ISSN 1977-0731 |
||
Az Európai Unió Hivatalos Lapja |
L 199 |
|
Magyar nyelvű kiadás |
Jogszabályok |
64. évfolyam |
|
|
|
(1) EGT-vonatkozású szöveg. |
HU |
Azok a jogi aktusok, amelyek címe normál szedéssel jelenik meg, a mezőgazdasági ügyek napi intézésére vonatkoznak, és rendszerint csak korlátozott ideig maradnak hatályban. Valamennyi más jogszabály címét vastagon szedik, és előtte csillag szerepel. |
II Nem jogalkotási aktusok
RENDELETEK
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/1 |
A BIZOTTSÁG (EU) 2021/909 VÉGREHAJTÁSI RENDELETE
(2021. május 31.)
egyes áruk Kombinált Nómenklatúra szerinti besorolásáról
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel az Uniós Vámkódex létrehozásáról szóló, 2013. október 9-i 952/2013/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 57. cikke (4) bekezdésére és 58. cikke (2) bekezdésére,
mivel:
(1) |
A 2658/87/EGK tanácsi rendelet (2) mellékletét képező Kombinált Nómenklatúra egységes alkalmazása érdekében intézkedéseket szükséges elfogadni az e rendelet mellékletében meghatározott áruk besorolásáról. |
(2) |
A 2658/87/EGK rendelet meghatározza a Kombinált Nómenklatúra értelmezésére vonatkozó általános szabályokat. Ezeket a szabályokat kell alkalmazni bármely más olyan nómenklatúrára vonatkozóan is, amely részben vagy egészben a Kombinált Nómenklatúrán alapul vagy azt bármilyen további albontással kiegészíti, és amelyet az árukereskedelemhez kapcsolódó tarifális és más intézkedések alkalmazása céljából az Unió valamely más rendelkezése hoz létre. |
(3) |
Az említett általános szabályok értelmében a mellékletben szereplő táblázat (1) oszlopában leírt árukat a táblázat (2) oszlopában feltüntetett KN-kód alá kell besorolni a (3) oszlopban kifejtett indokok alapján. |
(4) |
Indokolt úgy rendelkezni, hogy az e rendelet hatálya alá tartozó áruk tekintetében kibocsátott, de az e rendelet rendelkezéseivel összhangban nem álló kötelező érvényű tarifális felvilágosítást a jogosult – a 952/2013/EU rendelet 34. cikkének (9) bekezdésével összhangban – meghatározott ideig továbbra is felhasználhatja. Ezt az időszakot három hónapban kell meghatározni. |
(5) |
Az e rendeletben előírt intézkedések összhangban vannak a Vámkódexbizottság véleményével, |
ELFOGADTA EZT A RENDELETET:
1. cikk
A melléklet táblázatának (1) oszlopában leírt árukat a Kombinált Nómenklatúrában a táblázat (2) oszlopában megjelölt KN-kód alá kell besorolni.
2. cikk
Az e rendelet rendelkezéseivel összhangban nem álló kötelező érvényű tarifális felvilágosítás – a 952/2013/EU rendelet 34. cikkének (9) bekezdésével összhangban – e rendelet hatálybalépésének időpontjától kezdve három hónapig továbbra is felhasználható.
3. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2021. május 31-én.
a Bizottság részéről,
az elnök nevében,
Gerassimos THOMAS
főigazgató
Adóügyi és Vámuniós Főigazgatóság
(1) HL L 269., 2013.10.10., 1. o.
(2) A Tanács 2658/87/EGK rendelete (1987. július 23.) a vám- és a statisztikai nómenklatúráról, valamint a Közös Vámtarifáról (HL L 256., 1987.9.7., 1. o.).
MELLÉKLET
Árumegnevezés |
Besorolás (KN-kód) |
Indoklás |
(1) |
(2) |
(3) |
Egy hajlékony árucikk (ún. uszodai habhenger), amely porózus műanyagból (műanyaghabból) készült, kb. 1 m hosszúságú és kb. 8 cm átmérőjű üreges cső alakjában. Az árucikk lebeg a vízen, és olyan felszínen tartást segítő eszközként állítják vám elé, amely megfelel az úszástanításhoz a felszínen tartó segédeszközökre vonatkozó európai szabványnak (EN 13138-2:2014). Az árucikk ütéselnyelő és hőszigetelő is. Lásd a képeket (*1). |
3926 90 97 |
A besorolást a Kombinált Nómenklatúra értelmezésére vonatkozó 1. és 6. általános szabály, valamint a 3926 , a 3926 90 és a 3926 90 97 KN-kód szövege határozza meg. A 9506 vtsz. alá, általános fizikai gyakorlatokhoz, tornához, atlétikához, más sporthoz vagy szabadtéri játékhoz való árucikként és felszerelésként történő besorolása kizárt, mivel egyszerű, általános alakja miatt az árucikk nem azonosítható a 9506 vtsz. alá tartozó fizikai gyakorlathoz vagy sporthoz tervezett árucikként, habár a lebegési tulajdonsága miatt az árucikk megfelel az úszástanításhoz a felszínen tartó segédeszközökre vonatkozó szabványnak. Továbbá egyszerű alakja és általános anyaga miatt az árucikket különféle célokra is fel lehet használni (például oszlopok köré csomagolva ütéselnyelő védőtermékként, csövek köré csomagolva hőszigetelő termékként, gyerekek szórakozását szolgáló termékként). Hasonlóképpen kizárt a 9503 vtsz. alá más játékként történő besorolás, mivel az árucikket kialakítása miatt nem lehet egyértelműen gyerekek vagy felnőttek szórakozását szolgáló árucikként azonosítani. Következésképpen az árucikket az alapanyaga (műanyagok) alapján kell besorolni. Az árucikket ezért a 3926 90 97 KN-kód alá kell besorolni műanyagból készült más árucikként. |
(*1) A képek csupán tájékoztató jellegűek.
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/4 |
A BIZOTTSÁG (EU) 2021/910 VÉGREHAJTÁSI RENDELETE
(2021. május 31.)
egyes áruk Kombinált Nómenklatúra szerinti besorolásáról
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel az Uniós Vámkódex létrehozásáról szóló, 2013. október 9-i 952/2013/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 57. cikke (4) bekezdésére és 58. cikke (2) bekezdésére,
mivel:
(1) |
A 2658/87/EGK tanácsi rendelet (2) mellékletét képező Kombinált Nómenklatúra egységes alkalmazása érdekében intézkedéseket szükséges elfogadni az e rendelet mellékletében meghatározott áruk besorolásáról. |
(2) |
A 2658/87/EGK rendelet meghatározza a Kombinált Nómenklatúra értelmezésére vonatkozó általános szabályokat. Ezeket a szabályokat kell alkalmazni bármely más olyan nómenklatúrára vonatkozóan is, amely részben vagy egészben a Kombinált Nómenklatúrán alapul, vagy azt bármilyen további albontással egészíti ki, és amelyet az árukereskedelemhez kapcsolódó tarifális és más intézkedések alkalmazása céljából az Unió valamely más rendelkezése hoz létre. |
(3) |
Az említett általános szabályok értelmében a mellékletben szereplő táblázat (1) oszlopában leírt árukat a táblázat (2) oszlopában feltüntetett KN-kód alá kell besorolni a (3) oszlopban kifejtett indokok alapján. |
(4) |
Indokolt úgy rendelkezni, hogy az e rendelet hatálya alá tartozó áruk tekintetében kibocsátott, de az e rendelet rendelkezéseivel összhangban nem álló kötelező érvényű tarifális felvilágosítást a jogosult – a 952/2013/EU rendelet 34. cikkének (9) bekezdésével összhangban – meghatározott ideig továbbra is felhasználhatja. Ezt az időszakot három hónapban kell meghatározni. |
(5) |
Az e rendeletben előírt intézkedések összhangban vannak a Vámkódexbizottság véleményével, |
ELFOGADTA EZT A RENDELETET:
1. cikk
A melléklet táblázatának (1) oszlopában leírt árukat a Kombinált Nómenklatúrában a táblázat (2) oszlopában megjelölt KN-kód alá kell besorolni.
2. cikk
Az e rendelet rendelkezéseivel összhangban nem álló kötelező érvényű tarifális felvilágosítás – a 952/2013/EU rendelet 34. cikkének (9) bekezdésével összhangban – e rendelet hatálybalépésének időpontjától kezdve három hónapig továbbra is felhasználható.
3. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2021. május 31-én.
a Bizottság részéről
az elnök nevében,
Gerassimos THOMAS
főigazgató
Adóügyi és Vámuniós Főigazgatóság
(1) HL L 269., 2013.10.10., 1. o.
(2) A Tanács 2658/87/EGK rendelete (1987. július 23.) a vám- és a statisztikai nómenklatúráról, valamint a Közös Vámtarifáról (HL L 256., 1987.9.7., 1. o.).
MELLÉKLET
Árumegnevezés |
Besorolás (KN-kód) |
Indoklás |
(1) |
(2) |
(3) |
Cermet pálcák egységes kerek keresztmetszettel. A különböző hosszúságú és átmérőjű árucikkek tömörek vagy perforáltak lehetnek, és lehetnek hűtőcsatornáik, valamint tompa végük. Előfordulhat, hogy egyes árucikkek élét ferdére vágták. Az árucikkek cermetből, azaz volfrámkarbid alapú zsugorított (szinterezett) fémkarbidból készülnek, kobalt kötőanyaggal. Alacsony feldolgozási fokuk, egyszerű formájuk és alakjuk alapján az árucikkek számos célra felhasználhatóak, például megerősítő elemekként. További feldolgozás esetén az árucikkek szerszámokhoz és szerszámként is felhasználhatóak. |
8113 00 90 |
A besorolást a Kombinált Nómenklatúra értelmezésére vonatkozó 1. és 6. általános szabály, a XV. áruosztályhoz tartozó Megjegyzések 4. pontja, valamint a 8113 00 és a 8113 00 90 KN-kódok szövege határozza meg. A 8209 00 80 KN-kód alá, cermetből készült pálca és hasonló nem szerelt szerszámrészként történő besorolása kizárt, ugyanis az árucikkek szerszámokhoz és szerszámokként csak további feldolgozás esetén használhatóak, és más célra is alkalmasak. Az árucikkek a 8113 vtsz. alá tartoznak, amely magában foglalja a cermeteket, megmunkálatlanul vagy a Kombinált Nómenklatúrában máshol nem meghatározott árucikkek formájában is (lásd még a Harmonizált Áruleíró- és Kódrendszer Magyarázata 8113 vámtarifaszámhoz tartozó magyarázatának hatodik bekezdését). Következésképpen az árucikket a 8113 00 90 KN-kód alá kell besorolni cermet és ebből készült más árucikként. |
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/7 |
A BIZOTTSÁG (EU) 2021/911 VÉGREHAJTÁSI RENDELETE
(2021. május 31.)
egyes áruk Kombinált Nómenklatúra szerinti besorolásáról
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel az Uniós Vámkódex létrehozásáról szóló, 2013. október 9-i 952/2013/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 57. cikke (4) bekezdésére és 58. cikke (2) bekezdésére,
mivel:
(1) |
A 2658/87/EGK tanácsi rendelet (2) mellékletét képező Kombinált Nómenklatúra egységes alkalmazása érdekében intézkedéseket szükséges elfogadni az e rendelet mellékletében meghatározott áruk besorolásáról. |
(2) |
A 2658/87/EGK rendelet meghatározza a Kombinált Nómenklatúra értelmezésére vonatkozó általános szabályokat. Ezeket a szabályokat kell alkalmazni bármely más olyan nómenklatúrára vonatkozóan is, amely részben vagy egészben a Kombinált Nómenklatúrán alapul, vagy azt bármilyen további albontással egészíti ki, és amelyet az árukereskedelemhez kapcsolódó tarifális és más intézkedések alkalmazása céljából az Unió valamely más rendelkezése hoz létre. |
(3) |
Az említett általános szabályok értelmében a mellékletben szereplő táblázat (1) oszlopában leírt árukat a táblázat (2) oszlopában feltüntetett KN-kód alá kell besorolni a (3) oszlopban kifejtett indokok alapján. |
(4) |
Indokolt úgy rendelkezni, hogy az e rendelet hatálya alá tartozó áruk tekintetében kibocsátott, de az e rendelet rendelkezéseivel összhangban nem álló kötelező érvényű tarifális felvilágosítást a jogosult – a 952/2013/EU rendelet 34. cikkének (9) bekezdésével összhangban – meghatározott ideig továbbra is felhasználhatja. Ezt az időszakot három hónapban kell meghatározni. |
(5) |
Az e rendeletben előírt intézkedések összhangban vannak a Vámkódexbizottság véleményével, |
ELFOGADTA EZT A RENDELETET:
1. cikk
A melléklet táblázatának (1) oszlopában leírt árukat a Kombinált Nómenklatúrában a táblázat (2) oszlopában megjelölt KN-kód alá kell besorolni.
2. cikk
Az e rendelet rendelkezéseivel összhangban nem álló kötelező érvényű tarifális felvilágosítás – a 952/2013/EU rendelet 34. cikkének (9) bekezdésével összhangban – e rendelet hatálybalépésének időpontjától kezdve három hónapig továbbra is felhasználható.
3. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2021. május 31-én.
a Bizottság részéről
az elnök nevében,
Gerassimos THOMAS
főigazgató
Adóügyi és Vámuniós Főigazgatóság
(1) HL L 269., 2013.10.10., 1. o.
(2) A Tanács 2658/87/EGK rendelete (1987. július 23.) a vám- és a statisztikai nómenklatúráról, valamint a Közös Vámtarifáról (HL L 256., 1987.9.7., 1. o.).
MELLÉKLET
Árumegnevezés |
Besorolás (KN-kód) |
Indokolás |
||||||||
(1) |
(2) |
(3) |
||||||||
Görgős bútormozgató, amely a következőkből áll:
Az árucikken fogantyú-mélyedés található például kézzel történő szállításához vagy az árucikk falra történő függesztéséhez. Az árucikket különböző tárgyak, különösen bútorok és bármely más nehéz tárgy szállítására (mozgatására) tervezték. (Lásd a képet.) (*1) |
4421 99 10 |
A besorolást a Kombinált Nómenklatúra értelmezésére vonatkozó 1., 3. b) és 6. általános szabály, a 44. árucsoporthoz tartozó Megjegyzések 3. pontja, valamint a 4421 , a 4421 99 és a 4421 99 10 KN-kód szövege határozza meg. A 8716 80 00 KN-kód alá, nem mechanikus meghajtású más járműként történő besorolás kizárt, mivel az árucikk objektív jellemzői és tulajdonságai nem felelnek meg teljes mértékben a 8716 vámtarifaszám és a 8716 80 00 KN-kód fogalmának. Objektív jellemzői és tulajdonságai miatt, beleértve az árucikk lábbal vagy kézzel történő tolására nem használt fogantyú-mélyedést, valamint nehéz tárgyaknak – például bútoroknak – a tárgyak tolásával történő szállítására (mozgatására) való kialakítását, az árucikket nem úgy tervezték, hogy más jármű által vontatható, kézzel tolható vagy húzható, lábbal tolható vagy állati erővel húzható legyen (lásd még a HR Magyarázat 8716 vtsz.-hoz tartozó magyarázata második bekezdését). Az árucikk nem tekinthető járműnek, ugyanis nem rendelkezik a 8716 vtsz. alá tartozó kézi meghajtású vagy lábmeghajtású járművek bizonyos jellemzőivel és tulajdonságaival, mivel nem (kézi)kocsi, targonca, talicska vagy tolókocsi, illetve nem egy jármű valamely meghatározott alkatrésze, például egy alváz alkotja. Következésképpen az árucikket az alapanyaga szerint kell besorolni. Az árucikk egy különböző anyagokból (fából, műanyagból és fémből) álló összetett termék. Az árucikk lényeges jellemzőjét a fa határozza meg, mivel az összetett termék fő részét a fapanel alkotja, és mivel a fapanel bír a legnagyobb jelentőséggel az árucikk rendeltetésszerű használata szempontjából. Következésképpen az árucikket a 4421 99 10 KN-kód alá kell besorolni rostlemezből készült más árucikként. |
(*1) A kép csupán tájékoztató jellegű.
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/10 |
A BIZOTTSÁG (EU) 2021/912 VÉGREHAJTÁSI RENDELETE
(2021. június 4.)
a lacto-N-neotetraóz (mikrobiális forrás) új élelmiszerre vonatkozó specifikációk módosításának engedélyezéséről és az (EU) 2017/2470 végrehajtási rendelet módosításáról
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel az új élelmiszerekről, az 1169/2011/EU európai parlamenti és tanácsi rendelet módosításáról, valamint a 258/97/EK európai parlamenti és tanácsi rendelet és az 1852/2001/EK bizottsági rendelet hatályon kívül helyezéséről szóló, 2015. november 25-i (EU) 2015/2283 európai parlamenti és tanácsi rendeletre (1) és különösen annak 12. cikkére,
mivel:
(1) |
Az (EU) 2015/2283 rendelet értelmében csak engedélyezett és az uniós jegyzékbe felvett új élelmiszerek hozhatók forgalomba az Unióban. |
(2) |
A Bizottság az (EU) 2015/2283 rendelet 8. cikke alapján elfogadta az engedélyezett új élelmiszerek uniós jegyzékét megállapító (EU) 2017/2470 bizottsági végrehajtási rendeletet (2). |
(3) |
Az (EU) 2015/2283 rendelet 12. cikke értelmében a Bizottságnak elő kell terjesztenie az új élelmiszer Unión belül történő forgalomba hozatalának engedélyezésére és az uniós jegyzék naprakésszé tételére vonatkozó végrehajtási jogi aktus tervezetét. |
(4) |
Az (EU) 2016/375 bizottsági végrehajtási határozat (3) a 258/97/EK európai parlamenti és tanácsi rendelettel (4) összhangban engedélyezte a vegyi úton szintetizált lakto-N-neotetraóz új élelmiszer-összetevőként történő forgalomba hozatalát. |
(5) |
2016. szeptember 1-jén a Glycom A/S vállalat a 258/97/EK rendelet 5. cikke szerint tájékoztatta a Bizottságot, hogy az Escherichia coli K-12 törzsével előállított lakto-N-neotetraóz (mikrobiális forrás) mint új élelmiszer-összetevő forgalomba hozatalát tervezi. |
(6) |
A Bizottságnak küldött értesítéshez a Glycom A/S egy jelentést is mellékelt, amelyet a 258/97/EK rendelet 3. cikkének (4) bekezdése alapján Írország illetékes hatósága állított ki, és amelynek következtetése az említett vállalat által benyújtott tudományos bizonyítékok fényében az volt, hogy az Escherichia coli K-12 törzsével előállított lakto-N-neotetraóz lényegileg egyenértékű az (EU) 2016/375 végrehajtási határozattal engedélyezett szintetikus lakto-N-neotetraózzal. Ezért a mikrobiális eredetű lakto-N-neotetraózt a Bizottság felvette az új élelmiszerek uniós jegyzékébe. |
(7) |
2019. június 23-án a Chr. Hansen A/S vállalat (a továbbiakban: kérelmező) az (EU) 2015/2283 rendelet 10. cikke (1) bekezdésének megfelelően kérelmet nyújtott be a Bizottsághoz az Escherichia coli BL21(DE3) törzséből származó PS-LNnT-JBT és DS-LNnT-JBT törzs együttes aktivitásával előállított lakto-N-neotetraóz (microbiális forrás) új élelmiszerként, a szintetikus és a mikrobiális forrásból származó lakto-N-neotetraóz tekintetében engedélyezett felhasználási feltételekkel azonos feltételek mellett való engedélyezése iránt. A kérelmező az uniós jegyzéknek az említett új élelmiszer új forrása tekintetében történő naprakésszé tételét kérte. |
(8) |
Ezenkívül a kérelmező javasolta az ezen új forrásból származó lakto-N-neotetraóz (mikrobiális forrás) egyes specifikációinak a frissítését, mivel azok eltérnek az Escherichia coli K-12 törzsével előállított, mikrobiológiai forrásból származó, engedélyezett lakto-N-neotetraóz specifikációitól, lévén hogy a hamutartalom ≤ 0,4 %-ról ≤ 1,0 %-ra való növelését, a telepképző egységek (CFU) jelenlegi, élesztő- és penészgombákra külön-külön érvényes ≤ 10 CFU/g értéke helyett e két mikroorganizmusra összesen érvényes ≤ 50 CFU/g érték bevezetését, továbbá a metanolnak és a lakto-N-neotetraóz fruktóz izomernek a hiányát jelentik (a jelenlegi ≤ 100 mg/kg, illetve ≤ 1,0 % értékkel szemben). |
(9) |
2020. január 17-én a Bizottság felkérte az Európai Élelmiszerbiztonsági Hatóságot (a továbbiakban: Hatóság), hogy az (EU) 2015/2283 rendelet 11. cikkében foglalt követelmények alapján végezze el az Escherichia coli BL21(DE3) törzséből származó PS-LNnT-JBT és DS-LNnT-JBT törzs együttes aktivitásával előállított lakto-N-neotetraóz értékelését. |
(10) |
2020. október 22-én a Hatóság elfogadta az E. coli BL21 származékos törzseivel előállított lakto-N-neotetraóznak (LNnT) mint az (EU) 2015/2283 rendelet szerinti új élelmiszernek a biztonságosságáról szóló tudományos szakvéleményt („Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283”) (5). |
(11) |
Tudományos szakvéleményében a Hatóság arra a következtetésre jutott, hogy az Escherichia coli BL21(DE3) törzséből származó PS-LNnT-JBT és DS-LNnT-JBT törzs együttes aktivitásával előállított lakto-N-neotetraóz mint az (EU) 2015/2283 rendelet szerinti új élelmiszer a jelenleg engedélyezett felhasználási feltételek mellett biztonságos. Ezért az említett tudományos szakvélemény elegendő alapot nyújt annak a megállapításához, hogy az Escherichia coli BL21(DE3) törzséből származó PS-LNnT-JBT és DS-LNnT-JBT törzs együttes aktivitásával előállított lakto-N-neotetraóz megfelel az (EU) 2015/2283 rendelet 12. cikkének (1) bekezdésében foglaltaknak. |
(12) |
Ezért helyénvaló módosítani a mikrobiológiai úton előállított lakto-N-neotetraóz specifikációit, és a szóban forgó új élelmiszer forrásai közé – az engedélyezett Escherichia coli K-12 törzs mellé – fel kell venni az Escherichia coli BL21(DE3) törzséből származó PS-LNnT-JBT és DS-LNnT-JBT törzset, továbbá módosítani kell a hamu és a penészgombák, valamint az élesztőgombák javasolt mennyiségeit. |
(13) |
Az (EU) 2017/2470 végrehajtási rendelet mellékletét ezért ennek megfelelően módosítani kell. |
(14) |
Az e rendeletben előírt intézkedések összhangban vannak a Növények, Állatok, Élelmiszerek és Takarmányok Állandó Bizottságának véleményével, |
ELFOGADTA EZT A RENDELETET:
1. cikk
Az engedélyezett új élelmiszereknek az (EU) 2015/2283 rendelet 6. cikke értelmében létrehozott uniós jegyzékében a „lakto-N-neotetraóz (mikrobiális forrás)” anyagra vonatkozó bejegyzést az e rendelet mellékletében meghatározottak szerint módosítani kell.
2. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2021. június 4-én.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 327., 2015.12.11., 1. o.
(2) A Bizottság (EU) 2017/2470 végrehajtási rendelete (2017. december 20.) az új élelmiszerek uniós jegyzékének az új élelmiszerekről szóló (EU) 2015/2283 európai parlamenti és tanácsi rendelet alapján történő megállapításáról (HL L 351., 2017.12.30., 72. o.).
(3) A Bizottság (EU) 2016/375 végrehajtási határozata (2016. március 11.) a lakto-N-neotetraóznak a 258/97/EK európai parlamenti és tanácsi rendelet szerinti új élelmiszer-összetevőként való forgalomba hozatalának engedélyezéséről (HL L 70., 2016.3.16., 22. o.).
(4) Az Európai Parlament és a Tanács 258/97/EK rendelete (1997. január 27.) az új élelmiszerekről és az új élelmiszer-összetevőkről (HL L 43., 1997.2.14., 1. o.).
(5) EFSA Journal 2020;18(11):6305.
MELLÉKLET
Az (EU) 2017/2470 végrehajtási rendelet mellékletében szereplő 2. táblázatban (Specifikációk) a „Lakto-N-neotetraóz (mikrobiális forrás)” bejegyzés helyébe a következő szöveg lép:
„Lakto-N-neotetraóz (mikrobiális forrás) |
Meghatározás: Kémiai név: β-d-Galaktopiranozil-(1→4)-2-acetamido-2-deoxi-β-d-glükopiranozil-(1→3)-β-d-galaktopiranozil-(1→4)-d-glükopiranóz Kémiai képlet: C26H45NO21 CAS-szám: 13007-32-4 Molekulatömeg: 707,63 g/mol Forrás:
Leírás: A lakto-N-neotetraóz egy mikrobiológiai eljárással előállított por, amelynek színe a fehértől a piszkosfehérig terjed. Tisztaság: Tartalom (vízmentes): ≥ 80 % D-laktóz: ≤ 10,0 % Lakto-N-trióz II: ≤ 3,0 % para-Lakto-N-neohexaóz: ≤ 5,0 % Lakto-N-neotetraóz fruktóz izomer: ≤ 1,0 % Szacharidok (lakto-N-neotetraóz, D-laktóz, lakto-N-trióz II, para-lakto-N-neohexaóz, lakto-N-neotetraóz fruktóz izomer) összesen: ≥ 92 % (% m/m száraz tömeg) pH-érték (20 °C, 5 %-os oldat): 4,0–7,0 Víz: ≤ 9,0 % Szulfáthamu: ≤ 1,0 % Oldószermaradékok (metanol): ≤ 100 mg/kg Fehérjemaradékok: ≤ 0,01 % Mikrobiológiai kritériumok: Összes aerob mezofil baktérium száma: ≤ 500 CFU/g Élesztő- és penészgombák: ≤ 50 CFU/g Endotoxinmaradékok: ≤ 10 EU/mg CFU: telepképző egység; EU: endotoxin egység” |
HATÁROZATOK
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/13 |
A BIZOTTSÁG (EU) 2021/913 VÉGREHAJTÁSI HATÁROZATA
(2021. június 3.)
az (EU) 2019/2022 rendelet és az (EU) 2019/2017 felhatalmazáson alapuló rendelet támogatása céljából kidolgozott, a háztartási mosogatógépekre vonatkozó harmonizált szabványokról
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel az európai szabványosításról, a 89/686/EGK és a 93/15/EGK tanácsi irányelv, a 94/9/EK, a 94/25/EK, a 95/16/EK, a 97/23/EK, a 98/34/EK, a 2004/22/EK, a 2007/23/EK, a 2009/23/EK és a 2009/105/EK európai parlamenti és tanácsi irányelv módosításáról, valamint a 87/95/EGK tanácsi határozat és az 1673/2006/EK európai parlamenti és tanácsi határozat hatályon kívül helyezéséről szóló, 2012. október 25-i 1025/2012/EU európai parlamenti és tanácsi rendeletre (1) és különösen annak 10. cikke (6) bekezdésére,
mivel:
(1) |
A 2009/125/EK európai parlamenti és tanácsi irányelv (2) 9. cikke (2) bekezdésének megfelelően azt a terméket, amelyre olyan harmonizált szabványokat alkalmaztak, amelyek hivatkozási számát közzétették az Európai Unió Hivatalos Lapjában, a tagállamok úgy tekintik, hogy az megfelel az e szabványokra alkalmazandó végrehajtási intézkedések követelményeinek. Az (EU) 2019/2022 bizottsági rendelet (3) 4. cikke és III. melléklete meghatározza a háztartási mosogatógépekre vonatkozó mérési és számítási követelményeket. |
(2) |
Az (EU) 2017/1369 európai parlamenti és tanácsi rendelet (4) 13. cikkének megfelelően, amennyiben a Bizottság az említett rendelet 16. cikke szerint konkrét címkézési előírásokat megállapító felhatalmazáson alapuló jogi aktust fogad el, az elfogadást követően hivatkozásokat tesz közzé az Európai Unió Hivatalos Lapjában azokra a harmonizált szabványokra, amelyek megfelelnek a felhatalmazáson alapuló adott jogi aktus vonatkozó mérési és számítási követelményeinek. Amennyiben egy termék megfelelőségértékelése során ilyen harmonizált szabványokat alkalmaznak, a modellről feltételezendő, hogy megfelel a felhatalmazáson alapuló jogi aktus vonatkozó mérési és számítási követelményeinek. Az (EU) 2019/2017 felhatalmazáson alapuló bizottsági rendelet (5) 3. cikke és IV. melléklete meghatározza a háztartási mosogatógépekre vonatkozó mérési és számítási követelményeket. |
(3) |
A C(2020)4329 végrehajtási határozattal (6) a Bizottság felkérte az Európai Szabványügyi Bizottságot (CEN), az Európai Elektrotechnikai Szabványügyi Bizottságot (CENELEC) és az Európai Távközlési Szabványügyi Intézetet (ETSI), hogy vizsgálják felül a háztartási mosogatógépekre, háztartási mosógépekre és háztartási mosó-szárítógépekre vonatkozó meglévő harmonizált szabványokat az (EU) 2019/2022 és az (EU) 2019/2023 rendelet, valamint az (EU) 2019/2017 és az (EU) 2019/2014 felhatalmazáson alapuló rendelet támogatása érdekében. |
(4) |
A C(2020)4329 végrehajtási határozatban foglalt kérelem alapján a CENELEC a műszaki és tudományos fejlődés figyelembevétele érdekében kidolgozta az EN 60436:2020 harmonizált szabványt. A CENELEC elfogadta továbbá az EN 60436:2020/A11:2020 módosítást és az EN 60436:2020/AC:2020-6 helyesbítést. |
(5) |
A Bizottság a CENELEC-kel közösen megvizsgálta, hogy az EN 60436:2020/A11:2020 módosítás által módosított és az EN 60436:2020/AC:2020-6 helyesbítés által helyesbített EN 60436:2020 harmonizált szabvány megfelel-e a C(2020) 4329 végrehajtási határozatban foglalt kérésnek. |
(6) |
Az EN 60436:2020/A11:2020 módosítás által módosított és az EN 60436:2020/AC:2020-6 helyesbítés által helyesbített EN 60436:2020 harmonizált szabvány megfelel az általa lefedni kívánt, valamint az (EU) 2019/2022 rendeletben és az (EU) 2019/2017 felhatalmazáson alapuló rendeletben meghatározott követelményeknek. |
(7) |
Egyértelművé kell tenni, hogy az EN 60436:2020 szabvány „2. Normatív hivatkozások” pontjának „3. Módosítás” pontjában említett szabványok mely változatait kell alkalmazni a megfelelőség vélelmezése céljából. |
(8) |
Az (EU) 2019/2017 felhatalmazáson alapuló rendelet alkalmazásában az EN 60436:2020 szabvány ZZA.1. táblázatának „Észrevételek/megjegyzések*” oszlopát, valamint az (EU) 2019/2022 rendelet alkalmazásában az EN 60436:2020 szabvány ZZB.1. táblázatának „Észrevételek/megjegyzések*” oszlopát ki kell zárni a közzétételből, mivel az említett oszlopok nem állnak összhangban a szabványok fő normatív szövegében foglalt követelményekkel, valamint az említett oszlopok lábjegyzetében szereplő megfelelőségi vélelem joghatásának értelmezéséből eredő jogbizonytalanság miatt. |
(9) |
Ezért helyénvaló az EN 60436:2020/A11:2020 módosítás által módosított és az EN 60436:2020/AC:2020-6 helyesbítés által helyesbített EN 60436:2020 harmonizált szabvány hivatkozását korlátozással közzétenni az Európai Unió Hivatalos Lapjában. |
(10) |
Az EN 60436:2020 harmonizált szabvány a 2016/C 416/05 bizottsági közleménnyel (7) közzétett EN 50242:2016 harmonizált szabvány helyébe lép. Ezért helyénvaló hatályon kívül helyezni a szóban forgó közleményt. |
(11) |
A harmonizált szabványnak való megfelelés alapján a szóban forgó szabvány hivatkozásának az Európai Unió Hivatalos Lapjában való közzétételi időpontjától kezdődően vélelmezhető az uniós harmonizációs jogszabályokban meghatározott, megfelelő követelményeknek való megfelelés. Ezért e határozatnak a kihirdetése napján kell hatályba lépnie, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
Az (EU) 2019/2017 felhatalmazáson alapuló rendelet támogatása céljából kidolgozott és e határozat I. mellékletében felsorolt, a háztartási mosogatógépekre vonatkozó harmonizált szabvány hivatkozásait a Bizottság korlátozással közzéteszi az Európai Unió Hivatalos Lapjában.
Az (EU) 2019/2022 rendelet támogatása céljából kidolgozott és e határozat II. mellékletében felsorolt, a háztartási mosogatógépek környezettudatos tervezésére vonatkozó harmonizált szabvány hivatkozását a Bizottság korlátozással közzéteszi az Európai Unió Hivatalos Lapjában.
2. cikk
A 2016/C 416/05 közlemény hatályát veszti.
3. cikk
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetésének napján lép hatályba.
Kelt Brüsszelben, 2021. június 3-án.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 316., 2012.11.14., 12. o.
(2) Az Európai Parlament és a Tanács 2009/125/EK irányelve (2009. október 21) az energiával kapcsolatos termékek környezetbarát tervezésére vonatkozó követelmények megállapítási kereteinek létrehozásáról (HL L 285., 2009.10.31., 10. o.).
(3) A Bizottság (EU) 2019/2022 rendelete (2019. október 1.) a háztartási mosogatógépek környezettudatos tervezésére vonatkozó követelményeknek a 2009/125/EK európai parlamenti és tanácsi irányelv szerinti megállapításáról, az 1275/2008/EK bizottsági rendelet módosításáról és az 1016/2010/EU bizottsági rendelet hatályon kívül helyezéséről (HL L 315., 2019.12.5., 267. o.).
(4) Az Európai Parlament és a Tanács (EU) 2017/1369 rendelete (2017. július 4.) az energiacímkézés keretének meghatározásáról és a 2010/30/EU irányelv hatályon kívül helyezéséről (HL L 198., 2017.7.28., 1. o.).
(5) A Bizottság (EU) 2019/2017 felhatalmazáson alapuló rendelete (2019. március 11.) az (EU) 2017/1369 európai parlamenti és tanácsi rendeletnek a háztartási mosogatógépek energiacímkézése tekintetében történő kiegészítéséről és az 1059/2010/EU felhatalmazáson alapuló bizottsági rendelet hatályon kívül helyezéséről (HL L 315., 2019.12.5., 134. o.).
(6) A Bizottság C(2020) 4329 végrehajtási határozata (2020. július 1.) az (EU) 2019/2022 és az (EU) 2019/2023 bizottsági rendelet, valamint az (EU) 2019/2017 és az (EU) 2019/2014 felhatalmazáson alapuló bizottsági rendelet támogatása céljából az Európai Szabványügyi Bizottsághoz, az Európai Elektrotechnikai Szabványügyi Bizottsághoz és az Európai Távközlési Szabványügyi Intézethez a háztartási mosogatógépekre, háztartási mosógépekre és háztartási mosó-szárítógépekre vonatkozó környezettudatos tervezési és energiacímkézési követelmények tekintetében intézett szabványosítási kérelemről.
(7) A Bizottság közleménye a 2009/125/EK európai parlamenti és tanácsi irányelvnek a háztartási mosogatógépekre vonatkozó környezetbarát tervezési követelmények tekintetében történő végrehajtásáról szóló 1016/2010/EU bizottsági rendelet és a 2010/30/EU európai parlamenti és tanácsi irányelvnek a háztartási mosogatógépek energiafogyasztásának címkézése tekintetében történő kiegészítéséről szóló 1059/2010/EU felhatalmazáson alapuló bizottsági rendelet végrehajtása keretében (Az uniós harmonizációs jogszabályok értelmében összehangolt szabványok címeinek és hivatkozásainak közzététele) (HL C 416., 2016.11.11., 14. o.).
I. MELLÉKLET
Az (EU) 2019/2017 felhatalmazáson alapuló rendelet támogatása céljából kidolgozott harmonizált szabvány hivatkozása
EN 60436:2020 Elektromos mosogatógép háztartási használatra. A működési jellemzők mérési módszerei EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Korlátozások:
|
II. MELLÉKLET
Az (EU) 2019/2022 rendelet támogatása céljából kidolgozott harmonizált szabvány hivatkozása
EN 60436:2020 Elektromos mosogatógép háztartási használatra. A működési jellemzők mérési módszerei EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Korlátozások:
|
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/18 |
A BIZOTTSÁG (EU) 2021/915 VÉGREHAJTÁSI HATÁROZATA
(2021. június 4.)
az adatkezelők és az adatfeldolgozók közötti, az (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 29. cikkének (7) bekezdése szerinti általános szerződési feltételekről
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (1) és különösen annak 28. cikke (7) bekezdésére,
tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (EUDPR) (2) és különösen annak 29. cikke (7) bekezdésére,
mivel:
(1) |
Az adatkezelő és az adatfeldolgozó fogalma döntő szerepet játszik az (EU) 2016/679 rendelet és az (EU) 2018/1725 rendelet alkalmazásában. Az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Az (EU) 2018/1725 rendelet alkalmazásában adatkezelő az az uniós intézmény vagy szerv, főigazgatóság vagy bármely más szervezeti egység, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módját. Ha az adatkezelés céljait és eszközeit konkrét uniós jogszabály határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós jog határozhatja meg. Adatfeldolgozó az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. |
(2) |
Ugyanazon általános szerződési feltételeknek kell vonatkozniuk az adatkezelők és az (EU) 2016/679 rendelet hatálya alá tartozó adatfeldolgozók közötti kapcsolatra, mint azokra az esetekre, amikor az (EU) 2018/1725 rendelet hatálya alá tartoznak. Ennek az az oka, hogy a személyes adatok Unión belüli védelmére és a személyes adatok Unión belüli szabad áramlására vonatkozó koherens megközelítés érdekében az (EU) 2016/679 rendeletnek a tagállamok közszektorára alkalmazandó adatvédelmi szabályait, valamint az (EU) 2018/1725 rendeletben foglalt, az uniós intézményekre, szervekre, hivatalokra és ügynökségekre alkalmazandó adatvédelmi szabályokat a lehetőségekhez mérten összehangolták egymással. |
(3) |
Az (EU) 2016/679 és az (EU) 2018/1725 rendelet követelményeinek való megfelelés biztosítása érdekében az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, amelyek – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – megfelelő garanciákat nyújtanak az (EU) 2016/679 rendelet és az (EU) 2018/1725 rendelet követelményeinek megfelelő technikai és szervezési intézkedések végrehajtásához, beleértve az adatkezelés biztonságát. |
(4) |
Az adatfeldolgozó általi adatkezelést olyan, uniós vagy tagállami jog szerinti szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatkezelő tekintetében kötelező az adatfeldolgozóra nézve, és amely meghatározza az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében vagy az (EU) 2018/1725 rendelet 29. cikkének (3) és (4) bekezdésében felsorolt elemeket. A szerződésnek vagy aktusnak írásban kell megtörténnie, beleértve az elektronikus formát is. |
(5) |
Az (EU) 2016/679 rendelet 28. cikkének (6) bekezdésével és az (EU) 2018/1725 rendelet 29. cikkének (6) bekezdésével összhangban az adatkezelő és az adatfeldolgozó dönthet úgy, hogy tárgyalásokat folytat az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében, illetve az (EU) 2018/1725 rendelet 29. cikkének (3) és (4) bekezdésében meghatározott kötelező elemeket tartalmazó egyedi szerződésről, vagy részben vagy teljes mértékben alkalmazza a Bizottság által az (EU) 2016/679 rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 rendelet 29. cikkének (7) bekezdése alapján elfogadott általános szerződési feltételeket. |
(6) |
Az adatkezelő és az adatfeldolgozó szabadon beépítheti az e határozatban szereplő általános szerződési feltételeket egy szélesebb körű szerződésbe, és más feltételekkel vagy további garanciákkal egészítheti ki azt, feltéve, hogy azok közvetve vagy közvetlenül nem mondanak ellen az általános szerződési feltételeknek, vagy nem sértik az érintettek alapvető jogait és szabadságait. Az általános szerződési feltételekre való hivatkozás nem érinti az adatkezelőnek és/vagy az adatfeldolgozónak az alkalmazandó kiváltságok és mentességek tiszteletben tartásának biztosítására vonatkozó szerződéses kötelezettségeit. |
(7) |
Az általános szerződési feltételeknek anyagi jogi és eljárási szabályokat egyaránt magukban kell foglalniuk. Az (EU) 2016/679 rendelet 28. cikkének (3) bekezdésével és az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdésével összhangban az általános szerződési feltételekben elő kell írni az adatkezelő és adatfeldolgozó számára, hogy határozza meg az adatkezelés tárgyát és időtartamát, jellegét és célját, az érintett személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait. |
(8) |
Az (EU) 2016/679 rendelet 28. cikkének (3) bekezdése és az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdése értelmében az adatfeldolgozónak haladéktalanul tájékoztatnia kell az adatkezelőt, ha véleménye szerint az adatkezelő utasításai megsértik az (EU) 2016/679 rendeletet vagy az (EU) 2018/1725 rendeletet, vagy más uniós vagy tagállami adatvédelmi rendelkezéseket. |
(9) |
Ha egy adatfeldolgozó meghatározott tevékenységek végzése céljából további adatfeldolgozót vesz igénybe, az (EU) 2016/679 rendelet 28. cikkének (2) és (4) bekezdésében vagy az (EU) 2018/1725 rendelet 29. cikkének (2) és (4) bekezdésében említett egyedi követelményeket kell alkalmazni. Különösen előzetes kifejezett vagy általános írásbeli engedélyre van szükség. Függetlenül attól, hogy ez az előzetes engedély egyedi vagy általános jellegű-e, az elsődleges adatfeldolgozónak naprakész jegyzéket kell vezetnie a többi adatfeldolgozóról. |
(10) |
Az (EU) 2016/679 rendelet 46. cikkének (1) bekezdésében foglalt követelmények teljesítése érdekében a Bizottság általános szerződési feltételeket fogadott el az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének c) pontja alapján. Az említett feltételek teljesítik továbbá az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében foglalt követelményeket, amelyek az (EU) 2016/679 rendelet hatálya alá tartozó adatkezelők részéről a rendelet területi hatályán kívül eső adatfeldolgozók részére történő adattovábbításokra vagy az (EU) 2016/679 rendelet hatálya alá tartozó adatfeldolgozók részéről a rendelet területi hatályán kívül eső további adatfeldolgozók részére történő adattovábbításokra vonatkoznak. Ezek az általános szerződési feltételek nem használhatók általános szerződési feltételként az (EU) 2016/679 rendelet V. fejezetének alkalmazásában. |
(11) |
Lehetővé kell tenni, hogy harmadik felek a szerződés teljes életciklusa alatt az általános szerződési feltételek szerződő felévé váljanak. |
(12) |
Az általános szerződési feltételek működését az (EU) 2016/679 rendelet 97. cikkében említett időszakos értékelés alrészeként kell értékelni. |
(13) |
Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, és a biztos és a testület 2021. január 14-én közös véleményt adott ki (3), amelynek figyelembevételére sor került e határozat előkészítése során. |
(14) |
Az e határozatban előírt intézkedések összhangban vannak az (EU) 2016/679 rendelet 93. cikke és az (EU) 2018/1725 rendelet 96. cikkének (2) bekezdése alapján létrehozott bizottság véleményével, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
A mellékletben meghatározott általános szerződési feltételek teljesítik az adatkezelők és adatfeldolgozók közötti szerződésekre vonatkozóan az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében, valamint az (EU) 2018/1725 rendelet 29. cikkének (3) és (4) bekezdésében foglalt követelményeket.
