve, hogy nincs olyan jogutód, amely az adatátadó valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, amely esetben az érintett e jogutóddal szemben érvényesítheti jogait.

(3) Amennyiben az érintett – a további feldolgozó a 3. vagy a 11. általános szerződési feltételben meghatározott kötelezettsége valamelyikének megszegéséből eredően – nem tudja érvényesíteni az (1) és (2) bekezdésben említett igényt az adatátadóval vagy adatátvevővel szemben azért, mert mind az adatátadó, mind az adatátvevő ténylegesen megszűnt, jogilag megszűnt létezni vagy fizetésképtelenné vált, a további feldolgozó – a szerződési feltételek alapján végzett saját adatfeldolgozási műveletei tekintetében – hozzájárul ahhoz, hogy az érintett vele szemben érvényesíthesse az adatátadóval vagy az adatátvevővel szembeni kártérítési igényét, feltéve, hogy nincs olyan jogutód, amely az adatátadó vagy adatátvevő valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta, amely esetben az érintett e jogutóddal szemben érvényesítheti jogait. A további feldolgozó felelőssége a szerződési feltételek alapján végzett saját adatfeldolgozási műveleteire korlátozódik.

(1) Az adatátvevő elfogadja, hogy amennyiben az érintett érvényesíteni kívánja vele szemben a kedvezményezett harmadik személy jogait, és/vagy az általános szerződési feltételek alapján követeli a károk megtérítését, az adatátvevő elfogadja az érintett következő döntéseit:

a) a jogvitával közvetítés céljából egy független személyhez vagy – adott esetben – a felügyeleti hatósághoz fordul;

b) a jogvitával az adatátadó letelepedési helye szerinti tagállam bíróságához fordul.

(2) A felek megállapodnak abban, hogy az érintett választása nem érinti az érintett arra vonatkozó anyagi vagy eljárási jogait, hogy a nemzeti vagy nemzetközi jog egyéb rendelkezéseivel összhangban jogorvoslattal éljen.

(1) Az adatátadó hozzájárul ahhoz, hogy e szerződés egy példányát letétbe helyezi a felügyeleti hatóságnál, amennyiben ez utóbbi kéri, vagy amennyiben az alkalmazandó adatvédelmi jog előírja.

(2) A felek megállapodnak abban, hogy a felügyeleti hatóságnak jogában áll az adatátvevő és valamennyi további feldolgozó ellenőrzése; az ellenőrzés hatálya és feltételei megegyeznek az alkalmazandó adatvédelmi jog értelmében az adatátadónál elvégzendő ellenőrzés hatályával és feltételeivel.

(3) Az adatátvevő haladéktalanul tájékoztatja az adatátadót a rá vagy bármely további felhasználóra vonatkozó olyan jogszabályok meglétéről, amelyek megakadályozzák az adatátvevőnek vagy bármely további felhasználónak a (2) bekezdés szerinti ellenőrzését. Ebben az esetben az adatátadó jogosult meghozni az 5. általános szerződési feltétel b) pontjában előírt intézkedéseket.

(1) Az adatátvevő az adatátadó előzetes írásos beleegyezése nélkül nem adhatja ki alvállalkozásba az általános szerződési feltételek alapján az adatátadó nevében végzett adatfeldolgozási tevékenységeit. Amennyiben az adatátvevő alvállalkozásba adja az általános szerződési feltételekből fakadó kötelezettségeit az adatátadó beleegyezésével, ezt kizárólag a további feldolgozóval kötött olyan írásos megállapodás útján teszi meg, amely az általános szerződési feltételek értelmében az adatátvevőre vonatkozóakkal ( 3 ) azonos kötelezettségeket határoz meg. Amennyiben a további feldolgozó nem tesz eleget ezen írásos megállapodásból fakadó adatvédelmi kötelezettségeinek, az adatátadó továbbra is teljes felelősséggel tartozik az adatátadó felé a további felhasználó e megállapodásból fakadó kötelezettségeinek teljesítéséért.

(2) Az adatátvevő és a további feldolgozó közötti előzetes írásos megállapodás tartalmazza a kedvezményezett harmadik személyről szóló rendelkezést is – a 3. általános szerződési feltételben megállapítottak szerint – azon esetekre vonatkozóan, amikor az érintett nem tudja érvényesíteni a 6. általános szerződési feltétel (1) bekezdésében említett kártérítési igényt az adatátadóval vagy az adatátvevővel szemben azért, mert ténylegesen megszűntek, jogilag megszűntek létezni vagy fizetésképtelenné váltak, és nincs olyan jogutód, amely az adatátadó vagy az adatátvevő valamennyi jogi kötelezettségét szerződéses vagy jogszabályi úton átvállalta. A további feldolgozó harmadik féllel szembeni polgári jogi felelőssége az általános szerződési feltételek alapján végzett saját adatfeldolgozási műveleteire korlátozódik.

(3) A szerződés (1) bekezdésben említett, további feldolgozást érintő adatvédelmi rendelkezéseire az adatátadó letelepedési helye szerinti tagállam, nevezetesen … joga az irányadó.

(4) Az adatátadó listát vezet az általános szerződési feltételek alapján, további feldolgozás céljából kötött azon megállapodásokra, amelyekről az adatátvevő az 5. általános szerződési feltétel j) pontja értelmében értesítette, és e listát évente legalább egyszer naprakésszé teszi. A listát elérhetővé kell tenni az adatátadó adatvédelmi felügyelő hatósága számára.

(1) A felek megállapodnak abban, hogy – amennyiben az adatátvevőre vonatkozó jogszabályok a részére továbbított személyes adatok egy részének vagy egészének visszaszolgáltatását vagy megsemmisítését nem tiltják – az adatfeldolgozás megszüntetését követően az adatátvevő és a további feldolgozó az adatátadó döntése alapján visszaszolgáltatja a számára megküldött valamennyi személyes adatot és azok másolatait az adatátadó részére, vagy megsemmisíti az összes személyes adatot, és ennek megtörténtét igazolja az adatátadó felé. Ellenkező esetben az adatátvevő szavatolja, hogy biztosítja a továbbított személyes adatok bizalmasságát, és a továbbított személyes adatokat a továbbiakban ténylegesen nem dolgozza fel.

(2) Az adatátvevő és a további feldolgozó biztosítja, hogy az adatátadó és/vagy a felügyeleti hatóság kérésére lehetővé teszi adatfeldolgozó berendezések rendelkezésre bocsátását az (1) bekezdésben említett intézkedések ellenőrzése céljából.

ADATÁTADÓ

Név: …

Meghatalmazott aláírása …

ADATÁTVEVŐ

Név: …

Meghatalmazott aláírása …

a) az adatátadó haladéktalanul értesíti az adatátvevőt az igényről; továbbá

b) az adatátvevő lehetőséget kap arra, hogy az igénnyel szembeni védekezés és annak rendezése tekintetében együttműködjön az adatátadóval ( 4 ).