Megállapodás az adatfeldolgozásról (AVV]
az általános adatvédelmi rendelet (GDPR] 28. cikkének (3] bekezdése szerint
§ 1 A megbízás tárgya és időtartama
(1] Ez a megállapodás szabályozza a felek jogait és kötelezettségeit a személyes adatoknak a megbízott (adatfeldolgozó] általi, a megrendelő (adatkezelő] megbízásából történő feldolgozásával kapcsolatban. Minden olyan tevékenységre alkalmazandó, amely során a megbízott alkalmazottai vagy az általa megbízott harmadik felek a megbízó személyes adataival kapcsolatba kerülhetnek.
(2] A jelen megállapodás időtartama a "BusWay" szoftver használatára vonatkozó fő szerződés időtartamához igazodik. Automatikusan megszűnik a fő szerződés megszűnésével, amennyiben nincsenek törvényi megőrzési kötelezettségek.
§ 2 A feldolgozás jellege és célja
(1] A megbízott adatfeldolgozó egy Software-as-a-Service (SaaS] platformot biztosít a felelős számára. A feldolgozás magában foglalja az adatok gyűjtését, tárolását, értékelését és rendelkezésre bocsátását az üzemi folyamatok támogatása érdekében.
(2] A feldolgozás célja a digitális Route/Line-utasítás, a járművezetők navigációja, az útvonalinformációk kezelése, valamint a szoftver működésének technikai biztosítása.
§ 3 Az adatok jellege és az érintettek köre
(1] Az érintett személyek kategóriái: Az ügyfél alkalmazottai (vezetők, diszpécserek, adminisztrátorok].
(2] A feldolgozott személyes adatok típusa:
- Azonosító adatok (felhasználónév, e-mail cím, vezetéknév és keresztnév].
- Hely- és mozgásadatok (GPS-koordináták az alkalmazás aktív használata során, útvonalak].
- Eszköz metaadatok (IP-cím, eszközazonosító, operációs rendszer verzió, alkalmazás verzió].
- Használati adatok (a bejelentkezések időbélyegei, létrehozott vagy bejárt útvonalak, szinkronizálási naplók].
§ 4 A megbízott adatfeldolgozó kötelezettségei
(1] A megbízott adatfeldolgozó a személyes adatokat kizárólag a megkötött megállapodások keretein belül és a felelős utasításai szerint dolgozza fel, kivéve, ha jogszabály más feldolgozásra kötelezi.
(2] A megbízott adatfeldolgozó biztosítja, hogy minden személy, aki a személyes adatok feldolgozásával van megbízva, titoktartásra kötelezett, vagy megfelelő törvényi titoktartási kötelezettség hatálya alá tartozik.
(3] A megbízott adatfeldolgozó megtesz minden szükséges intézkedést a GDPR 32. cikke (a feldolgozás biztonsága] szerint, hogy a kockázatnak megfelelő védelmi szintet biztosítson.
(4] A megbízott adatfeldolgozó a tőle telhető legjobb tudása szerint támogatja a felelőst a GDPR 32–36. cikkeiben említett kötelezettségek betartásában (pl. a személyes adatok védelmének megsértésének bejelentése].
§ 5 A felelős kötelezettségei
(1] A felelős viseli a kizárólagos felelősséget a feldolgozás jogszerűségének a GDPR 6. cikkének (1] bekezdése szerinti megítéléséért, valamint az érintett személyek jogainak védelméért (pl. a munkavállalók tájékoztatása a GPS-helymeghatározásról].
(2] A felelős általában a szoftverfunkciók használatával adja ki az utasításait (pl. felhasználók létrehozása vagy törlése]. A szóbeli utasításokat haladéktalanul írásban vagy szöveges formában (e-mailben] meg kell erősíteni.
§ 6 Technikai és szervezeti intézkedések (TOM]
(1] A megbízott adatfeldolgozó megfelelő technikai és szervezeti intézkedéseket hozott az adatok jogosulatlan hozzáférés, elvesztés vagy megváltoztatás elleni védelme érdekében.
- Bizalmasság: Adatátvitel titkosítása (SSL/TLS], jelszóvédelem (Hashing], hozzáférés-ellenőrzés.
- Integritás: Bemeneti ellenőrzés, rendszerhozzáférések naplózása, ügyféladatok elkülönítése (logikai elkülönítés].
- Elérhetőség: Rendszeres biztonsági mentések, redundáns szerverinfrastruktúra, vészhelyzeti tervek (katasztrófa utáni helyreállítás].
- Terhelhetőség: Skálázható felhőinfrastruktúrák használata és a rendszerbiztonság rendszeres ellenőrzése.
§ 7 Alvállalkozói viszonyok
(1] A felelős általános engedélyt ad a megbízott adatfeldolgozónak arra, hogy további adatfeldolgozókat (alvállalkozókat] vonjon be a szerződéses kötelezettségek teljesítésébe.
(2] A megbízott adatfeldolgozó tájékoztatja a felelőst minden tervezett változásról a további adatfeldolgozók bevonása vagy cseréje tekintetében. A felelősnek jogában áll kifogást emelni.
(3] A jelenleg alkalmazott alvállalkozók a jelen szerződés mellékletében találhatók.
§ 8 Ellenőrzési jogok
(1] A felelős jogosult a törvényi előírások és a jelen szerződés rendelkezéseinek a megbízott adatfeldolgozónál történő betartását ésszerű mértékben ellenőrizni. Mivel ez egy SaaS-megoldás, a bizonyíték elsősorban független harmadik felek tanúsítványaival vagy szakvéleményeivel nyújtható be.
§ 9 Adatok törlése és visszaadása
(1] A feldolgozási szolgáltatások teljesítésének befejezése után a megbízott adatfeldolgozó törli az összes személyes adatot, vagy visszaadja azokat a felelősnek, amennyiben nincs törvényi kötelezettség a tárolásra.
§ 10 Záró rendelkezések
(1] Ha a jelen megállapodás egyes részei érvénytelenek, ez nem érinti a többi rendelkezés érvényességét.
(2] A Németországi Szövetségi Köztársaság joga az irányadó. A joghatóság a megbízott adatfeldolgozó székhelye.
A megbízott adatfeldolgozó a következő szolgáltatókat használja a teljesítménye teljesítéséhez:
| Szolgáltatás | Szolgáltató | Szerver helye |
|---|---|---|
| Hosting, adatbázis és backend | Strato AG | Berlin / Karlsruhe, DE |
| Térképadatok és geokódolás | Google Cloud EMEA | Dublin, IE (EU] |
| Viszonteladó / Merchant of Record | Paddle.com Market Ltd | London, UK (Megfelelőségi határozat] |