2. cikk
A mellékletben meghatározott általános szerződési feltételek alkalmazhatók az adatkezelő és az adatkezelő nevében személyes adatokat kezelő adatfeldolgozó közötti szerződésekben.
3. cikk
A Bizottság az (EU) 2016/679 rendelet 97. cikkében előírt időszakos értékelés részeként az összes rendelkezésre álló információ alapján értékeli a mellékletben meghatározott általános szerződési feltételek gyakorlati alkalmazását.
4. cikk
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Kelt Brüsszelben, 2021. június 4-én.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 119., 2016.5.4., 1. o.
(2) HL L 295., 2018.11.21., 39. o.
(3) Az Európai Adatvédelmi Testület-európai adatvédelmi biztos 1/2021. sz.közös véleménye a személyes adatoknak az (EU) 2016/679 rendelet 28. cikkének (7) bekezdésében és az (EU) 2018/1725 rendelet 29. cikkének (7) bekezdésében említett kérdések tekintetében az adatkezelők és az adatfeldolgozók közötti általánosszerződési feltételekről szóló európai bizottsági végrehajtási határozatról.
MELLÉKLET
Általános szerződési feltételek
I. SZAKASZ
1. feltétel
Cél és alkalmazási kör
(a) |
Ezen általános szerződési feltételek (a továbbiakban: a feltételek) célja a következő cikknek való megfelelés [válassza ki a megfelelő lehetőséget: 1. LEHETŐSÉG: a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (3) és (4) bekezdése]/[2. LEHETŐSÉG: a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendelet 29. cikkének (3) és (4) bekezdése]. |
(b) |
Az I. mellékletben felsorolt adatkezelők és adatfeldolgozók az (EU) 2016/679 rendelet 28. cikke (3) és (4) bekezdésének és/vagy az (EU) 2018/1725 rendelet 29. cikke (3) és (4) bekezdésének való megfelelés biztosítása érdekében elfogadták ezeket a feltételeket. |
(c) |
E feltételek a II. mellékletben meghatározott személyes adatok kezelésére vonatkoznak. |
(d) |
Az I–IV. melléklet a feltételek szerves részét képezi. |
(e) |
Ezek a feltételek nem érintik az adatkezelőre az (EU) 2016/679 rendelet és/vagy az (EU) 2018/1725 rendelet értelmében háruló kötelezettségeket. |
(f) |
Ezek a feltételek önmagukban nem biztosítják az (EU) 2016/679 rendelet V. fejezete és/vagy az (EU) 2018/1725 rendelet szerinti nemzetközi adattovábbításokkal kapcsolatos kötelezettségek teljesítését. |
2. feltétel
A feltételek megváltoztathatatlansága
(a) |
A felek vállalják, hogy nem módosítják a feltételeket, kivéve, ha a mellékleteket további információkkal egészítik ki, vagy a bennük szereplő információkat frissítik. |
(b) |
Ez nem akadályozza meg a Feleket abban, hogy az e szerződési feltételekben meghatározott általános szerződési feltételeket egy szélesebb szerződésbe foglalják vagy egyéb záradékokkal vagy kiegészítő garanciákkal egészítsék ki, feltéve, hogy azok sem közvetlenül, sem közvetve nem mondanak ellent ezeknek a feltételeknek, és nem csökkentik az érintettek alapvető jogait vagy szabadságait. |
3. feltétel
Értelmezés
(a) |
Amennyiben ezek a feltételek az (EU) 2016/679 rendeletben vagy az (EU) 2018/1725 rendeletben meghatározott fogalmakat használják, e fogalmak jelentése megegyezik az említett rendeletben foglaltakkal. |
(b) |
Ezeket a feltételeket az (EU) 2016/679 rendelet vagy az (EU) 2018/1725 rendelet rendelkezéseinek fényében kell értelmezni. |
(c) |
E feltételek nem értelmezhetők oly módon, amely ellentétes az (EU) 2016/679 rendeletben/az (EU) 2018/1725 rendeletben meghatározott jogokkal és kötelezettségekkel, vagy oly módon, amely sérti az érintettek alapvető jogait vagy szabadságait. |
4. feltétel
Hierarchia
Abban az esetben, ha ellentmondás áll fenn e feltételek és a Felek között az e feltételek elfogadásakor vagy az azt követően létrejött kapcsolódó megállapodásokban foglalt rendelkezések között, ezek a feltételek az irányadók.
5. feltétel – Fakultatív
Dokkolási feltétel
(a) |
Az a jogalany, amely e feltételeknek nem részes fele, minden Fél beleegyezése mellett a mellékletek kitöltésével és az I. melléklet aláírásával bármikor csatlakozhat ezekhez a feltételekhez adatkezelőként vagy adatfeldolgozóként. |
(b) |
Az a) pontban említett mellékletek kitöltését és aláírását követően a csatlakozó jogalanyt e feltételek részes felének kell tekinteni, és megilletik az adatkezelő vagy adatfeldolgozó jogai és kötelezettségei az I. mellékletben szereplő megnevezéssel összhangban. |
(c) |
A csatlakozó jogalany nem rendelkezik a részes féllé válást megelőző időszakból az e feltételekből eredő jogokkal vagy kötelezettségekkel. |
II. SZAKASZ
A FELEK KÖTELEZETTSÉGEI
6. feltétel
Az adatkezelés(ek) leírása
Az adatkezelési műveletek részleteit, különösen a személyes adatok kategóriáit és azon adatkezelési célokat, amelyek miatt a személyes adatokat az adatkezelő nevében kezelik, a II. melléklet határozza meg.
7. feltétel
A Felek kötelezettségei
7.1. Utasítások
(a) |
Az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli, kivéve akkor, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő. Ebben az esetben erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését az adott jogszabály fontos közérdekből tiltja. Az adatkezelő a személyes adatok kezelésének teljes időtartama alatt további utasításokat is adhat. Ezeket az utasításokat mindig dokumentálni kell. |
(b) |
Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha az adatfeldolgozó véleménye szerint az adatkezelő által adott utasítások sértik az (EU) 2016/679 rendeletet/az (EU) 2018/1725 rendeletet vagy az alkalmazandó uniós vagy tagállami adatvédelmi rendelkezéseket. |
7.2. Célhoz kötöttség
Az adatfeldolgozó a személyes adatokat kizárólag a II. mellékletben meghatározott konkrét cél(ok)ból kezelheti, amennyiben nem kap további utasításokat az adatkezelőtől.
7.3. A személyes adatok kezelésének időtartama
Az adatfeldolgozó általi adatkezelésre csak a II. mellékletben meghatározott ideig kerülhet sor.
7.4. Az adatkezelés biztonsága
(a) |
Az adatfeldolgozó végrehajtja legalább a III. mellékletben meghatározott technikai és szervezési intézkedéseket a személyes adatok biztonságának garantálása érdekében. Ez magában foglalja az adatoknak a biztonság olyan megsértése elleni védelmét, amely az adatok véletlen vagy jogellenes megsemmisítését, elvesztését, módosítását, jogosulatlan nyilvánosságra hozatalát vagy az azokhoz való jogosulatlan hozzáférést eredményezi (adatvédelmi incidens). A megfelelő biztonsági szint értékelése során a Feleknek kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és céljait, valamint az érintetteket érintő kockázatokat. |
(b) |
Az adatfeldolgozó csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára a kezelés alatt álló személyes adatokhoz. Az adatfeldolgozó biztosítja azt, hogy a kapott személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. |
7.5. Különleges adatok
Amennyiben az adatkezelés faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó adatokat tartalmaz („különleges adatok”), az adatfeldolgozó egyedi korlátozásokat és/vagy további garanciákat alkalmaz.
7.6. Dokumentáció és megfelelés
(a) |
A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. |
(b) |
Az adatfeldolgozó haladéktalanul és megfelelően kezeli az adatkezelőnek az e feltételekkel összhangban végzett adatkezeléssel kapcsolatos kérdéseit. |
(c) |
Az adatfeldolgozó az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e feltételekben meghatározott, közvetlenül az (EU) 2016/679 rendeletből és/vagy az (EU) 2018/1725 rendeletből eredő kötelezettségek teljesítésének igazolásához szükséges. Az adatkezelő kérésére az adatfeldolgozónak lehetővé kell tennie továbbá és hozzá kell járulnia az észszerű időközönkénti vagy a megfelelés elmaradására utaló jelek esetén történő ellenőrzéshez az e feltételek hatálya alá tartozó adatkezelési tevékenységekkel kapcsolatban. A felülvizsgálatra vagy ellenőrzésre vonatkozó döntés meghozatalakor az adatkezelő figyelembe veheti az adatfeldolgozó birtokában lévő vonatkozó tanúsítványokat. |
(d) |
Az adatkezelő dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független könyvvizsgálót. Az ellenőrzések kiterjedhetnek az adatfeldolgozó telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra is, amelyeket adott esetben észszerű értesítés mellett kell elvégezni. |
(e) |
A Felek kérésre az illetékes felügyeleti hatóság(ok) rendelkezésére bocsátják az e feltételben említett információkat, beleértve az ellenőrzések eredményeit is. |
7.7. További adatfeldolgozók alkalmazása
(a) |
1. LEHETŐSÉG: KIFEJEZETT ELŐZETES ENGEDÉLY: Az adatfeldolgozó – az adatkezelő kifejezett előzetes írásbeli engedélye nélkül – nem adja alvállalkozásba az adatkezelő nevében e feltételekkel összhangban végzett adatkezelési műveleteit egy további adatfeldolgozónak. Az adatfeldolgozó a kifejezett hozzájárulás iránti kérelmet legalább [ADJA MEG AZ IDŐTARTAMOT] az érintett további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatkezelő dönthessen az engedélyről. Az adatkezelő által jóváhagyott további adatfeldolgozók listája megtalálható a IV. mellékletben. A felek a IV. mellékletet rendszeresen frissítik. 2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY: Az adatfeldolgozó rendelkezik az adatkezelő általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatfeldolgozó írásban kifejezetten tájékoztatja az adatkezelőt az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [ADJA MEG AZ IDŐTARTAMOT] korábban, elegendő időt biztosítva az adatkezelőnek arra, hogy az érintett további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatfeldolgozó megadja az adatkezelőnek azokat az információkat, amelyek szükségesek ahhoz, hogy az adatkezelő a tiltakozáshoz való jogát gyakorolhassa. |
(b) |
Amennyiben az adatfeldolgozó meghatározott adatkezelési tevékenységek végzése céljából (az adatkezelő nevében) további adatfeldolgozót vesz igénybe, ezt olyan szerződés útján kell megtennie, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket rója a további feldolgozóra, mint amelyeket e feltételekkel összhangban az adatfeldolgozó számára előírnak. Az adatfeldolgozó biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatfeldolgozóra e feltételek, valamint az (EU) 2016/679 rendelet és/vagy az (EU) 2018/1725 rendelet értelmében alkalmazandók. |
(c) |
Az adatkezelő kérésére az adatfeldolgozónak az adatkezelő rendelkezésére kell bocsátania a további adatfeldolgozóra vonatkozó megállapodás és annak későbbi módosításai egy példányát. Az üzleti titok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatfeldolgozó a másolat megosztása előtt kivonatolhatja a megállapodás szövegét. |
(d) |
Az adatfeldolgozó továbbra is teljes mértékben felel az adatkezelő felé a további adatfeldolgozónak az adatfeldolgozóval kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatfeldolgozó értesíti az adatkezelőt, ha a további adatfeldolgozó nem teljesíti a szerződéses kötelezettségeit. |
(e) |
Az adatfeldolgozó megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatkezelő jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatfeldolgozó ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált. |
7.8. Nemzetközi adattovábbítások
(a) |
Az adatfeldolgozó általi, harmadik országba vagy nemzetközi szervezet részére történő adattovábbításra kizárólag az adatkezelő dokumentált utasításai alapján vagy az adatfeldolgozóra vonatkozó uniós vagy tagállami jog valamely konkrét követelményének teljesítése céljából kerülhet sor, és azt az (EU) 2016/679 rendelet V. fejezetével vagy az (EU) 2018/1725 rendelettel összhangban kell végrehajtani. |
(b) |
Az adatkezelő egyetért azzal, hogy amennyiben az adatfeldolgozó a 7.7. feltétellel összhangban további adatfeldolgozót vesz igénybe meghatározott adatkezelési tevékenységeknek (az adatkezelő nevében történő) végzése céljából, és az adatkezelési tevékenységek az (EU) 2016/679 rendelet V. fejezete értelmében személyes adatok továbbításával járnak, az adatfeldolgozó és a további adatfeldolgozó a Bizottság által az (EU) 2016/679 rendelet 46. cikkének (2) bekezdésével összhangban elfogadott általános szerződési feltételek alkalmazásával biztosíthatja az (EU) 2016/679 rendelet V. fejezetének való megfelelést, feltéve, hogy teljesülnek az említett általános szerződési feltételek alkalmazásának feltételei. |
8. feltétel
Segítségnyújtás az adatkezelőnek
(a) |
Az adatfeldolgozó haladéktalanul értesíti az adatkezelőt az érintettől kapott valamennyi kérelemről. A kérelemre ő maga nem válaszolhat, hacsak erre az adatkezelő fel nem hatalmazza. |
(b) |
Az adatfeldolgozó segíti az adatkezelőt azon kötelezettségei teljesítésében, hogy válaszoljon az érintetteknek a jogaik gyakorlásával kapcsolatos kérelmeire, figyelembe véve az adatkezelés jellegét. Az adatfeldolgozó az a) és b) pont szerinti kötelezettségei teljesítése során köteles betartani az adatkezelő utasításait. |
(c) |
Az adatfeldolgozó azon kötelezettségén túl, hogy segítséget nyújt az adatkezelőnek a 8. feltétel b) pontja értelmében, az adatfeldolgozónak segítenie kell az adatkezelőt a következő kötelezettségek teljesítésében is, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat:
|
(d) |
A Felek a III. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, amelyek alapján az adatfeldolgozó köteles segítséget nyújtani az adatkezelőnek a jelen feltétel alkalmazásában, valamint a szükséges segítségnyújtás hatókörét és mértékét. |
9. feltétel
Adatvédelmi incidensről szóló értesítés
Adatvédelmi incidens esetén az adatfeldolgozónak együtt kell működnie az adatkezelővel és segítenie kell az adatkezelőt az (EU) 2016/679 rendelet 33. és 34. cikke vagy adott esetben az (EU) 2018/1725 rendelet 34. és 35. cikke szerinti kötelezettségei teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat.
9.1. Az adatkezelő által kezelt adatokkal kapcsolatos adatvédelmi incidens
Az adatkezelő által kezelt személyes adatokkal kapcsolatos adatvédelmi incidens esetén az adatfeldolgozó segíti az adatkezelőt a következőkben:
(a) |
adott esetben az adatkezelő tudomására jutását követően indokolatlan késedelem nélkül értesíti az illetékes felügyeleti hatóságo(ka)t az adatvédelmi incidensről (kivéve, ha az adatvédelmi incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve); |
(b) |
megszerzi a következő információkat, amelyeket [1. LEHETŐSÉG] az (EU) 2016/679 rendelet 33. cikkének (3) bekezdése/[2. LEHETŐSÉG] az (EU) 2018/1725 rendelet 34. cikkének (3) bekezdése értelmében az adatkezelő értesítésében fel kell tüntetni, és amelyeknek legalább a következőket kell tartalmazniuk:
|
Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.
(c) |
az [1. LEHETŐSÉG] (EU) 2016/679 rendelet 34. cikke/[2. LEHETŐSÉG] az (EU) 2018/1725 rendelet 35. cikke értelmében azon kötelezettség teljesítése, hogy indokolatlan késedelem nélkül tájékoztassa az érintettet a személyes adatok megsértéséről, amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. |
9.2. Az adatfeldolgozó által kezelt adatokkal kapcsolatos adatvédelmi incidens
Az adatfeldolgozó által kezelt személyes adatokkal kapcsolatos adatvédelmi incidens esetén az adatfeldolgozó indokolatlan késedelem nélkül értesíti az adatkezelőt azt követően, hogy az adatfeldolgozó tudomást szerzett az adatvédelmi incidensről. Az ilyen értesítés magában foglalja legalább a következőket:
(a) |
az adatvédelmi incidens jellegének leírása (beleértve lehetőség szerint az érintettek és az érintett adatok kategóriáit és hozzávetőleges számát); |
(b) |
egy olyan kapcsolattartó pont adatai, ahol az adatvédelmi incidenssel kapcsolatban további információk szerezhetők be; |
(c) |
az adatkezelő által az incidens orvoslására tett vagy tervezett intézkedések ismertetése, beleértve adott esetben az incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket is. |
Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni.
A Felek a III. mellékletben meghatározzák azt az összes egyéb elemet, amelyet az adatfeldolgozónak meg kell adnia, amikor segítséget nyújt az adatkezelőnek [1. LEHETŐSÉG] az (EU) 2016/679 rendelet 33. és 34. cikke/[2. LEHETŐSÉG] az (EU) 2018/1725 rendelet 34. és 35. cikke szerinti kötelezettségek teljesítésében.
III. SZAKASZ
ZÁRÓ RENDELKEZÉSEK
10. feltétel
A feltételeknek való meg nem felelés és a szerződés felmondása
(a) |
Az (EU) 2016/679 rendelet és/vagy az (EU) 2018/1725 rendelet bármely rendelkezésének sérelme nélkül, abban az esetben, ha az adatfeldolgozó megszegi az e szerződési feltételek szerinti kötelezettségeit, az adatkezelő utasíthatja az adatfeldolgozót, hogy függessze fel a személyes adatok kezelését mindaddig, amíg az adatfeldolgozó eleget nem tesz e feltételeknek, vagy a szerződés meg nem szűnik. Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha bármilyen okból nem tud megfelelni ezeknek a feltételeknek. |
(b) |
Az adatkezelő jogosult a szerződés felmondására, amennyiben az személyes adatok e feltételek szerinti kezelésére vonatkozik, ha:
|
(c) |
Az adatfeldolgozó jogosult felmondani a szerződést, amennyiben az a személyes adatok e feltételek szerinti kezelésére vonatkozik, ha az adatkezelő – miután az adatfeldolgozó tájékoztatta az adatkezelőt arról, hogy utasításai sértik a 7.1. feltétel b) pontja szerinti, alkalmazandó jogi követelményeket – ragaszkodik az utasítások teljesítéséhez. |
(d) |
A szerződés megszűnését követően az adatfeldolgozó az adatkezelő választása szerint törli az adatkezelő nevében kezelt valamennyi személyes adatot, és igazolja az adatkezelő felé, hogy ezt megtette, vagy az összes személyes adatot visszaküldi az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog előírja a személyes adatok tárolását. Az adatok törléséig vagy visszaküldéséig az adatfeldolgozó továbbra is biztosítja az e feltételeknek való megfelelést. |
I. MELLÉKLET
A felek jegyzéke
Adatkezelő(k): [Az adatkezelő(k) személyazonossága és elérhetősége, valamint – ha van ilyen – az adatkezelő adatvédelmi tisztviselőjének személyazonossága és elérhetősége]
1. |
Név: … |
|
Cím: … |
|
A kapcsolattartó személy neve, beosztása és elérhetősége: … |
|
Aláírás és csatlakozási dátum: … |
2. |
|
…
Adatfeldolgozó(k): [Az adatfeldolgozó(k) személyazonossága és elérhetősége, valamint – ha van ilyen – az adatfeldolgozó adatvédelmi tisztviselőjének neve és elérhetősége]
1. |
Név: … |
|
Cím: … |
|
A kapcsolattartó személy neve, beosztása és elérhetősége: … |
|
Aláírás és csatlakozási dátum: … |
2. |
|
…
II. MELLÉKLET
Az adatkezelés leírása
Az érintettek azon kategóriái, akiknek a személyes adatait kezelik
…
A kezelt személyes adatok kategóriái
…
A kezelt érzékeny adatok (adott esetben) és azon korlátozások vagy garanciák alkalmazása, amelyek teljes mértékben figyelembe veszik az adatok jellegét és a kapcsolódó kockázatokat, például szigorú célhoz kötöttség, hozzáférési korlátozások (ideértve a kizárólag a speciális képzésben részt vevő személyzet hozzáférését), az adatokhoz való hozzáférés nyilvántartása, az adattovábbításra vonatkozó korlátozások vagy további biztonsági intézkedések.
…
Az adatkezelés jellege
…
A személyes adatok adatkezelő nevében történő kezelésének célja(i)
…
Az adatkezelés időtartama
…
…
A (további) feldolgozóknak történő adatkezelések esetében meg kell adni az adatkezelés tárgyát, jellegét és időtartamát is
III. MELLÉKLET
Technikai és szervezési intézkedések, beleértve az adatok biztonságát biztosító technikai és szervezési intézkedéseket
MAGYARÁZÓ FELJEGYZÉS:
A technikai és szervezési intézkedéseket konkrétan, nem pedig általános jelleggel kell ismertetni.
Az adatfeldolgozó(k) által a biztonság megfelelő szintjének biztosítása érdekében végrehajtott technikai és szervezési biztonsági intézkedések leírása (beleértve a vonatkozó tanúsítványokat), figyelembe véve az adatkezelés jellegét, hatókörét, kontextusát és célját, valamint a természetes személyek jogait és szabadságait érintő kockázatokat. Példák a lehetséges intézkedésekre:
|
A személyes adatok álnevesítésére és titkosítására irányuló intézkedések |
|
A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítására, integritására, rendelkezésre állására és ellenálló képességére irányuló intézkedések |
|
Fizikai vagy technikai incidens esetén a személyes adatok időben történő rendelkezésre állásának és az azokhoz való hozzáférés helyreállításának képességét biztosító intézkedések |
|
Az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások |
|
A felhasználók azonosítására és hitelesítésére vonatkozó intézkedések |
|
Az átvitel során az adatok védelmét szolgáló intézkedések |
|
A tárolás során az adatok védelmét szolgáló intézkedések |
|
A személyes adatok kezelése helyszíneinek fizikai biztonságát biztosító intézkedések |
|
Az események naplózásának biztosítására irányuló intézkedések |
|
A rendszer konfigurációjának biztosítására irányuló intézkedések, beleértve az alapértelmezett konfigurációt is |
|
A belső informatikai és informatikai biztonsági irányításra és kezelésre vonatkozó intézkedések |
|
Az eljárások és termékek tanúsítására/biztosítására vonatkozó intézkedések |
|
Az adattakarékosságot biztosító intézkedések |
|
Az adatminőséget biztosító intézkedések |
|
A korlátozott adatmegőrzést biztosító intézkedések |
|
Az elszámoltathatóság biztosítására irányuló intézkedések |
|
Az adathordozhatóságot lehetővé tevő és a törlést biztosító intézkedések] |
A (további) adatfeldolgozók részére történő adattovábbítás esetében ismertesse azokat a konkrét technikai és szervezési intézkedéseket is, amelyeket a (további) adatfeldolgozónak be kell vezetnie annak érdekében, hogy segítséget tudjon nyújtani az adatkezelőnek
Azon konkrét technikai és szervezési intézkedések leírása, amelyeket az adatfeldolgozónak végre kell hajtania annak érdekében, hogy segítséget tudjon nyújtani az adatkezelőnek.
IV. MELLÉKLET
További adatfeldolgozók jegyzéke
MAGYARÁZÓ FELJEGYZÉS:
Ezt a mellékletet kell kitölteni a további adatfeldolgozók egyedi engedélyezése esetén (7.7. feltétel a) bekezdés, 1. lehetőség).
Az adatkezelő a következő további adatfeldolgozók alkalmazását engedélyezte:
1. |
Név: … |
|
Cím: … |
|
A kapcsolattartó személy neve, beosztása és elérhetősége: … |
|
Az adatkezelés leírása (ideértve a felelősségi körök egyértelmű elhatárolását több további adatfeldolgozó engedélyezése esetén): … |
2. |
… |
2021.6.7. |
HU |
Az Európai Unió Hivatalos Lapja |
L 199/31 |
A BIZOTTSÁG (EU) 2021/914 VÉGREHAJTÁSI HATÁROZATA
(2021. június 4.)
az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (1) és különösen annak 28. cikke (7) bekezdésére és 46. cikke (2) bekezdésének c) pontjára,
mivel:
(1) |
A technológiai fejlődés megkönnyíti az adatok nemzetközi áramlását, amely a nemzetközi együttműködés és a nemzetközi kereskedelem bővítéséhez szükséges. Ugyanakkor biztosítani kell, hogy a személyes adatok harmadik országokba történő továbbításakor – a további adattovábbítás eseteit is beleértve – ne sérüljön a természetes személyeknek az (EU) 2016/679 rendelet által garantált védelmi szintje (2). Az (EU) 2016/679 rendelet V. fejezetében foglalt adattovábbítási rendelkezések célja e magas szintű védelem folytonosságának biztosítása a személyes adatok harmadik országba történő továbbítása esetén (3). |
(2) |
Az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében a 45. cikk (3) bekezdése szerinti bizottsági megfelelőségi határozat hiányában az adatkezelő vagy adatfeldolgozó csak akkor továbbíthat személyes adatokat harmadik országba, ha megfelelő garanciákat nyújtott be, és feltéve, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre. Ilyen garanciákat a Bizottság által a 46. cikk (2) bekezdésének c) pontja alapján elfogadott általános adatvédelmi kikötések írhatnak elő. |
(3) |
Az általános szerződési feltételek szerepe a nemzetközi adattovábbításra vonatkozó megfelelő adatvédelmi garanciák biztosítására korlátozódik. Ezért a személyes adatokat harmadik országba továbbító adatkezelő vagy adatfeldolgozó (a továbbiakban: adatátadó) és a személyes adatokat átvevő adatkezelő vagy adatfeldolgozó (a továbbiakban: adatátvevő) szabadon belefoglalhatja ezeket az általános szerződési feltételeket egy szélesebb körű szerződésbe, és egyéb feltételekkel vagy további garanciákkal is kiegészítheti, feltéve, hogy azok sem közvetlenül, sem közvetve nem ellentétesek az általános szerződési feltételekkel, és nem sértik az érintettek alapvető jogait vagy szabadságait. Az adatkezelőket és az adatfeldolgozókat arra kell ösztönözni, hogy az általános szerződési feltételeket kiegészítő szerződéses kötelezettségvállalások útján további garanciákat nyújtsanak (4). Az általános szerződési feltételek alkalmazása nem érinti az adatátadónak és/vagy az adatátvevőnek az alkalmazandó kiváltságok és mentességek tiszteletben tartásának biztosítására vonatkozó szerződéses kötelezettségeit. |
(4) |
Az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése szerinti adattovábbításra vonatkozó megfelelő garanciák biztosítása érdekében az általános szerződési feltételek alkalmazásán túl az adatátadónak teljesítenie kell az (EU) 2016/679 rendelet szerinti, adatkezelői vagy adatfeldolgozói általános feladatait. E feladatok közé tartozik az adatkezelő azon kötelezettsége, hogy tájékoztassa az érintetteket arról, hogy személyes adataikat az (EU) 2016/679 rendelet 13. cikke (1) bekezdésének e) pontja és 14. cikke (1) bekezdésének f) pontja alapján harmadik országba szándékozik továbbítani. Az (EU) 2016/679 rendelet 46. cikke szerinti adattovábbítás esetében, e tájékoztatásnak tartalmaznia kell a megfelelő garanciákra és azon módokra való hivatkozást, ahogy meg lehet szerezni azok másolatát vagy rendelkezésre bocsátásuk esetén az információkat. |
(5) |
A 2001/497/EK (5) és a 2010/87/EU bizottsági határozat (6) általános szerződési feltételeket tartalmaz, amelyek megkönnyítik a személyes adatoknak az Unióban székhellyel rendelkező adatkezelőtől egy olyan, harmadik országban székhellyel rendelkező adatkezelőhöz vagy adatfeldolgozóhoz történő továbbítását, amely nem nyújt megfelelő szintű védelmet. Ezek a határozatok a 95/46/EK európai parlamenti és tanácsi irányelven (7) alapultak. |
(6) |
Az (EU) 2016/679 rendelet 46. cikkének (5) bekezdése értelmében a 2001/497/EK határozat és a 2010/87/EU határozat mindaddig hatályban marad, amíg azokat szükség esetén az említett rendelet 46. cikkének (2) bekezdése alapján elfogadott bizottsági határozat nem módosítja, fel nem váltja vagy hatályon kívül nem helyezi. A határozatokban szereplő általános szerződési feltételek az (EU) 2016/679 rendelet új követelményeinek fényében frissítésre szorultak. Ezenkívül a határozatok elfogadása óta a digitális gazdaság jelentős fejlődésen ment keresztül: az új és összetettebb adatkezelési műveletek széles körben elterjedtek, gyakran több adatátvevőt és adatátadót, hosszú és összetett adatkezelési láncot, valamint folyamatosan fejlődő üzleti kapcsolatokat foglalnak magukban. Ez szükségessé teszi az általános szerződési feltételek korszerűsítését annak érdekében, hogy azok jobban tükrözzék ezeket a realitásokat, lefedve a további adatkezelési és -továbbítási helyzeteket, és hogy rugalmasabb megközelítést tegyenek lehetővé, például a szerződéshez csatlakozni képes felek számát illetően. |
(7) |
Az adatkezelő vagy adatfeldolgozó felhasználhatja az e határozat mellékletében meghatározott általános szerződési feltételeket annak érdekében, hogy az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében megfelelő garanciákat nyújtson a személyes adatoknak a harmadik országban székhellyel rendelkező adatfeldolgozó vagy adatkezelő részére történő továbbítására vonatkozóan, a nemzetközi adattovábbításnak az (EU) 2016/679 rendeletben szereplő fogalma értelmezésének sérelme nélkül. Az általános szerződési feltételek csak abban az esetben alkalmazhatók ilyen adattovábbításra, ha az adatátvevő általi adatkezelés nem tartozik az (EU) 2016/679 rendelet hatálya alá. Ez magában foglalja a személyes adatoknak az Unióban székhellyel nem rendelkező adatkezelő vagy adatfeldolgozó általi továbbítását is, amennyiben az adatkezelés az (EU) 2016/679 rendelet hatálya alá tartozik (az említett rendelet 3. cikkének (2) bekezdése alapján), mivel az kiterjed az áruk vagy szolgáltatások EU-n belüli, érintettek részére történő nyújtására vagy az érintettek viselkedésének nyomon követésére, amennyiben az adatkezelésre az EU-n belül kerül sor. |
(8) |
Az (EU) 2016/679 rendelet és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (8) általános összehangolására tekintettel lehetővé kell tenni, hogy az általános szerződési feltételek az (EU) 2018/1725 rendelet 29. cikkének (4) bekezdésében hivatkozottak szerint alkalmazhatók legyenek olyan személyesadat-továbbításokra is, amelyeket nem uniós intézményként vagy szervként eljáró, azonban az (EU) 2016/679 rendelet hatálya alá tartozó és a személyes adatokat az (EU) 2018/1725 rendelet 29. cikkével összhangban uniós intézmény vagy szerv nevében kezelő adatfeldolgozó végez harmadik országban található további adatfeldolgozó számára. Feltéve, hogy a szerződés az adatkezelő és az adatfeldolgozó közötti, az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdése szerinti szerződésben vagy egyéb jogi aktusban meghatározott adatvédelmi kötelezettségeket tükrözi, különösen azáltal, hogy megfelelő garanciákat nyújt a technikai és szervezési intézkedésekre vonatkozóan annak biztosítása érdekében, hogy az adatkezelés megfeleljen az említett rendelet követelményeinek, ez biztosítja az (EU) 2018/1725 rendelet 29. cikke (4) bekezdésének való megfelelést. Ez különösen abban az esetben áll fenn, ha az adatkezelő és az adatfeldolgozó az (EU) 2016/679 európai parlamenti és tanácsi rendelet 28. cikkének (7) bekezdése és az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (9) 29. cikkének (7) bekezdése alapján elfogadott, az adatkezelők és az adatfeldolgozók közötti általános szerződési feltételekről szóló bizottsági végrehajtási határozatban foglalt általános szerződési feltételeket alkalmazza. |
(9) |
Amennyiben az adatkezelés az (EU) 2016/679 rendelet hatálya alá tartozó adatkezelőktől a területi hatályán kívül eső adatfeldolgozók részére vagy az (EU) 2016/679 rendelet hatálya alá tartozó adatfeldolgozóktól a területi hatályán kívül eső további adatfeldolgozók részére történő adattovábbítással jár, az e határozat mellékletében meghatározott általános szerződési feltételeknek lehetővé kell tenniük az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében foglalt követelmények teljesítését is. |
(10) |
Az e határozat mellékletében meghatározott általános szerződési feltételek az általános szerződési feltételeket moduláris megközelítéssel ötvözik a különböző adattovábbítási forgatókönyvek és a modern adatkezelési láncok összetettségének figyelembevétele érdekében. Az általános feltételek mellett az adatkezelőknek és adatfeldolgozóknak ki kell választaniuk a helyzetükre alkalmazandó modult annak érdekében, hogy az általános szerződési feltételek szerinti kötelezettségeiket a szóban forgó adatkezeléssel kapcsolatos szerepükhöz és feladataikhoz igazítsák. Lehetővé kell tenni, hogy kettőnél több fél csatlakozhasson az általános szerződési feltételekhez. Ezen túlmenően a további adatkezelők és adatfeldolgozók számára lehetővé kell tenni, hogy adatátadóként vagy adatátvevőként csatlakozzanak az általános szerződési feltételekhez azon szerződés teljes életciklusa alatt, amelynek részét képezik. |
(11) |
A megfelelő garanciák biztosítása érdekében az általános szerződési feltételeknek biztosítaniuk kell, hogy az ezen az alapon továbbított személyes adatok az Unióban garantálttal lényegében egyenértékű védelmi szintet élvezzenek (10). Az adatkezelés átláthatóságának biztosítása érdekében az érintettek rendelkezésére kell bocsátani az általános szerződési feltételek egy példányát, és tájékoztatni kell őket különösen a kezelt személyes adatok kategóriáiról, az általános szerződési feltételek másolatának beszerzéséhez való jogról és minden további továbbításról. Az adatátvevő által egy másik harmadik országban lévő harmadik fél részére történő adattovábbítás csak akkor engedélyezhető, ha a harmadik fél csatlakozik az általános szerződési feltételekhez, ha a védelem folyamatossága más módon biztosított, vagy különleges helyzetekben, például az érintett kifejezett, tájékoztatáson alapuló hozzájárulása alapján. |
(12) |
Néhány kivételtől eltekintve, különösen bizonyos kötelezettségek tekintetében, amelyek kizárólag az adatátadó és az adatátvevő közötti kapcsolatot érintik, az érintettek számára lehetővé kell tenni, hogy harmadik fél kedvezményezettként hivatkozhassanak az általános szerződési feltételekre, és adott esetben érvényesíthessék azokat. Ezért, bár a felek számára lehetővé kell tenni, hogy az általános szerződési feltételeket szabályozó valamely tagállam jogát válasszák, e jognak biztosítania kell a harmadik fél kedvezményezettek jogait. Az egyéni jogorvoslat megkönnyítése érdekében az általános szerződési feltételeknek elő kell írniuk az adatátvevő számára, hogy tájékoztassa az érintetteket a kapcsolattartó pontról, és haladéktalanul foglalkozzon a panaszokkal vagy kérelmekkel. Az adatátvevő és a harmadik félként őt megillető jogokra hivatkozó érintett közötti vita esetén lehetővé kell tenni, hogy az érintett panaszt nyújtson be az illetékes felügyeleti hatósághoz, vagy a jogvitát az illetékes uniós bíróságok elé utalja. |
(13) |
A hatékony végrehajtás biztosítása érdekében az adatátvevőt kötelezni kell arra, hogy elfogadja az említett hatóság és bíróságok illetékességét, és kötelezettséget vállaljon arra, hogy az alkalmazandó tagállami jog értelmében betartja a kötelező erejű határozatokat. Az adatátvevőnek vállalnia kell, hogy válaszol a megkeresésekre, aláveti magát az ellenőrzéseknek, és betartja a felügyeleti hatóság által elfogadott intézkedéseket, beleértve a korrekciós és kompenzációs intézkedéseket is. Ezen túlmenően az adatátvevő számára lehetőséget kell biztosítani arra, hogy költségmentesen lehetőséget biztosítson az érintettek számára arra, hogy független vitarendezési testület előtt jogorvoslatért folyamodjanak. Az (EU) 2016/679 rendelet 80. cikkének (1) bekezdésével összhangban lehetővé kell tenni, hogy az érintetteket egyesületek vagy más szervek képviseljék az adatátvevővel szembeni jogvitákban, amennyiben úgy kívánják. |
(14) |
Az általános szerződési feltételeknek szabályokat kell tartalmazniuk a felek közötti és az érintettekkel kapcsolatos felelősségre, valamint a felek közötti kártalanításra vonatkozóan. Amennyiben az érintett anyagi vagy nem vagyoni kárt szenved a kedvezményezett harmadik személy általános szerződési feltételek szerinti jogainak megsértése következtében, kártérítésre jogosultnak kell lennie. Ez nem sértheti az (EU) 2016/679 rendelet szerinti felelősséget. |
(15) |
Az adatfeldolgozóként vagy további adatfeldolgozóként eljáró adatátvevő részére történő adattovábbítás esetében az (EU) 2016/679 rendelet 28. cikkének (3) bekezdésével összhangban egyedi követelményeket kell alkalmazni. Az általános szerződési feltételeknek elő kell írniuk az adatátvevő számára, hogy bocsásson rendelkezésre minden olyan információt, amely a feltételekben meghatározott kötelezettségeknek való megfelelés igazolásához, valamint az adatátadó adatkezelési tevékenységeinek ellenőrzéséhez szükséges. Az (EU) 2016/679 rendelet 28. cikkének (2) és (4) bekezdésével összhangban bármely további feldolgozónak az adatátvevő általi bevonása tekintetében az általános szerződési feltételeknek meg kell határozniuk különösen az adatátadó általános vagy egyedi felhatalmazására vonatkozó eljárást, valamint a további adatfeldolgozóval kötött írásbeli szerződésre vonatkozó követelményt, amely ugyanolyan szintű védelmet biztosít, mint a feltételek. |
(16) |
Helyénvaló az általános szerződési feltételekben olyan különböző garanciákat nyújtani, amelyek lefedik a személyes adatoknak az Unión belüli adatfeldolgozó által harmadik országbeli adatkezelő részére történő továbbításának konkrét helyzetét, és tükrözik az adatfeldolgozóknak az (EU) 2016/679 rendelet szerinti korlátozott önálló kötelezettségeit. Az általános szerződési feltételeknek különösen elő kell írniuk az adatfeldolgozó számára, hogy tájékoztassa az adatkezelőt, ha nem tudja követni az utasításait, ideértve azt is, ha az ilyen utasítások sértik az uniós adatvédelmi jogot, és elő kell írnia az adatkezelő számára, hogy tartózkodjon minden olyan intézkedéstől, amely megakadályozná az adatfeldolgozót az (EU) 2016/679 rendelet szerinti kötelezettségei teljesítésében. Ezenkívül elő kell írniuk azt is, hogy a felek segítséget nyújtsanak egymásnak az adatátvevőre alkalmazandó helyi jog vagy – az Unión belüli adatkezelés esetén – az (EU) 2016/679 rendelet alapján az érintettek által benyújtott megkeresések és kérelmek megválaszolásában. Abban az esetben, ha az uniós adatfeldolgozó a harmadik országbeli adatkezelőtől kapott személyes adatokat az Unióban gyűjtött személyes adatokkal kombinálja, további követelményeknek kell vonatkozniuk annak kezelésére, hogy a rendeltetési hely szerinti harmadik ország jogszabályai milyen hatást gyakorolnak az adatkezelőnek a rendelkezéseknek való megfelelésére, különös tekintettel arra, hogy miként kell kezelni a harmadik ország hatóságainak a továbbított személyes adatok közlésére irányuló kötelező érvényű megkereséseit. Ezzel szemben az ilyen követelmények nem indokoltak, ha a kiszervezés csupán az adatkezelőtől kapott személyes adatok kezelését és visszaküldését foglalja magában, és minden esetben a szóban forgó harmadik ország joghatósága alá tartozott és tartozik. |
(17) |
A feleknek képesnek kell lenniük annak igazolására, hogy eleget tesznek az általános szerződési feltételek szerinti kötelezettségeiknek. Az adatátvevő számára elő kell írni különösen, hogy őrizze meg a felelősségi körébe tartozó adatkezelési tevékenységekhez szükséges megfelelő dokumentációt, és haladéktalanul tájékoztassa az adatátadót, ha bármilyen okból nem képes megfelelni a feltételeknek. Az adatátadónak pedig fel kell függesztenie az adattovábbítást és különösen súlyos esetekben jogában áll felmondani a szerződést, amennyiben az az általános szerződési feltételek szerinti személyesadat-kezelésre vonatkozik, ha az adatátvevő megsérti a feltételeket vagy nem tudja betartani azokat. Különleges szabályokat kell alkalmazni abban az esetben, ha a helyi jogszabályok hatással vannak a feltételeknek való megfelelésre. Azokat a személyes adatokat, amelyeket a szerződés megszűnése előtt továbbítottak, vagy azok másolatait az adatátadó választása szerint haladéktalanul vissza kell juttatni az adatátadónak, vagy teljes egészében meg kell semmisíteni. |
(18) |
Az általános szerződési feltételeknek – különösen a Bíróság ítélkezési gyakorlatának fényében (11) – konkrét biztosítékokat kell nyújtaniuk annak érdekében, hogy kezelni lehessen a rendeltetési hely szerinti harmadik ország jogszabályainak a hatásait az adatátvevő feltételeknek való megfelelésére, különös tekintettel arra, hogy miként kell kezelni az adott ország hatóságaitól érkező, a továbbított személyes adatok közlésére irányuló kötelező érvényű kérelmeket. |
(19) |
A személyes adatok általános szerződési feltételek alapján történő továbbítására és kezelésére nem kerülhet sor, ha a rendeltetési hely szerinti harmadik ország jogszabályai és gyakorlata megakadályozzák, hogy az adatátvevő megfeleljen a feltételeknek. E tekintetben azok a törvények és gyakorlatok, amelyek tiszteletben tartják az alapvető jogok és szabadságok lényegét, és nem haladják meg azt a mértéket, amely egy demokratikus társadalomban az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célkitűzések egyikének biztosításához szükséges és arányos, nem tekinthetők az általános szerződési feltételekkel ellentétesnek. A feleknek garantálniuk kell, hogy az általános szerződési feltételek elfogadásakor nincs okuk azt feltételezni, hogy az adatátvevőre alkalmazandó jogszabályok és gyakorlatok nem felelnek meg ezeknek a követelményeknek. |
(20) |
A feleknek figyelembe kell venniük különösen a továbbítás sajátos körülményeit (mint például a szerződés tartalma és időtartama, a továbbítandó adatok jellege, a címzett típusa, az adatkezelés célja), a rendeltetési hely szerinti harmadik országnak az adattovábbítás körülményeire tekintettel releváns jogszabályait és gyakorlatait, valamint az általános szerződési feltételekben foglaltak kiegészítésére bevezetett garanciákat (ideértve a személyes adatok továbbítására és a rendeltetési országban történő kezelésére vonatkozó szerződéses, technikai és szervezési intézkedéseket). Ami az ilyen törvényeknek és gyakorlatoknak az általános szerződési feltételeknek való megfelelésre gyakorolt hatását illeti, az átfogó értékelés részeként különböző elemeket lehet figyelembe venni, ideértve a jog gyakorlati alkalmazására vonatkozó megbízható információkat (például az ítélkezési gyakorlatot és a független felügyeleti szervek jelentéseit), a kérelmek meglétét vagy hiányát ugyanabban az ágazatban, valamint szigorú feltételek mellett az adatátadó és/vagy adatátvevő dokumentált gyakorlati tapasztalatát. |
(21) |
Az adatátvevőnek értesítenie kell az adatátadót, ha az általános szerződési feltételek elfogadását követően okkal feltételezi, hogy nem képes megfelelni az általános szerződési feltételeknek. Ha az adatátadó ilyen értesítést kap, vagy más módon tudomást szerez arról, hogy az adatátvevő már nem képes megfelelni az általános szerződési feltételeknek, meg kell határoznia a helyzet kezeléséhez szükséges megfelelő intézkedéseket, szükség esetén az illetékes felügyeleti hatósággal konzultálva. Az ilyen intézkedések közé tartozhatnak az adatátadó és/vagy az adatátvevő által elfogadott kiegészítő intézkedések, például a biztonság és a titoktartás biztosítása érdekében hozott technikai vagy szervezési intézkedések. Az adatátadót kötelezni kell arra, hogy függessze fel az adattovábbítást, ha úgy ítéli meg, hogy nem biztosíthatók a megfelelő garanciák, vagy ha az illetékes felügyeleti hatóság erre utasítást ad. |
(22) |
Amennyiben lehetséges, az adatátvevőnek értesítenie kell az adatátadót és az érintettet, ha a rendeltetési ország joga szerinti nemzeti hatóságtól (ideértve az igazságügyi hatóságokat) jogilag kötelező érvényű kérelmet kap az általános szerződési feltételek alapján továbbított személyes adatok közlésére. Hasonlóképpen értesítenie kell őket, ha tudomást szerez arról, hogy a hatóságok a rendeltetési hely szerinti harmadik ország jogával összhangban közvetlenül hozzáférnek az ilyen személyes adatokhoz. Amennyiben az adatátvevő – minden erőfeszítése ellenére – nincs abban a helyzetben, hogy értesítse az adatátadót és/vagy az érintettet a konkrét nyilvánosságra hozatali kérelmekről, a lehető legtöbb lényeges információt meg kell adnia az adatátadónak a kérelmekről. Ezenkívül az adatátvevőnek rendszeres időközönként összesített információkat kell szolgáltatnia az adatátadó számára. Az adatátvevő számára elő kell írni továbbá, hogy dokumentálja a tájékoztatásra irányuló, beérkezett kérelmeket és a kapott válaszokat, és kérésre bocsássa az adatátadó vagy az illetékes felügyeleti hatóság vagy mindkettő rendelkezésére ezt az információt. Amennyiben az ilyen kérelem jogszerűségének a rendeltetési ország jogszabályai szerinti felülvizsgálatát követően az adatátvevő arra a következtetésre jut, hogy alapos okkal feltételezhető, hogy a kérelem a rendeltetési hely szerinti harmadik ország jogszabályai szerint jogellenes, azt meg kell támadnia, adott esetben a rendelkezésre álló jogorvoslati lehetőségek kimerítésével. Amennyiben az adatátvevő már nem tudja teljesíteni az általános szerződési feltételeket, erről tájékoztatnia kell az adatátadót, beleértve azt is, ha ez a közlésre irányuló kérelem következménye. |
(23) |
mivel az érdekelt felek igényei, a technológia és az adatkezelési műveletek változhatnak, a Bizottságnak az (EU) 2016/679 rendelet 97. cikkében említett időszakos értékelés részeként a tapasztalatok fényében értékelnie kell az általános szerződési feltételek alkalmazását. |
(24) |
A 2001/497/EK és 2010/87/EU határozatok e rendelet hatálybalépésének napját követő három hónap elteltével hatályukat vesztik. Ezen időszak alatt az adatátadók és adatátvevők az (EU) 2016)679 rendelet 46. cikke (1) bekezdésének alkalmazásában továbbra is alkalmazhatják a 2001/497/EK és a 2010/87/EU határozatban meghatározott általános szerződési feltételeket. További 15 hónapig az adatátadók és az adatátvevők számára lehetővé kell tenni, hogy az (EU) 2016/679 rendelet 46. cikke (1) bekezdésének alkalmazásában továbbra is támaszkodhassanak a 2001/497/EK és a 2010/87/EU határozatban meghatározott általános szerződési feltételekre az említett határozatok hatályon kívül helyezése előtt közöttük megkötött szerződések teljesítése tekintetében, feltéve, hogy a szerződés tárgyát képező adatkezelési műveletek változatlanok maradnak, és hogy a szerződési feltételekre való hivatkozás biztosítja, hogy a személyes adatok továbbítására az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében megfelelő garanciák vonatkozzanak. A szerződés lényeges módosítása esetén az adatátadó számára elő kell írni, hogy a szerződés szerinti adattovábbítás tekintetében új jogalapra támaszkodjon, különösen azáltal, hogy a meglévő általános szerződési feltételeket az e határozat mellékletében meghatározott általános szerződési feltételekkel váltja fel. Ugyanez vonatkozik a szerződés hatálya alá tartozó adatkezelési műveletek (további) adatfeldolgozók részére történő alvállalkozásba adására is. |
(25) |
Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, és a biztos és a testület 2021. január 14-én közös véleményt adott ki (12), amelynek figyelembevételére sor került e határozat előkészítése során. |
(26) |
Az e határozatban előírt intézkedések összhangban vannak az (EU) 2016/679 rendelet 93. cikke alapján létrehozott bizottság véleményével, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
(1) A mellékletben ismertetett általános szerződési feltételek az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése és (2) bekezdésének c) pontja értelmében megfelelő garanciákat nyújtanak a személyes adatoknak a rendelet hatálya alá tartozó adatkezelőtől vagy adatfeldolgozótól (adatátadó) a rendelet hatálya alá nem tartozó adatkezelő vagy (további) adatfeldolgozó (adatátvevő) részére történő továbbításához.
(2) Az általános szerződési feltételek meghatározzák továbbá az adatkezelők és adatfeldolgozók jogait és kötelezettségeit az (EU) 2016/679 rendelet 28. cikkének (3) és (4) bekezdésében említett kérdések tekintetében, a személyes adatoknak az adatkezelőtől az adatfeldolgozó részére vagy az adatfeldolgozótól a további adatfeldolgozó részére történő továbbításával kapcsolatban.
2. cikk
Amennyiben az illetékes tagállami hatóságok az (EU) 2016/679 rendelet 58. cikke értelmében korrekciós jogkört gyakorolnak arra válaszul, hogy az adatátvevőre olyan jogszabályok vagy gyakorlatok vonatkoznak vagy fognak vonatkozni a rendeltetési hely szerinti harmadik országban, amelyek megakadályozzák a mellékletben meghatározott általános szerződési feltételek teljesítését, és ez a harmadik országokba irányuló adattovábbítás felfüggesztését vagy megtiltását eredményezi, az érintett tagállam haladéktalanul tájékoztatja a Bizottságot, amely továbbítja az információt a többi tagállamnak.
3. cikk
A Bizottság az (EU) 2016/679 rendelet 97. cikkében előírt időszakos értékelés részeként az összes rendelkezésre álló információ alapján értékeli a mellékletben meghatározott általános szerződési feltételek gyakorlati alkalmazását.
4. cikk
(1) Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
(2) A 2001/497/EK határozat 2021. szeptember 27-én hatályát veszti.
(3) A 2010/87/EU határozat 2021. szeptember 27-én hatályát veszti.
(4) A 2001/497/EK határozat vagy a 2010/87/EU határozat alapján 2021. szeptember 27. előtt kötött szerződéseket úgy kell tekinteni, mint amelyek 2022. december 27-ig megfelelő garanciákat nyújtanak az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése értelmében, feltéve, hogy a szerződés tárgyát képező adatkezelési műveletek változatlanok maradnak, és az említett feltételekre való hivatkozás biztosítja, hogy a személyes adatok továbbítására megfelelő garanciák vonatkozzanak.
Kelt Brüsszelben, 2021. június 4-én.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
(1) HL L 119., 2016.5.4., 1. o.
(2) Az (EU) 2016/679 rendelet 44. cikke.
(3) Lásd még a Bíróság C-311/18. sz., Adatvédelmi biztos kontra Facebook Ireland Ltd és Maximillian Schrems (Schrems II) ügyben 2020. július 16-án hozott ítéletének (ECLI:EU:C:2020:559) 93. pontját.
(4) Az (EU) 2016/679 rendelet (109) preambulumbekezdése.
(5) A Bizottság 2001/497/EK határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (HL L 181., 2001.7.4., 19. o.).
(6) A Bizottság 2010/87/EU határozata (2010. február 5.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről (HL L 39., 2010.2.12., 5. o.).
(7) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).
(8) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.); lásd az (5) preambulumbekezdést.
(9) C(2021)3701.
(10) A Schrems II ügyben hozott ítélet 96. és 103. pontja. Lásd még az (EU) 2016/679 rendelet (108) és (114) preambulumbekezdését.
(11) Schrems II.
(12) Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos 2/2021. sz.közös véleménye a személyes adatoknak az (EU) 2016/679 rendelet 46. cikke (2) bekezdésének c) pontjában említett kérdések tekintetében harmadik országokba történő továbbítására vonatkozó általános szerződési feltételekről szóló európai bizottsági végrehajtási határozatról.
MELLÉKLET
ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK
I. SZAKASZ
1. feltétel
Cél és alkalmazási kör
a) |
Ezen általános szerződési feltételek célja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (1) követelményeinek való megfelelés biztosítása a személyes adatok harmadik országba történő továbbítása tekintetében. |
b) |
A Felek:
elfogadták ezeket az általános szerződési feltételeket (a továbbiakban: „feltételek”). |
c) |
E feltételek az I. melléklet B. részében meghatározott személyes adatok továbbítására vonatkoznak. |
d) |
E szerződési feltételek függeléke, amely tartalmazza az ott említett mellékleteket, e feltételek szerves részét képezi. |
2. feltétel
A feltételek hatálya és megváltoztathatatlansága
a) |
Ezek a feltételek az (EU) 2016/679 rendelet 46. cikkének (1) bekezdése és 46. cikke (2) bekezdésének c) pontja értelmében megfelelő garanciákat – többek között érvényesíthető jogokat és hatékony jogorvoslati lehetőségeket, továbbá az adatkezelők által az adatfeldolgozók részére és/vagy az adatfeldolgozók által az adatfeldolgozók részére történő adattovábbítás tekintetében az (EU) 2016/679 rendelet 28. cikkének (7) bekezdése szerinti általános szerződési feltételeket határoznak meg, feltéve, hogy azokat nem módosítják, kivéve a megfelelő modul(ok) kiválasztását, illetve a függelékben szereplő információk hozzáadását vagy naprakésszé tételét. Ez nem akadályozza meg a Feleket abban, hogy az e szerződési feltételekben meghatározott általános szerződési feltételeket egy szélesebb szerződésbe foglalják és/vagy egyéb záradékokkal vagy kiegészítő garanciákkal egészítsék ki, feltéve, hogy azok sem közvetlenül, sem közvetve nem mondanak ellent ezeknek a feltételeknek, és nem sértik az érintettek alapvető jogait vagy szabadságait. |
b) |
Ezek a feltételek nem érintik az adatátadóra az (EU) 2016/679 rendelet értelmében háruló kötelezettségeket. |
3. feltétel
Harmadik fél kedvezményezettek
a) |
Az érintettek harmadik fél kedvezményezettként hivatkozhatnak ezekre a feltételekre és érvényesíthetik azokat az adatátadóval és/vagy adatátvevővel szemben, az alábbi kivételekkel:
|
b) |
Az a) bekezdés nem érinti az érintettek (EU) 2016/679 rendelet szerinti jogait. |
4. feltétel
Értelmezés
a) |
Amennyiben ezek a feltételek az (EU) 2016/679 rendeletben meghatározott fogalmakat használják, e fogalmak jelentése megegyezik az említett rendeletben foglaltakkal. |
b) |
Ezeket a feltételeket az (EU) 2016/679 rendelet rendelkezéseinek fényében kell értelmezni. |
c) |
E feltételek nem értelmezhetők oly módon, amely ellentétes az (EU) 2016/679 rendeletben meghatározott jogokkal és kötelezettségekkel. |
5. feltétel
Hierarchia
Abban az esetben, ha ellentmondás áll fenn e feltételek és a Felek között az e feltételek elfogadásakor vagy az azt követően létrejött, kapcsolódó megállapodásokban foglalt rendelkezések között, ezek a feltételek az irányadók.
6. feltétel
Az adattovábbítás(ok) leírása
A továbbítás(ok) részleteit és különösen a továbbított személyes adatok kategóriáit és továbbításuk célját (céljait) az I. melléklet B. része határozza meg.
7. feltétel – Fakultatív
Dokkolási feltétel
a) |
Az a jogalany, amely e feltételeknek nem részes fele, a Felek beleegyezése mellett a függelék kitöltésével és az I. melléklet A. részének aláírásával bármikor csatlakozhat ezekhez a feltételekhez adatátadóként vagy adatátvevőként. |
b) |
A függelék kitöltését és az I. melléklet A. részének aláírását követően a csatlakozó jogalany e feltételek részes felévé válik, és megilletik az adatátadó vagy adatátvevő jogai és kötelezettségei az I. melléklet A. részében szereplő megnevezéssel összhangban. |
c) |
A csatlakozó jogalany nem rendelkezik a részes féllé válást megelőző időszakból az e feltételekből eredő jogokkal vagy kötelezettségekkel. |
II. SZAKASZ – A FELEK KÖTELEZETTSÉGEI
8. feltétel
Adatvédelmi garanciák
Az adatátadó garantálja, hogy észszerű erőfeszítéseket tett annak megállapítására, hogy az adatátvevő a megfelelő technikai és szervezési intézkedések végrehajtása révén teljesíteni tudja-e az e feltételek szerinti kötelezettségeit.
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
8.1. Célhoz kötöttség
Az adatátvevő a személyes adatokat kizárólag az I. melléklet B. részében meghatározott konkrét cél(ok)ból kezelheti. A személyes adatokat kizárólag akkor kezelheti más célból, ha:
i. |
megszerezte az érintett előzetes hozzájárulását; |
ii. |
az konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy |
iii. |
az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. |
8.2. Átláthatóság
a) |
Annak érdekében, hogy az érintettek hatékonyan gyakorolhassák a 10. feltétel szerinti jogaikat, az adatátvevő közvetlenül vagy az adatátadón keresztül tájékoztatja őket a következőkről:
|
b) |
Az a) bekezdés nem alkalmazandó abban az esetben, ha az érintett már rendelkezik az információval, ideértve azt az esetet is, amikor az adatátadó már rendelkezésre bocsátotta az információt, vagy az ilyen információ rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést jelentene az adatátvevő számára. Ez utóbbi esetben az adatátvevőnek a lehető legnagyobb mértékben nyilvánosan hozzáférhetővé kell tennie az információt. |
c) |
Kérésre a Felek díjmentesen az érintett rendelkezésére bocsátják e feltételek egy példányát, beleértve a függelék általuk kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a személyes adatok – védelméhez szükséges mértékben a Felek a másolati példány megosztása előtt kivonatolhatják a függelék szövegének egy részét, de érdemi összefoglalót kell készíteniük, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem lenne képes jogait gyakorolni. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat. |
d) |
Az a)–c) bekezdés nem érinti az adatátadónak az (EU) 2016/679 rendelet 13. és 14. cikke szerinti kötelezettségeit. |
8.3. Pontosság és adattakarékosság
a) |
A Felek biztosítják, hogy a személyes adatok pontosak és szükség esetén naprakészek legyenek. Az adatátvevő minden észszerű lépést megtesz annak érdekében, hogy az adatkezelés céljára (céljaira) tekintettel pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék. |
b) |
Ha valamelyik Fél tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja a másik Felet. |
c) |
Az adatátvevő biztosítja, hogy a személyes adatok megfelelőek és relevánsak legyenek, valamint az adatkezelés céljához (céljaihoz) szükséges mértékre korlátozódjanak. |
8.4. A tárolás korlátozása
Az adatátvevő a személyes adatokat legfeljebb az adatkezelés céljához (céljaihoz) szükséges ideig őrzi meg. Megfelelő technikai vagy szervezési intézkedéseket vezet be az e kötelezettségnek való megfelelés biztosítása érdekében, beleértve az adatok törlését vagy anonimizálását (2), valamint az adatok és biztonsági másolataik törlését vagy anonimizálását a tárolási időszak végén.
8.5. Az adatkezelés biztonsága
a) |
Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be a személyes adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintettet érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. |
b) |
A Felek elfogadták a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak. |
c) |
Az adatátvevő biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. |
d) |
Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve az esetleges káros hatások enyhítésére irányuló intézkedéseket is. |
e) |
Olyan adatvédelmi incidens esetén, amely valószínűleg kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, az adatátvevő indokolatlan késedelem nélkül értesíti mind az adatátadót, mind az 13. feltétel szerinti illetékes felügyeleti hatóságot. Az értesítésnek tartalmaznia kell i. az incidens jellegének leírását (lehetőség szerint beleértve az érintettek kategóriáit és hozzávetőleges számát, valamint az érintett személyes adatokat); ii. annak valószínű következményeit; iii. az incidens kezelése érdekében hozott vagy javasolt intézkedéseket; valamint iv. egy olyan kapcsolattartó pont adatait, ahonnan további információk szerezhetők be. Amennyiben az adatátvevőnek nem áll módjában egyidejűleg az összes információt megadni, ezt indokolatlan késedelem nélkül, szakaszokban is megteheti. |
f) |
Olyan adatvédelmi incidens esetén, amely valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatátvevő indokolatlan késedelem nélkül értesíti az érintetteket az adatvédelmi incidensről és jellegéről, szükség esetén az adatátadóval együttműködve, az e) bekezdés ii–iv. pontjában említett információkkal együtt, kivéve, ha az adatátvevő a természetes személyek jogait vagy szabadságait érintő kockázat jelentős csökkentésére irányuló intézkedéseket hajtott végre, vagy az értesítés aránytalan erőfeszítéssel járna. Ez utóbbi esetben az adatátvevőnek ehelyett nyilvános tájékoztatást kell kiadnia, vagy hasonló intézkedést kell hoznia, amelyben tájékoztatja a nyilvánosságot az adatvédelmi incidensről. |
g) |
Az adatátvevő dokumentálja a személyes adatok megsértésével kapcsolatos valamennyi lényeges tényt, beleértve annak hatásait és a meghozott korrekciós intézkedéseket is, és ezekről nyilvántartást vezet. |
8.6. Különleges adatok
Ha az adattovábbítás faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre vagy bűncselekményekre vonatkozó adatokat tartalmaz (a továbbiakban: különleges adatok), az adatátvevő az adatok sajátos jellegéhez és a kapcsolódó kockázatokhoz igazított egyedi korlátozásokat és/vagy további garanciákat alkalmaz. Ez magában foglalhatja a személyes adatokhoz való hozzáférésre jogosult személyzet korlátozását, további biztonsági intézkedéseket (például álnevesítést) vagy a további adatközlésre vonatkozó kiegészítő korlátozásokat.
8.7. Adattovábbítás harmadik fél részére
Az adatátvevő nem közölheti a személyes adatokat az Európai Unión kívüli harmadik féllel (3) (az adatátvevővel azonos országban vagy más harmadik országban, a továbbiakban: további adattovábbítás), kivéve, ha a harmadik félre nézve az e feltételek a megfelelő modul alapján kötelezők, vagy azokat a harmadik fél vállalja. Ellenkező esetben az adatátvevő általi további adattovábbításra csak akkor kerülhet sor, ha:
i. |
olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik; |
ii. |
a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat a szóban forgó adatkezelés tekintetében; |
iii. |
a harmadik fél kötelező erejű megállapodást köt az adatátvevővel, amely ugyanolyan szintű adatvédelmet biztosít, mint az e feltételek, és az adatátvevő e garanciák egy példányát átadja az adatátadónak; |
iv. |
az konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; |
v. |
az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; vagy |
vi. |
ha a többi feltétel egyike sem áll fenn, az adatátvevő – miután tájékoztatta az érintettet a további adattovábbítás céljáról, a címzett személyazonosságáról és a megfelelő adatvédelmi garanciák hiánya miatt az érintettet érő lehetséges kockázatokról – megszerezte az érintettnek az adott helyzetben történő további továbbításhoz való kifejezett hozzájárulását. Ebben az esetben az adatátvevő tájékoztatja az adatátadót, és utóbbi kérésére megküldi neki az érintettnek nyújtott információk másolatát. |
További adattovábbítás esetén az adatátvevő betartja az e feltételek szerinti összes többi garanciát, különösen a célhoz kötöttséget.
8.8. Az adatátvevő irányítása alatt végzett adatkezelés
Az adatátvevő biztosítja, hogy az irányítása alatt eljáró személyek – ideértve az adatfeldolgozót is – kizárólag az utasításai alapján kezelik az adatokat.
8.9. Dokumentáció és megfelelés
a) |
Mindegyik Félnek igazolnia kell, hogy eleget tesz az e feltételek szerinti kötelezettségeinek. Nevezetesen az adatátvevőnek meg kell őriznie a felelősségi körében elvégzett adatkezelési tevékenységek megfelelő dokumentációját. |
b) |
Az adatátvevő ezt a dokumentációt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja. |
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
8.1. Utasítások
a) |
Az adatátvevő a személyes adatokat csak az adatátadó dokumentált utasításai alapján kezelheti. Az adatátadó a szerződés teljes időtartama alatt adhat ilyen utasításokat. |
b) |
Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha nem tudja követni ezeket az utasításokat. |
8.2. Célhoz kötöttség
Az adatátvevő a személyes adatokat kizárólag az I. melléklet B. részében meghatározott konkrét cél(ok)ból kezelheti, amennyiben nem kap további utasításokat az adatátadótól.
8.3. Átláthatóság
Kérésre az adatátadó díjmentesen az érintett rendelkezésére bocsátja e feltételek egy példányát, beleértve a függelék Felek által kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a II. mellékletben ismertetett intézkedések és a személyes adatok – védelméhez szükséges mértékben az adatátadó a másolat megosztása előtt kivonatolhatja e feltételek függeléke szövegének egy részét, de érdemi összefoglalót kell készítenie, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem képes gyakorolni a jogait. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat. Ez a feltétel nem érinti az adatátadónak az (EU) 2016/679 rendelet 13. és 14. cikke szerinti kötelezettségeit.
8.4. Pontosság
Ha az adatátvevő tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja az adatátadót. Ebben az esetben az adatátvevő együttműködik az adatátadóval az adatok törlése vagy helyesbítése érdekében.
8.5. Az adatkezelés időtartama és az adatok törlése vagy visszaküldése
Az adatátvevő általi adatkezelésre kizárólag az I. melléklet B. részében meghatározott időtartamig kerülhet sor. Az adatkezelési szolgáltatások nyújtásának végét követően az adatátvevő az adatátadó választása szerint törli az adatátadó nevében kezelt valamennyi személyes adatot, és igazolja az adatátadó számára, hogy ezt megtette, vagy visszaküldi az adatátadónak a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli. Ez nem érinti a 14. feltételt, különösen az adatátvevőnek a 14. feltétel e) pontja szerinti azon kötelezettségét, hogy a szerződés teljes időtartama alatt értesítse az adatátadót, ha okkal feltételezi, hogy olyan jogszabályok vagy gyakorlatok hatálya alá tartozik vagy tartozott, amelyek nincsenek összhangban a 14. feltétel a) pontjában foglalt követelményekkel.
8.6. Az adatkezelés biztonsága
a) |
Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be az adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy az adatokhoz való hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során a Feleknek kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintetteket érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. Álnevesítés esetén a személyes adatoknak egy adott érintetthez való hozzárendelésére vonatkozó kiegészítő információk lehetőség szerint az adatátadó kizárólagos ellenőrzése alatt maradnak. Az e bekezdés szerinti kötelezettségének való megfelelés során az adatátvevő végrehajtja legalább a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak. |
b) |
Az adatátvevő csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára a személyes adatokhoz. Biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. |
c) |
Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve a káros hatások enyhítésére irányuló intézkedéseket is. Az adatátvevő az incidensről való tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátadót is. Az értesítésnek tartalmaznia kell egy olyan kapcsolattartó pont adatait, ahol további információ szerezhető, az incidens jellegének leírását (beleértve lehetőség szerint az érintett személyek kategóriáit és a személyes adatok hozzávetőleges számát), annak valószínű következményeit, valamint az incidens kezelésére hozott vagy javasolt intézkedéseket, beleértve adott esetben a lehetséges káros hatások enyhítésére irányuló intézkedéseket is. Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni. |
d) |
Az adatátvevőnek együtt kell működnie az adatátadóval és segítenie kell abban, hogy az adatátadó eleget tehessen az (EU) 2016/679 rendelet szerinti kötelezettségeinek, nevezetesen, hogy értesítse az illetékes felügyeleti hatóságot és az érintetteket, figyelembe véve az adatkezelés jellegét és az adatátvevő rendelkezésére álló információkat. |
8.7. Különleges adatok
Amennyiben az adattovábbítás faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó adatokat tartalmaz (a továbbiakban: különleges adatok), az I. melléklet B. részében leírt egyedi korlátozásokat és/vagy további garanciákat alkalmaz.
8.8. Adattovábbítás harmadik fél részére
Az adatátvevő a személyes adatokat csak az adatátadó dokumentált utasításai szerint teheti közzé harmadik fél számára. Ezenfelül az adatok kizárólag akkor közölhetők az Európai Unión kívüli harmadik féllel (4) (az adatátvevővel azonos országban vagy más harmadik országban, a továbbiakban: további adattovábbítás), ha a harmadik félre nézve az e feltételek a megfelelő modul alapján kötelezők, vagy azokat a harmadik fél vállalja, vagy ha:
i. |
a további adattovábbítás olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik; |
ii. |
a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat a szóban forgó adatkezelés tekintetében; |
iii. |
a további adattovábbítás konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy |
iv. |
a további adattovábbítás az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. |
További adattovábbítás esetén az adatátvevő betartja az e feltételek szerinti összes többi garanciát, különösen a célhoz kötöttséget.
8.9. Dokumentáció és megfelelés
a) |
Az adatátvevő haladéktalanul és megfelelően foglalkozik az adatátadó azon kérdéseivel, amelyek az e feltételek szerinti adatkezeléssel kapcsolatosak. |
b) |
A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. Nevezetesen az adatátvevőnek meg kell őriznie az adatátadó nevében elvégzett adatkezelési tevékenységek megfelelő dokumentációját. |
c) |
Az adatátvevő az adatátadó rendelkezésére bocsát minden olyan információt, amely az e szerződési feltételekben és az adatátadó kérésére előírt kötelezettségek teljesítésének igazolásához szükséges, lehetővé teszi az e szerződési feltételek hatálya alá tartozó adatkezelési tevékenységek észszerű időközönkénti vagy a megfelelés hiányára utaló jelek előfordulása esetén történő ellenőrzését, valamint hozzájárul ahhoz. A felülvizsgálatra vagy ellenőrzésre vonatkozó döntés meghozatalakor az adatátadó figyelembe veheti az adatátvevő birtokában lévő vonatkozó tanúsítványokat. |
d) |
Az adatátadó dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független könyvvizsgálót. Az ellenőrzések kiterjedhetnek az adatátvevő telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra, amelyeket adott esetben észszerű értesítés mellett kell elvégezni. |
e) |
A Felek kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják a b) és c) bekezdésben említett információkat, beleértve az ellenőrzések eredményeit is. |
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
8.1. Utasítások
a) |
Az adatátadó tájékoztatta az adatátvevőt arról, hogy adatkezelője (adatkezelői) utasításai szerint adatfeldolgozóként jár el, amelyeket az adatátadó a kezelést megelőzően az adatátvevő rendelkezésére bocsát. |
b) |
Az adatátvevő a személyes adatokat kizárólag az adatkezelő dokumentált utasításai alapján, az adatátadó által az adatátvevővel közölt, valamint az adatátadótól kapott további dokumentált utasítások alapján kezeli. Az ilyen kiegészítő utasítások nem lehetnek ellentétesek az adatkezelő utasításaival. Az adatkezelő vagy az adatátadó további dokumentált utasításokat adhat az adatkezelésre vonatkozóan a szerződés teljes időtartama alatt. |
c) |
Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha nem tudja követni ezeket az utasításokat. Ha az adatátvevő nem tudja követni az adatkezelő utasításait, az adatátadó haladéktalanul értesíti az adatkezelőt. |
d) |
Az adatátadó garantálja, hogy ugyanazokat az adatvédelmi kötelezettségeket írta elő az adatátvevő számára, mint amelyeket az adatkezelő és az adatátadó között létrejött, uniós vagy tagállami jog szerinti szerződés vagy más jogi aktus meghatároz (5). |
8.2. Célhoz kötöttség
Az adatátvevő a személyes adatokat kizárólag az I. melléklet B. részében meghatározott konkrét cél(ok)ból kezelheti, amennyiben nem kap további utasításokat az adatátvevő számára az adatátadó által közöltek szerint az adatkezelőtől vagy az adatátadótól.
8.3. Átláthatóság
Kérésre az adatátadó díjmentesen az érintett rendelkezésére bocsátja e feltételek egy példányát, beleértve a függelék Felek által kitöltött változatát is. Az üzleti titkok vagy más bizalmas információk – köztük a személyes adatok – védelméhez szükséges mértékben az adatátadó a másolati példány megosztása előtt kivonatolhatják a függelék szövegének egy részét, de érdemi összefoglalót kell készíteniük, ha máskülönben az érintett nem tudná megérteni annak tartalmát vagy nem lenne képes jogait gyakorolni. Kérelemre a Felek a lehető legnagyobb mértékben közlik az érintettel a kitakarások okait anélkül, hogy felfednék a kitakart információkat.
8.4. Pontosság
Ha az adatátvevő tudomására jut, hogy az általa továbbított vagy átvett személyes adatok pontatlanok vagy elavulttá váltak, erről indokolatlan késedelem nélkül tájékoztatja az adatátadót. Ebben az esetben az adatátvevő együttműködik az adatátadóval az adatok helyesbítése vagy törlése érdekében.
8.5. Az adatkezelés időtartama és az adatok törlése vagy visszaküldése
Az adatátvevő általi adatkezelésre kizárólag az I. melléklet B. részében meghatározott időtartamig kerülhet sor. Az adatkezelési szolgáltatások nyújtásának végét követően az adatátvevő az adatátadó választása szerint törli az adatkezelő nevében kezelt valamennyi személyes adatot, és igazolja az adatátadó számára, hogy ezt megtette, vagy visszaküldi az adatátadónak a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli. Ez nem érinti a 14. feltételt, különösen az adatátvevőnek a 14. feltétel e) pontja szerinti azon kötelezettségét, hogy a szerződés teljes időtartama alatt értesítse az adatátadót, ha okkal feltételezi, hogy olyan jogszabályok vagy gyakorlatok hatálya alá tartozik vagy tartozott, amelyek nincsenek összhangban a 14. feltétel a) pontjában foglalt követelményekkel.
8.6. Az adatkezelés biztonsága
a) |
Az adatátvevő és – a továbbítás során – az adatátadó megfelelő technikai és szervezési intézkedéseket vezet be az adatok biztonságának biztosítása érdekében, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy az adatokhoz való hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe kell venni a technika állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, kontextusát és célját/céljait, valamint az érintettet érintő, az adatkezeléssel járó kockázatokat. A Felek különösen mérlegelik a titkosítás vagy az álnevesítés alkalmazását, többek között a továbbítás során is, amennyiben az adatkezelés célja ily módon teljesíthető. Álnevesítés esetén a személyes adatoknak egy adott érintetthez való hozzárendelésére vonatkozó kiegészítő információk lehetőség szerint az adatátadó vagy adatkezelő kizárólagos ellenőrzése alatt maradnak. Az e bekezdés szerinti kötelezettségének való megfelelés során az adatátvevő végrehajtja legalább a II. mellékletben meghatározott technikai és szervezési intézkedéseket. Az adatátvevő rendszeres ellenőrzéseket végez annak biztosítása érdekében, hogy ezek az intézkedések továbbra is megfelelő biztonsági szintet nyújtsanak. |
b) |
Az adatátvevő csak a szerződés végrehajtásához, kezeléséhez és nyomon követéséhez feltétlenül szükséges mértékben biztosít hozzáférést a munkavállalói számára az adatokhoz. Biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. |
c) |
Az e feltételek alapján az adatátvevő által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátvevő megteszi a megfelelő intézkedéseket az adatvédelmi incidens orvoslására, beleértve a káros hatások enyhítésére irányuló intézkedéseket is. Az adatátvevő az incidensről való tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátadót és – amennyiben alkalmazandó és megvalósítható – az adatkezelőt is. Az értesítésnek tartalmaznia kell egy olyan kapcsolattartó pont adatait, ahol további információ szerezhető, az incidens jellegének leírását (beleértve lehetőség szerint az érintett személyek kategóriáit és a személyes adatok hozzávetőleges számát), annak valószínű következményeit, valamint az adatvédelmi incidens kezelésére hozott vagy javasolt intézkedéseket, beleértve adott esetben a lehetséges káros hatások enyhítésére irányuló intézkedéseket is. Ha és amennyiben nem lehetséges egyidejűleg az összes információt megadni, a kezdeti értesítésnek tartalmaznia kell az akkor rendelkezésre álló információt, és amint rendelkezésre állnak, a további információkat a későbbiekben indokolatlan késedelem nélkül meg kell adni. |
d) |
Az adatátvevőnek együtt kell működnie az adatátadóval és segítenie kell abban, hogy az adatátadó eleget tehessen az (EU) 2016/679 rendelet szerinti kötelezettségeinek, nevezetesen, hogy értesítse az adatkezelőjét, hogy az értesíteni tudja az illetékes felügyeleti hatóságot és az érintetteket, figyelembe véve az adatkezelés jellegét és az adatátvevő rendelkezésére álló információkat. |
8.7. Különleges adatok
Amennyiben az adattovábbítás faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatot, természetes személy egyedi azonosítását célzó genetikai vagy biometrikus adatokat, egészségi állapotra vagy egy személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat vagy büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó adatokat tartalmaz (a továbbiakban: különleges adatok), az I. melléklet B. részében meghatározott egyedi korlátozásokat és/vagy további garanciákat alkalmaz.
8.8. Adattovábbítás harmadik fél részére
Az adatátvevő a személyes adatokat csak az adatkezelőnek az adatátadó által az adatátvevő részére közölt, dokumentált utasításai szerint teheti közzé harmadik fél számára. Ezenfelül az adatok kizárólag akkor közölhetők az Európai Unión kívüli harmadik féllel (6) (az adatátvevővel azonos országban vagy más harmadik országban, a továbbiakban: további adattovábbítás), ha a harmadik félre nézve az e feltételek a megfelelő modul alapján kötelezők, vagy azokat a harmadik fél vállalja, vagy ha:
i. |
a további adattovábbítás olyan országba irányul, amely az (EU) 2016/679 rendelet 45. cikke szerinti, a további adattovábbításra kiterjedő megfelelőségi határozat hatálya alá tartozik; |
ii. |
a harmadik fél egyéb módon biztosítja az (EU) 2016/679 rendelet 46. vagy 47. cikke szerinti megfelelő garanciákat; |
iii. |
a további adattovábbítás konkrét közigazgatási, szabályozási vagy bírósági eljárások keretében jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges; vagy |
iv. |
a további adattovábbítás az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. |
További adattovábbítás esetén az adatátvevő betartja az e feltételek szerinti összes többi garanciát, különösen a célhoz kötöttséget.
8.9. Dokumentáció és megfelelés
a) |
Az adatátvevő haladéktalanul és megfelelően foglalkozik az adatátadó vagy adatkezelő azon kérdéseivel, amelyek az e feltételek szerinti adatkezeléssel kapcsolatosak. |
b) |
A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. Nevezetesen az adatátvevőnek meg kell őriznie az adatkezelő nevében elvégzett adatkezelési tevékenységek megfelelő dokumentációját. |
c) |
Az adatátvevő az e feltételekben meghatározott kötelezettségek teljesítésének igazolásához szükséges valamennyi információt elérhetővé teszi az adatátadó számára, aki azt az adatkezelő rendelkezésére bocsátja. |
d) |
Az adatátvevőnek lehetővé kell tennie és hozzá kell járulnia ahhoz, hogy az adatátadó észszerű időközönként vagy a megfelelés elmaradására utaló jelek esetén ellenőrizze az e feltételek hatálya alá tartozó adatkezelési tevékenységeket. Ugyanez vonatkozik arra az esetre is, ha az adatátadó az adatkezelő utasításai alapján ellenőrzést kér. Az ellenőrzésre vonatkozó döntés meghozatalakor az adatátadó figyelembe veheti az adatátvevő birtokában lévő vonatkozó tanúsítványokat. |
e) |
Amennyiben az ellenőrzést az adatkezelő utasításai alapján végzik, az adatátadó az eredményeket az adatkezelő rendelkezésére bocsátja. |
f) |
Az adatátadó dönthet úgy, hogy maga végzi el az ellenőrzést, vagy megbíz egy független könyvvizsgálót. Az ellenőrzések kiterjedhetnek az adatátvevő telephelyein vagy fizikai létesítményeiben végzett vizsgálatokra, amelyeket adott esetben észszerű értesítés mellett kell elvégezni. |
g) |
A Felek kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják a b) és c) bekezdésben említett információkat, beleértve az ellenőrzések eredményeit is. |
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
8.1. Utasítások
a) |
Az adatátadó a személyes adatokat csak az adatkezelőként eljáró adatátvevő dokumentált utasításai alapján kezelheti. |
b) |
Az adatátadó haladéktalanul tájékoztatja az adatátvevőt, ha nem tudja követni ezeket az utasításokat, beleértve azt is, ha az ilyen utasítások sértik az (EU) 2016/679 rendeletet vagy más uniós vagy tagállami adatvédelmi jogot. |
c) |
Az adatátvevő tartózkodik minden olyan intézkedéstől, amely megakadályozná az adatátadót az (EU) 2016/679 rendelet szerinti kötelezettségei teljesítésében, ideértve a további adatkezelést vagy az illetékes felügyeleti hatóságokkal való együttműködést is. |
d) |
Az adatkezelési szolgáltatások nyújtásának végét követően az adatátadó az adatátvevő választása szerint törli az adatátvevő nevében kezelt valamennyi személyes adatot, és igazolja az adatátvevő számára, hogy ezt megtette, vagy visszaküldi az adatátvevőnek a nevében kezelt valamennyi személyes adatot, és törli a meglévő másolatokat. |
8.2. Az adatkezelés biztonsága
a) |
A Felek megfelelő technikai és szervezési intézkedéseket vezetnek be az adatok biztonságának biztosítása érdekében, többek közt az adattovábbítás során, beleértve a biztonság olyan megsértése elleni védelmet, amely véletlen vagy jogellenes megsemmisítéshez, elvesztéshez, módosításhoz, jogosulatlan nyilvánosságra hozatalhoz vagy hozzáféréshez (a továbbiakban: adatvédelmi incidens) vezet. A megfelelő biztonsági szint értékelése során kellően figyelembe veszik a technika állását, a végrehajtás költségeit, a személyes adatok jellegét (7), az adatkezelés jellegét, kontextusát és célját, valamint az adatkezeléssel járó kockázatokat az érintettek számára és különösen megfontolják a titkosítást vagy az álnevesítést, többek között a továbbítás során is, amennyiben az adatkezelés célja megvalósítható ilyen módon is. |
b) |
Az adatátadó az a) bekezdésnek megfelelően segíti az adatátvevőt az adatok megfelelő biztonságának biztosításában. Az e feltételek alapján az adatátadó által kezelt személyes adatokat érintő adatvédelmi incidens esetén az adatátadó a tudomásszerzést követően indokolatlan késedelem nélkül értesíti az adatátvevőt, és segíti az adatátvevőt az incidens kezelésében. |
c) |
Az adatátadó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaljanak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt álljanak. |
8.3. Dokumentáció és megfelelés
a) |
A Feleknek igazolniuk kell, hogy eleget tesznek az e feltételek szerinti kötelezettségeiknek. |
b) |
Az adatátadó az adatátvevő rendelkezésére bocsát minden olyan információt, amely az e feltételek szerinti kötelezettségei teljesítésének igazolásához szükséges, valamint lehetővé teszi és hozzájárul az ellenőrzésekhez. |
9. feltétel
További adatfeldolgozók alkalmazása
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
a) |
1. LEHETŐSÉG: KIFEJEZETT ELŐZETES HOZZÁJÁRULÁS Az adatátvevő az adatátadó előzetes kifejezett írásbeli hozzájárulása nélkül nem adja alvállalkozásba az adatátadó nevében e feltételek alapján végzett adatkezelési tevékenységeit egy további adatfeldolgozónak. Az adatátvevő a kifejezett hozzájárulás iránti kérelmet legalább [adja meg az időtartamot] a további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatátadó dönthessen az engedélyről. Az adatátadó által jóváhagyott további adatfeldolgozók listája megtalálható a III. mellékletben. A felek a III. mellékletet rendszeresen frissítik. 2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY Az adatátvevő rendelkezik az adatátadó általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatátvevő írásban kifejezetten tájékoztatja az adatátadót az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [adja meg az időtartamot] korábban, elegendő időt biztosítva az adatátadónak arra, hogy a további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatátvevő megadja az adatátadónak azokat az információkat, amelyek szükségesek ahhoz, hogy az adatátadó a tiltakozáshoz való jogát gyakorolhassa. |
b) |
Amennyiben az adatátvevő konkrét adatkezelési tevékenységek végzése céljából további adatfeldolgozót vesz igénybe (az adatátadó nevében), ezt írásbeli szerződés útján teszi, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint amelyek e feltételek alapján az adatátvevőre nézve kötelezőek, ideértve a harmadik felek kedvezményezettjeit megillető érintetti jogokat is (8). A Felek megállapodnak abban, hogy e feltétel betartásával az adatátvevő teljesíti a 8.8. feltétel szerinti kötelezettségeit. Az adatátvevő biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatátvevőre e feltételek értelmében vonatkoznak. |
c) |
Az adatátvevő az adatátadó kérésére átadja az adatátadónak a további adatfeldolgozóra vonatkozó megállapodás másolatát, valamint annak minden későbbi módosítását. Az üzleti titkok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatátvevő a másolat megosztása előtt kivonatolhatja a megállapodás szövegét. |
d) |
Az adatátvevő továbbra is teljes mértékben felel az adatátadó felé a további adatfeldolgozónak az adatátvevővel kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatátvevő értesíti az adatátadót, ha a további adatfeldolgozó nem teljesíti a szerződésből eredő kötelezettségeit. |
e) |
Az adatátvevő megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatátadó jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatátvevő ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált. |
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
a) |
1. LEHETŐSÉG: KIFEJEZETT ELŐZETES ENGEDÉLY Az adatátvevő az adatkezelő előzetes kifejezett írásbeli engedélye nélkül nem adja alvállalkozásba az adatátadó nevében e feltételek alapján végzett adatkezelési tevékenységeit egy további adatfeldolgozónak. Az adatátvevő a kifejezett engedély iránti kérelmet legalább [adja meg az időtartamot] a további adatfeldolgozó megbízása előtt nyújtja be, az ahhoz szükséges információkkal együtt, hogy az adatkezelő dönthessen az engedélyről. Az ilyen megbízásról tájékoztatja az adatátadót. Az adatkezelő által jóváhagyott további adatfeldolgozók listája megtalálható a III. mellékletben. A felek a III. mellékletet rendszeresen frissítik. 2. LEHETŐSÉG: ÁLTALÁNOS ÍRÁSOS ENGEDÉLY Az adatátvevő rendelkezik az adatkezelő általános engedélyével ahhoz, hogy az elfogadott listáról további adatfeldolgozó(ka)t vegyen igénybe. Az adatátvevő írásban kifejezetten tájékoztatja az adatkezelőt az említett lista bármely tervezett módosításáról a további adatfeldolgozók hozzáadása vagy lecserélése révén, legalább [adja meg az időtartamot] korábban, elegendő időt biztosítva az adatkezelőnek arra, hogy a további adatfeldolgozó(k) megbízása előtt kifogást emelhessen az ilyen változtatásokkal szemben. Az adatátvevő megadja az adatkezelőnek azokat az információkat, amelyek szükségesek ahhoz, hogy az adatkezelő a tiltakozáshoz való jogát gyakorolhassa. Az adatátvevő tájékoztatja az adatátadót a további adatfeldolgozó(k) megbízásáról. |
b) |
Amennyiben az adatátvevő konkrét adatkezelési tevékenységek végzése céljából további adatfeldolgozót vesz igénybe (az adatkezelő nevében), ezt írásbeli szerződés útján teszi, amely lényegében ugyanazokat az adatvédelmi kötelezettségeket írja elő, mint amelyek e feltételek alapján az adatátvevőre nézve kötelezőek, ideértve a harmadik felek kedvezményezettjeit megillető érintetti jogokat is (9). A Felek megállapodnak abban, hogy e feltétel betartásával az adatátvevő teljesíti a 8.8. feltétel szerinti kötelezettségeit. Az adatátvevő biztosítja, hogy a további adatfeldolgozó teljesítse azokat a kötelezettségeket, amelyek az adatátvevőre e feltételek értelmében vonatkoznak. |
c) |
Az adatátvevő az adatátadó vagy adatkezelő kérésére rendelkezésre bocsátja a további adatfeldolgozóra vonatkozó megállapodás másolatát, valamint minden későbbi módosítást. Az üzleti titkok vagy más bizalmas információk, köztük a személyes adatok védelméhez szükséges mértékben az adatátvevő a másolat megosztása előtt kivonatolhatja a megállapodás szövegét. |
d) |
Az adatátvevő továbbra is teljes mértékben felel az adatátadó felé a további adatfeldolgozónak az adatátvevővel kötött szerződése szerinti kötelezettségei teljesítéséért. Az adatátvevő értesíti az adatátadót, ha a további adatfeldolgozó nem teljesíti a szerződésből eredő kötelezettségeit. |
e) |
Az adatátvevő megállapodik a további adatfeldolgozóval a kedvezményezett harmadik félről szóló záradékról, amelynek értelmében az adatátadó jogosult felmondani a további adatfeldolgozóra vonatkozó szerződést, és a további adatfeldolgozót a személyes adatok törlésére vagy visszaküldésére utasítani, ha az adatátvevő ténylegesen eltűnt, megszűnt létezni a jog szerint, vagy fizetésképtelenné vált. |
10. feltétel
Az érintettek jogai
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
a) |
Az adatátvevő – adott esetben az adatátadó segítségével – indokolatlan késedelem nélkül és legkésőbb a megkeresés vagy kérelem kézhezvételét követő egy hónapon belül foglalkozik az érintettől a személyes adatainak kezelésével és az e szerződési feltételek szerinti jogainak gyakorlásával kapcsolatban kapott megkeresésekkel és kérelmekkel (10). Az adatátvevő megteszi a megfelelő intézkedéseket annak érdekében, hogy megkönnyítse az ilyen megkereséseket, kérelmeket és az érintettek jogainak gyakorlását. Az érintettnek nyújtott tájékoztatásnak érthetőnek és könnyen hozzáférhetőnek kell lennie, és abban világos és közérthető nyelvezetet kell használni. |
b) |
Az adatátvevő az érintett kérésére különösen köteles ingyenesen biztosítani a következőket:
|
c) |
Amennyiben az adatátvevő a személyes adatokat közvetlen üzletszerzési célból kezeli, az ilyen célokból történő adatkezelést be kell szüntetni, ha az érintett tiltakozik ellene. |
d) |
Az adatátvevő nem hozhat olyan, kizárólag a továbbított személyes adatok automatizált kezelésén alapuló döntést (a továbbiakban: automatizált döntés), amely az érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, kivéve, ha ehhez az érintett kifejezett hozzájárulását adta, vagy ha erre a rendeltetési ország jogszabályai szerint engedélyt adnak, amennyiben e jogszabály megfelelő intézkedéseket állapít meg az érintett jogainak és jogos érdekeinek védelme érdekében. Ebben az esetben az adatátvevő szükség esetén az adatátadóval együttműködve:
|
e) |
Ha az érintett kérelme – különösen ismétlődő jellege miatt – túlzó, az adatátvevő, figyelemmel a kérelem teljesítésével járó adminisztratív költségekre, észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem teljesítését. |
f) |
Az adatátvevő elutasíthatja az érintett kérelmét, ha az elutasítást a rendeltetési ország jogszabályai lehetővé teszik, és az az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célok egyikének védelme érdekében szükséges és arányos egy demokratikus társadalomban. |
g) |
Ha az adatátvevő el kívánja utasítani az érintett kérelmét, tájékoztatja az érintettet az elutasítás okairól, valamint arról a lehetőségről, hogy panaszt nyújthat be az illetékes felügyeleti hatósághoz és/vagy bírósági jogorvoslatot kérhet. |
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
a) |
Az adatátvevő haladéktalanul értesíti az adatátadót az érintettől kapott bármely kérelemről. A kérelemre ő maga nem válaszolhat, hacsak erre az adatátadó fel nem hatalmazza. |
b) |
Az adatátvevő segíti az adatátadót az érintetteknek az (EU) 2016/679 rendelet szerinti jogaik gyakorlásával kapcsolatos kérelmeinek megválaszolására vonatkozó kötelezettségei teljesítésében. E tekintetben a Felek a II. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, figyelembe véve a segítségnyújtást igénylő adatkezelés jellegét, valamint a szükséges segítségnyújtás hatókörét és mértékét. |
c) |
Az a) és b) bekezdés szerinti kötelezettségeinek teljesítése során az adatátvevőnek meg kell felelnie az adatátadó utasításainak. |
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
a) |
Az adatátvevő haladéktalanul értesíti az adatátadót és adott esetben az adatkezelőt az érintettől kapott bármely kérelemről, anélkül, hogy válaszolna a kérelemre, kivéve, ha erre az adatkezelő felhatalmazta. |
b) |
Az adatátvevő adott esetben az adatátadóval együttműködésben segíti az adatkezelőt az érintetteknek az (EU) 2016/679 rendelet vagy adott esetben az (EU) 2018/1725 rendelet szerinti jogaik gyakorlásával kapcsolatos kérelmeinek megválaszolására vonatkozó kötelezettségei teljesítésében. E tekintetben a Felek a II. mellékletben meghatározzák a megfelelő technikai és szervezési intézkedéseket, figyelembe véve a segítségnyújtást igénylő adatkezelés jellegét, valamint a szükséges segítségnyújtás hatókörét és mértékét. |
c) |
Az a) és b) bekezdés szerinti kötelezettségeinek teljesítése során az adatátvevőnek meg kell felelnie az adatkezelőnek az adatátadó által közölt utasításainak. |
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
A Felek segítséget nyújtanak egymásnak az adatátvevőre alkalmazandó helyi jog vagy – az uniós adatátadó általi adatkezelés esetén – az (EU) 2016/679 rendelet alapján az érintettek által benyújtott megkeresések és kérelmek megválaszolásában.
11. feltétel
Jogorvoslat
a) |
Az adatátvevő átlátható és könnyen hozzáférhető formában, egyedi értesítés útján vagy honlapján tájékoztatja az érintetteket a panaszok kezelésére felhatalmazott kapcsolattartó pontról. Haladéktalanul kezeli az érintettől kapott panaszokat. [LEHETŐSÉG: Az adatátvevő beleegyezik abba, hogy az érintettek az érintett számára költségmentesen egy független vitarendezési testülethez (11) is benyújthatnak panaszt. Az érintetteket az a) bekezdésben meghatározott módon tájékoztatja erről a jogorvoslati mechanizmusról, és arról, hogy nem kötelesek igénybe venni azt, vagy a jogorvoslat iránti kérelem meghatározott sorrendjét követni.] |
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
b) |
Abban az esetben, ha az érintett és az egyik Fél között vita alakul ki az e feltételeknek való megfelelés tekintetében, az adott Fél mindent megtesz annak érdekében, hogy a kérdés békés úton, kellő időben rendeződjön. A Felek folyamatosan tájékoztatják egymást az ilyen vitákról, és adott esetben együttműködnek azok megoldásában. |
c) |
Amennyiben az érintett a kedvezményezett harmadik személyre vonatkozó 3. feltétel szerinti jogra hivatkozik, az adatátvevő elfogadja az érintett döntését, miszerint:
|
d) |
A Felek elfogadják, hogy az érintettet az (EU) 2016/679 rendelet 80. cikkének (1) bekezdésében meghatározott feltételek szerint nonprofit szerv, szervezet vagy egyesület képviselheti. |
e) |
Az adatátvevő betartja az alkalmazandó uniós/tagállami jog értelmében kötelező erejű határozatot. |
f) |
Az adatátvevő egyetért azzal, hogy az érintett választása nem sérti az érintett azon anyagi és eljárási jogait, hogy az alkalmazandó jogszabályokkal összhangban jogorvoslatért folyamodjon. |
12. feltétel
Felelősség
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
a) |
Mindegyik Fél felelősséggel tartozik a másik Féllel/Felekkel szemben minden olyan kárért, amelyet e feltételek megsértésével a másik Fél/Felek okoz(nak). |
b) |
Mindegyik Fél felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adott Fél okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. Ez nem érinti az adatátadónak az (EU) 2016/679 rendelet szerinti felelősségét. |
c) |
Amennyiben egynél több Fél felelős az érintettnek az e feltételek megsértéséből eredően okozott károkért, valamennyi felelős Fél egyetemlegesen felelős, és az érintett jogosult bíróságon keresetet indítani e Felek bármelyikével szemben. |
d) |
A Felek megállapodnak abban, hogy amennyiben az egyik Felet a c) bekezdés alapján felelősségre vonják, jogosult a másik Féltől/Felektől visszaigényelni a kártérítésnek azt a részét, amely megfelel a kárért való felelősségének. |
e) |
Az adatátvevő nem hivatkozhat az adatfeldolgozó vagy további adatfeldolgozó magatartására a saját felelősségének elkerülése érdekében. |
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
a) |
Mindegyik Fél felelősséggel tartozik a másik Féllel/Felekkel szemben minden olyan kárért, amelyet e feltételek megsértésével a másik Fél/Felek okoz(nak). |
b) |
Az adatátvevő felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adatátvevő vagy a további feldolgozója okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. |
c) |
A b) bekezdésben foglaltak sérelme nélkül az adatátadó felelősséggel tartozik az érintett felé, és az érintett kártérítésre jogosult minden olyan anyagi vagy nem vagyoni kárért, amelyet az adatátadó vagy az adatátvevő (vagy a további feldolgozója) okoz az érintettnek azáltal, hogy megsérti a harmadik fél kedvezményezettek e feltételek szerinti jogait. Ez nem érinti az adatátadó felelősségét és – amennyiben az adatátadó az adatkezelő nevében eljáró adatfeldolgozó – az adatkezelőnek az (EU) 2016/679 rendelet vagy adott esetben az (EU) 2018/1725 rendelet szerinti felelősségét. |
d) |
A Felek megállapodnak abban, hogy amennyiben az adatátadót a c) bekezdés alapján felelősségre vonják az adatátvevő (vagy annak további feldolgozója) által okozott károkért, jogában áll visszaigényelni az adatátvevőtől a kártérítésnek azt a részét, amely megfelel az adatátvevő károkozásért viselt felelősségének. |
e) |
Amennyiben egynél több Fél felelős az érintettnek az e feltételek megsértéséből eredően okozott károkért, valamennyi felelős Fél egyetemlegesen felelős, és az érintett jogosult bíróságon keresetet indítani e Felek bármelyikével szemben. |
f) |
A Felek megállapodnak abban, hogy amennyiben az egyik Felet az e) bekezdés alapján felelősségre vonják, jogosult a másik Féltől/Felektől visszaigényelni a kártérítésnek azt a részét, amely megfelel a kárért való felelősségének. |
g) |
Az adatátvevő nem hivatkozhat a további feldolgozó magatartására saját felelősségének elkerülése érdekében. |
13. feltétel
Felügyelet
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
a) |
[Ha az adatátadó az Európai Unió tagállamában rendelkezik székhellyel:] Az adatátadó (EU) 2016/679 rendeletnek való, adattovábbítással kapcsolatos megfelelésének biztosításáért felelős, az I. melléklet C. részében említett felügyeleti hatóság jár el illetékes felügyeleti hatóságként. [Ha az adatátadó nem rendelkezik székhellyel uniós tagállamban, azonban az (EU) 2016/679 rendelet 3. cikkének (2) bekezdése szerint a rendelet területi hatálya alá tartozik, és az (EU) 2016/679 rendelet 27. cikkének (1) bekezdése szerint képviselőt nevezett ki:] Azon tagállam felügyeleti hatósága jár el illetékes felügyeleti hatóságként, amelyben az (EU) 2016/679 rendelet 27. cikkének (1) bekezdése értelmében vett képviselő székhellyel rendelkezik az I. melléklet C. részében foglaltak szerint. [Ha az adatátadó nem rendelkezik székhellyel uniós tagállamban, azonban az (EU) 2016/679 rendelet 3. cikkének (2) bekezdése szerint a rendelet területi hatálya alá tartozik, azonban az (EU) 2016/679 rendelet 27. cikkének (2) bekezdése szerint nem kell képviselőt kineveznie:] Azon tagállam felügyeleti hatósága jár el illetékes felügyeleti hatóságként az I. melléklet C. részében foglaltak szerint, ahol azok az érintettek tartózkodnak, akik személyes adatait a jelen feltételek szerint továbbítják a számukra kínált árukkal vagy szolgáltatásokkal összefüggésben, vagy akik viselkedését nyomon követik. |
b) |
Az adatátvevő elfogadja az illetékes felügyeleti hatóság illetékességét, és együttműködik vele minden olyan eljárásban, amelynek célja az e feltételeknek való megfelelés biztosítása. Az adatátvevő vállalja, hogy válaszol a megkeresésekre, aláveti magát az ellenőrzéseknek, és betartja a felügyeleti hatóság által elfogadott intézkedéseket, beleértve a korrekciós és kompenzációs intézkedéseket is. Írásbeli megerősítést kell adnia a felügyeleti hatóságnak arról, hogy megtette a szükséges intézkedéseket. |
III. SZAKASZ – HELYI JOGSZABÁLYOK ÉS KÖTELEZETTSÉGEK HATÓSÁGI HOZZÁFÉRÉS ESETÉN
14. feltétel
A feltételek betartását érintő helyi jogszabályok és gyakorlatok
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére (csak abban az esetben, ha az uniós adatfeldolgozó a harmadik országbeli adatkezelőtől kapott személyes adatokat összevonja az adatfeldolgozó által az EU-ban gyűjtött személyes adatokkal)
a) |
A Felek biztosítják, hogy nincs okuk azt feltételezni, hogy a rendeltetési hely szerinti harmadik országban az adatátvevő által végzett személyesadat-kezelésre alkalmazandó jogszabályok és gyakorlatok – beleértve a személyes adatok közlésére vonatkozó követelményeket vagy a hatóságok általi hozzáférést engedélyező intézkedéseket – megakadályozzák az adatátvevőt abban, hogy teljesítse az e feltételek szerinti kötelezettségeit. Ez azon a felfogáson alapul, hogy azok a törvények és gyakorlatok, amelyek tiszteletben tartják az alapvető jogok és szabadságok lényegét, és nem haladják meg azt a mértéket, amely egy demokratikus társadalomban az (EU) 2016/679 rendelet 23. cikkének (1) bekezdésében felsorolt célkitűzések egyikének biztosításához szükséges és arányos, nem ellentétesek ezekkel a feltételekkel. |
b) |
A Felek kijelentik, hogy az a) bekezdésben említett garancia nyújtásakor különösen a következő elemeket vették kellően figyelembe:
|
c) |
Az adatátvevő garantálja, hogy a b) bekezdés szerinti értékelés elvégzése során minden tőle telhetőt megtett annak érdekében, hogy az adatátadó számára releváns információkat szolgáltasson, és beleegyezik abba, hogy továbbra is együttműködik az adatátadóval az e feltételeknek való megfelelés biztosítása érdekében. |
d) |
A Felek megállapodnak abban, hogy dokumentálják a b) bekezdés szerinti értékelést, és azt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátják. |
e) |
Az adatátvevő vállalja, hogy haladéktalanul értesíti az adatátadót, ha e feltételek elfogadását követően és a szerződés időtartama alatt okkal feltételezi, hogy az a) bekezdésben foglalt követelményekkel ellentétes törvények vagy gyakorlatok hatálya alá tartozik vagy tartozott, ideértve azt is, hogy megváltoztak a harmadik ország jogszabályai, vagy olyan intézkedés (például közzétételi kérelem) történt, amely az ilyen jogszabályok gyakorlati alkalmazását jelzi, és amely nem felel meg az a) bekezdésben foglalt követelményeknek. [A harmadik modul esetében: Az adatátadó továbbítja az értesítést az adatkezelőnek.] |
f) |
Az e) bekezdés szerinti értesítést követően, vagy ha az adatátadó más okból feltételezi, hogy az adatátvevő már nem tudja teljesíteni az e feltételek szerinti kötelezettségeit, az adatátadó haladéktalanul meghatározza az adatátadó és/vagy adatátvevő által a helyzet kezelése érdekében elfogadandó megfelelő intézkedéseket (például a biztonság és a titoktartás biztosítása érdekében hozott technikai vagy szervezési intézkedéseket), [a harmadik modul esetében: adott esetben az adatkezelővel egyeztetve]. Az adatátadó felfüggeszti az adattovábbítást, ha úgy ítéli meg, hogy az adattovábbításhoz nem biztosítható megfelelő garancia, vagy ha [a harmadik modul esetében: az adatkezelő vagy] az illetékes felügyeleti hatóság erre utasítja. Ebben az esetben az adatátadó jogosult arra, hogy felmondja a szerződést, amennyiben az a személyes adatok jelen feltételek szerinti kezelésére vonatkozik. Ha a szerződés kettőnél több felet érint, az adatátadó ezt a felmondási jogot csak az érintett Fél tekintetében gyakorolhatja, kivéve, ha a Felek ettől eltérően állapodtak meg. Ha a szerződés e feltétel alapján megszűnik, a 16. feltétel d) és e) bekezdését kell alkalmazni. |
15. feltétel
Az adatátvevő kötelezettségei a nemzeti hatóságok általi hozzáférés esetén
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére (csak abban az esetben, ha az uniós adatfeldolgozó a harmadik országbeli adatkezelőtől kapott személyes adatokat összevonja az adatfeldolgozó által az EU-ban gyűjtött személyes adatokkal)
15.1. Értesítés
a) |
Az adatátvevő vállalja, hogy haladéktalanul értesíti az adatátadót és – amennyiben lehetséges – az érintettet (szükség esetén az adatátadó segítségével), ha:
[A harmadik modul esetében: Az adatátadó továbbítja az értesítést az adatkezelőnek.] |
b) |
Ha az adatátvevő a rendeltetési ország jogszabályai szerint nem értesíti az adatátadót és/vagy az érintettet, az adatátvevő vállalja, hogy minden tőle telhetőt megtesz annak érdekében, hogy mentességet kapjon a tilalom alól, hogy a lehető legtöbb információt a lehető leghamarabb közölni tudja. Az adatátvevő vállalja, hogy minden tőle telhetőt dokumentál annak érdekében, hogy az adatátadó kérésére igazolni tudja azokat. |
c) |
Ha a rendeltetési ország jogszabályai lehetővé teszik, az adatátvevő vállalja, hogy a szerződés időtartama alatt rendszeres időközönként az adatátadó rendelkezésére bocsátja a beérkezett kérelmekkel kapcsolatos lehető legnagyobb mennyiségű releváns információt (különösen a kérelmek száma, a kért adatok típusa, a megkereső hatóság vagy hatóságok, a kérelmek megtámadása és a megtámadások kimenetele stb.). [A harmadik modul esetében: Az adatátadó továbbítja az információt az adatkezelőnek.] |
d) |
Az adatátvevő vállalja, hogy az a)–c) bekezdés szerinti információkat a szerződés időtartama alatt megőrzi, és kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja. |
e) |
Az a)–c) bekezdés nem érinti az adatátvevőnek a 14. feltétel e) bekezdése és a 16. feltétel szerinti azon kötelezettségét, hogy haladéktalanul tájékoztassa az adatátadót, ha az nem képes megfelelni ezeknek a feltételeknek. |
15.2. A jogszerűség felülvizsgálata és az adattakarékosság
a) |
Az adatátvevő vállalja, hogy felülvizsgálja az adatközlés iránti kérelem jogszerűségét, nevezetesen azt, hogy az továbbra is a megkereső hatóság hatáskörében marad-e, és megtámadja a kérelmet, amennyiben alapos vizsgálatot követően arra a következtetésre jut, hogy megalapozottan feltételezhető, hogy a kérelem a rendeltetési ország jogszabályai szerint jogellenes, beleértve a nemzetközi jog és a nemzetközi udvariasság elve alapján alkalmazandó kötelezettségeket is. Az adatátvevő azonos feltételek mellett jogorvoslattal élhet. A kérelem megtámadásakor az adatátvevő ideiglenes intézkedéseket kér annak érdekében, hogy az illetékes igazságügyi hatóság érdemi döntéséig felfüggessze a kérelem joghatását. A megkeresett hatóság a kért személyes adatokat mindaddig nem teszi közzé, amíg az alkalmazandó eljárási szabályok erre nem kötelezik. Ezek a követelmények nem érintik az adatátvevőnek a 14. feltétel e) bekezdése szerinti kötelezettségeit. |
b) |
Az adatátvevő vállalja, hogy dokumentálja jogi értékelését, valamint az adatközlési kérelemmel kapcsolatos kifogásokat, és – a rendeltetési ország jogszabályai által megengedett mértékben – a dokumentációt az adatátadó rendelkezésére bocsátja. Ezt kérésre az illetékes felügyeleti hatóság rendelkezésére bocsátja. [A harmadik modul esetében: Az adatátadó az értékelést az adatkezelő rendelkezésére bocsátja.] |
c) |
Az adatátvevő vállalja, hogy a tájékoztatás iránti kérelemre való válaszadáskor a kérelem észszerű értelmezése alapján megadja a minimálisan megengedhető információmennyiséget. |
IV. SZAKASZ – ZÁRÓ RENDELKEZÉSEK
16. feltétel
A feltételeknek való meg nem felelés és a szerződés felmondása
a) |
Az adatátvevő haladéktalanul tájékoztatja az adatátadót, ha bármilyen okból nem tud megfelelni ezeknek a feltételeknek. |
b) |
Abban az esetben, ha az adatátvevő megsérti az ezen feltételek szerinti kötelezettségeit, akkor az adatátadó ideiglenesen felfüggesztheti a személyes adatoknak az adatátvevő felé történő továbbítását, mindaddig, amíg a megfelelés nincs újból biztosítva, vagy a szerződés meg nem szűnik. Ez nem érinti a 14. feltétel f) pontját. |
c) |
Az adatátadó jogosult a szerződés felmondására, amennyiben az személyes adatok e feltételek szerinti kezelésére vonatkozik, ha:
Ezekben az esetekben tájékoztatja az illetékes felügyeleti hatóságot [a harmadik modul esetében: és az adatkezelőt] az ilyen meg nem felelésről. Amennyiben a szerződés kettőnél több felet érint, az adatátadó ezt a felmondási jogot csak az érintett Fél tekintetében gyakorolhatja, kivéve, ha a Felek ettől eltérően állapodtak meg. |
d) |
[Az első, második és harmadik modul esetében: Azokat a személyes adatokat, amelyeket a szerződés c) bekezdés szerinti megszűnése előtt továbbítottak, az adatátadó választása szerint haladéktalanul vissza kell juttatni az adatátadónak, vagy teljes egészében törölnie kell. Ugyanez alkalmazandó az adatok valamennyi másolatára.] [A negyedik modul esetében: Az adatátadó által az EU-ban gyűjtött személyes adatokat, amelyeket a szerződés c) bekezdés szerinti megszűnése előtt továbbítottak, haladéktalanul teljes egészében törölni kell, beleértve azok másolatait.] Az adatátvevő tanúsítja az adatok törlését az adatátadó felé. Az adatok törléséig vagy visszaküldéséig az adatátvevő továbbra is biztosítja az e feltételeknek való megfelelést. Az adatátvevőre alkalmazandó olyan helyi jogszabályok esetén, amelyek tiltják a továbbított személyes adatok visszajuttatását vagy törlését, az adatátvevő garantálja, hogy továbbra is biztosítja e feltételek betartását, és az adatokat csak a helyi jog által előírt mértékben és ideig kezeli. |
e) |
Bármelyik fél visszavonhatja azon hozzájárulását, hogy e feltételek rá nézve kötelezőek legyenek, amennyiben i. az Európai Bizottság az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján a személyes adatok e feltételek hatálya alá tartozó továbbítására kiterjedő határozatot fogad el; vagy ii. az (EU) 2016/679 rendelet azon ország jogi keretének részévé válik, ahová a személyes adatokat továbbítják. Ez nem érinti a szóban forgó adatkezelésre az (EU) 2016/679 rendelet alapján alkalmazandó egyéb kötelezettségeket. |
17. feltétel
Irányadó jog
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
[1. LEHETŐSÉG: Ezekre a feltételekre az Európai Unió valamely tagállamának joga az irányadó, feltéve, hogy ez a jog engedélyezi a kedvezményezett harmadik felek jogait. A Felek megállapodnak abban, hogy ez ___ (adja meg a tagállamot) joga.]
[2. LEHETŐSÉG (a második és a harmadik modul esetében): Ezekre a feltételekre az adatátadó székhelye szerinti európai uniós tagállam joga az irányadó. Amennyiben ez a jog nem engedélyezi a kedvezményezett harmadik fél jogait, akkor azokra az Európai Unió egy másik tagállamának joga az irányadó, amely engedélyezi a kedvezményezett harmadik fél jogait. A Felek megállapodnak abban, hogy ez ___ (adja meg a tagállamot) joga.]
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
Ezekre a feltételekre egy olyan ország joga az irányadó, amely engedélyezi a kedvezményezett harmadik felek jogait. A Felek megállapodnak abban, hogy ez ___ (adja meg az országot) joga.
18. feltétel
Az eljáró bíróság és a joghatóság megválasztása
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
a) |
Az e feltételekből eredő vitákat valamely uniós tagállam bíróságai rendezik. |
b) |
A Felek megállapodnak abban, hogy ezek ___ (adja meg a tagállamot) bíróságai lehetnek. |
c) |
Az érintett bírósági eljárást indíthat az adatátadóval és/vagy adatátvevővel szemben annak a tagállamnak a bíróságai előtt, ahol a szokásos tartózkodási helye található. |
d) |
A Felek megállapodnak abban, hogy e bíróságok joghatósága alá tartoznak. |
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
|
Az e feltételekből eredő vitákat _____ (adja meg az országot) bíróságai rendezik. |
(1) Amennyiben az adatátadó az (EU) 2016/679 rendelet hatálya alá tartozó, valamely uniós intézmény vagy szerv mint adatkezelő nevében eljáró adatfeldolgozó, az (EU) 2016/679 rendelet hatálya alá nem tartozó más adatfeldolgozó (további adatkezelés) igénybevételekor az e feltételek alkalmazása biztosítja a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendelet (HL L 295., 2018.11.21., 39. o.) 29. cikke (4) bekezdésének való megfelelést, amennyiben ezek a feltételek és az adatkezelő és az adatfeldolgozó között az (EU) 2018/1725 rendelet 29. cikkének (3) bekezdése szerinti szerződésben vagy egyéb jogi aktusban foglalt adatvédelmi kötelezettségek összhangban vannak. Ez különösen abban az esetben áll fenn, ha az adatkezelő és az adatfeldolgozó az 2021/915 határozatban foglalt általános szerződési feltételeket alkalmazza.
(2) Ehhez – az (EU) 2016/679 rendelet (26) preambulumbekezdésével összhangban – az adatokat olyan módon kell anonimizálni, hogy az egyén már ne legyen azonosítható, és hogy ez az eljárás visszafordíthatatlan legyen.
(3) Az Európai Gazdasági Térségről szóló megállapodás (EGT-megállapodás) kiterjeszti az Európai Unió belső piacát a három EGT-államra: Izlandra, Liechtensteinre és Norvégiára. Az uniós adatvédelmi jogszabályok, így az (EU) 2016/679 rendelet, az EGT-megállapodás hatálya alá tartoznak, és az említett jogszabályokat beépítették annak XI. mellékletébe. Ezért e feltételek alkalmazásában az adatátvevő által az EGT-ben található harmadik fél felé történő adatközlés nem minősül további adattovábbításnak.
(4) Az Európai Gazdasági Térségről szóló megállapodás (EGT-megállapodás) kiterjeszti az Európai Unió belső piacát a három EGT-államra: Izlandra, Liechtensteinre és Norvégiára. Az uniós adatvédelmi jogszabályok, így az (EU) 2016/679 rendelet, az EGT-megállapodás hatálya alá tartoznak, és az említett jogszabályokat beépítették annak XI. mellékletébe. Ezért e feltételek alkalmazásában az adatátvevő által az EGT-ben található harmadik fél felé történő adatközlés nem minősül további adattovábbításnak.
(5) Lásd az (EU) 2016/679 rendelet 28. cikkének (4) bekezdését, valamint – amennyiben az adatkezelő uniós intézmény vagy szerv – az (EU) 2018/1725 rendelet 29. cikkének (4) bekezdését.
(6) Az Európai Gazdasági Térségről szóló megállapodás (EGT-megállapodás) kiterjeszti az Európai Unió belső piacát a három EGT-államra: Izlandra, Liechtensteinre és Norvégiára. Az uniós adatvédelmi jogszabályok, így az (EU) 2016/679 rendelet, az EGT-megállapodás hatálya alá tartoznak, és az említett jogszabályokat beépítették annak XI. mellékletébe. Ezért e feltételek alkalmazásában az adatátvevő által az EGT-ben található harmadik fél felé történő adatközlés nem minősül további adattovábbításnak.
(7) Ez magában foglalja, hogy a továbbítás és a további adatkezelés kiterjed-e a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatokra, a természetes személyek egyedi azonosítását célzó genetikai adatokra vagy biometrikus adatokra, az egészségi állapotra, az adott személy szexuális életére vagy szexuális irányultságára vonatkozó adatokra, vagy a büntetőjogi felelősséget megállapító ítéletekre vagy bűncselekményekre vonatkozó adatokra.
(8) Ezt a követelményt a további adatfeldolgozó is teljesítheti, ha a 7. feltételnek megfelelően csatlakozik ezekhez a feltételekhez a megfelelő modul alapján.
(9) Ezt a követelményt a további adatfeldolgozó is teljesítheti, ha a 7. feltételnek megfelelően csatlakozik ezekhez a feltételekhez a megfelelő modul alapján.
(10) Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. Az adatátvevő a meghosszabbításról megfelelően és haladéktalanul tájékoztatja az érintettet.
(11) Az adatátvevő csak akkor kínálhat független vitarendezést választott bírósági testületen keresztül, ha olyan országban telepedett le, amely megerősítette a választott bírósági határozatok végrehajtásáról szóló New York-i Egyezményt.
(12) Az ilyen jogszabályok és gyakorlatok e feltételeknek való megfelelésre gyakorolt hatását illetően az átfogó értékelés részeként különböző elemeket lehet figyelembe venni. Ezek az elemek magukban foglalhatják a hatóságoktól érkező előzetes adatközlési kérelmekkel vagy az ilyen kérelmek hiányával kapcsolatos releváns és dokumentált gyakorlati tapasztalatokat, amelyek kellően reprezentatív időkeretet ölelnek fel. Ez különösen a belső nyilvántartásokra vagy más dokumentumokra vonatkozik, amelyeket folyamatosan, a kellő gondosság elvének megfelelően állítanak össze, és felső vezetői szinten tanúsítottak, feltéve, hogy ezeket az információkat harmadik felekkel jogszerűen meg lehet osztani. Amennyiben erre a gyakorlati tapasztalatra támaszkodnak annak megállapításához, hogy az adatátvevőt nem akadályozzák meg abban, hogy megfeleljen ezeknek a feltételeknek, azt egyéb releváns, objektív tényezőkkel kell alátámasztani, és a Felek feladata annak gondos mérlegelése, hogy ezek az elemek – megbízhatóságuk és reprezentativitásuk tekintetében – kellő súlyt képviselnek-e ahhoz, hogy alátámasszák ezt a következtetést. A Feleknek különösen azt kell figyelembe venniük, hogy gyakorlati tapasztalataikat alátámasztják-e vagy nem cáfolják-e nyilvánosan elérhető vagy más módon hozzáférhető, megbízható információk az ugyanazon ágazaton belüli kérelmek meglétéről vagy hiányáról, és/vagy a jog gyakorlati alkalmazásáról, mint például az ítélkezési gyakorlat és a független felügyeleti szervek jelentései.
FÜGGELÉK
MAGYARÁZÓ FELJEGYZÉS:
Lehetővé kell tenni az egyes adattovábbításokra vagy adattovábbítási kategóriákra vonatkozó információk egyértelmű megkülönböztetését, és e tekintetben a Felek mint adatátadó(k) és/vagy adatátvevő(k) szerepének meghatározását. Ehhez nem feltétlenül szükséges külön függelékek kitöltése és aláírása minden egyes adattovábbítási kategóriára és/vagy szerződéses jogviszonyra vonatkozóan, amennyiben ez az átláthatóság egy függelék révén elérhető. Amennyiben azonban a megfelelő egyértelműség érdekében szükséges, külön függelékeket kell alkalmazni.
I. MELLÉKLET
A. A FELEK LISTÁJA
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
Adatátadó(k): [Az adatátadó(k) és adott esetben az adatvédelmi tisztviselőjének és/vagy európai uniós képviselőjének azonosító adatai és elérhetőségei]
1. |
Név: …
Cím: … A kapcsolattartó személy neve, beosztása és elérhetősége: … Az e feltételek alapján továbbított adatokra vonatkozó tevékenységek: … Aláírás és dátum: … Szerepkör (adatkezelő/adatfeldolgozó): … |
2. |
… |
Adatátvevő(k): [Az adatátvevő(k) azonosító adatai és elérhetőségei, beleértve az adatvédelemért felelős kapcsolattartó személyeket is]
1. |
Név: …
Cím: … A kapcsolattartó személy neve, beosztása és elérhetősége: … Az e feltételek alapján továbbított adatokra vonatkozó tevékenységek: … Aláírás és dátum: … Szerepkör (adatkezelő/adatfeldolgozó): … |
2. |
… |
B. A TOVÁBBÍTÁS LEÍRÁSA
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
NEGYEDIK MODUL: Adattovábbítás az adatfeldolgozótól az adatkezelő részére
Az érintettek azon kategóriái, akiknek a személyes adatait továbbítják
…
A továbbított személyes adatok kategóriái
…
A továbbított érzékeny adatok (adott esetben) és azon korlátozások vagy garanciák alkalmazása, amelyek teljes mértékben figyelembe veszik az adatok jellegét és a kapcsolódó kockázatokat, például szigorú célhoz kötöttség, hozzáférési korlátozások (ideértve a kizárólag a speciális képzésben részt vevő személyzet hozzáférését), az adatokhoz való hozzáférés nyilvántartása, az adattovábbításra vonatkozó korlátozások vagy további biztonsági intézkedések.
…
Az adattovábbítás gyakorisága (például az, hogy az adattovábbítás egyszeri vagy folyamatos).
…
Az adatkezelés jellege
…
Az adattovábbítás és a további adatkezelés célja(i)
…
A személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai
…
A (további) feldolgozóknak történő továbbítások esetében meg kell adni az adatkezelés tárgyát, jellegét és időtartamát is
…
C. ILLETÉKES FELÜGYELETI HATÓSÁG
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
Adja meg a 13. feltétellel összhangban illetékes felügyeleti hatóság adatait
…
II. MELLÉKLET
TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSEK, BELEÉRTVE AZ ADATOK BIZTONSÁGÁT BIZTOSÍTÓ TECHNIKAI ÉS SZERVEZÉSI INTÉZKEDÉSEKET
ELSŐ MODUL: Adatkezelők közötti adattovábbítás
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
MAGYARÁZÓ FELJEGYZÉS:
A technikai és szervezési intézkedéseket konkrét (és nem általános) kifejezésekkel kell leírni. Lásd még a függelék első oldalához fűzött általános megjegyzést, különösen annak szükségességével kapcsolatban, hogy egyértelműen meg kell jelölni, mely intézkedések alkalmazandók az egyes továbbításokra/több továbbításra.
Az adatátvevő(k) által a biztonság megfelelő szintjének biztosítása érdekében végrehajtott technikai és szervezési intézkedések leírása (beleértve a vonatkozó tanúsítványokat), figyelembe véve az adatkezelés jellegét, hatókörét, kontextusát és célját, valamint a természetes személyek jogait és szabadságait érintő kockázatokat.
[Példák a lehetséges intézkedésekre:
A személyes adatok álnevesítésére és titkosítására irányuló intézkedések
A személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítására, integritására, rendelkezésre állására és ellenálló képességére irányuló intézkedések
Fizikai vagy technikai incidens esetén a személyes adatok időben történő rendelkezésre állásának és az azokhoz való hozzáférés helyreállításának képességét biztosító intézkedések
Az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások
A felhasználók azonosítására és hitelesítésére vonatkozó intézkedések
Az átvitel során az adatok védelmét szolgáló intézkedések
A tárolás során az adatok védelmét szolgáló intézkedések
A személyes adatok kezelése helyszíneinek fizikai biztonságát biztosító intézkedések
Az események naplózásának biztosítására irányuló intézkedések
A rendszer konfigurációjának biztosítására irányuló intézkedések, beleértve az alapértelmezett konfigurációt is
A belső informatikai és informatikai biztonsági irányításra és kezelésre vonatkozó intézkedések
Az eljárások és termékek tanúsítására/biztosítására vonatkozó intézkedések
Az adattakarékosságot biztosító intézkedések
Az adatminőséget biztosító intézkedések
A korlátozott adatmegőrzést biztosító intézkedések
Az elszámoltathatóság biztosítására irányuló intézkedések
Az adathordozhatóságot lehetővé tevő és a törlést biztosító intézkedések]
A (további) adatfeldolgozók részére történő adattovábbítás esetében ismertesse azokat a konkrét technikai és szervezési intézkedéseket is, amelyeket a (további) adatfeldolgozónak be kell vezetnie annak érdekében, hogy segítséget tudjon nyújtani az adatkezelőnek, adatfeldolgozótól további feldolgozó részére történő továbbítás esetén pedig az adatátadónak.
III. MELLÉKLET
TOVÁBBI ADATFELDOLGOZÓK LISTÁJA
MÁSODIK MODUL: Adattovábbítás az adatkezelőtől az adatfeldolgozó részére
HARMADIK MODUL: Adattovábbítás adatfeldolgozók között
MAGYARÁZÓ FELJEGYZÉS:
Ezt a mellékletet a második és a harmadik modul esetében kell kitölteni a további adatfeldolgozók egyedi engedélyezése esetén (9. feltétel a) bekezdés, 1. lehetőség).
Az adatkezelő a következő további adatfeldolgozók alkalmazását engedélyezte:
1. |
Név: …
Cím: … A kapcsolattartó személy neve, beosztása és elérhetősége: … Az adatkezelés leírása (ideértve a felelősségi körök egyértelmű elhatárolását több további adatfeldolgozó engedélyezése esetén): … |
2. |
… |